特権IDを共有することの危険性 適切な管理方法は?

IT・IT製品TOP > Key Conductors > 佐藤 栄治(セントリファイ コーポレーション日本支社) > 特権IDを共有することの危険性 適切な管理方法は?
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

特権IDを共有することの危険性 適切な管理方法は?

エンドポイントセキュリティ 2016/10/03

特権ID管理とは

 会社の規模、サーバ台数に関わらず、重要なデータが格納されているサーバのアカウント管理、権限管理は非常に重要な課題です。こういった問題を解決するための特権IDソリューションが、市場では数多くリリースされています。

 特権IDソリューションは大きく分けて3つのタイプが存在しています。Super User Privilege Management(SUPM) 、Application to Application Password Management(AAPM) 、そして、Shared Account Password Management(SAPM)です。

 SUPMは、職域とセキュリティポリシーを鑑み、特権昇格できる権限をコントロールする、いわば最小特権による管理の仕組みです。

 AAPMは、スクリプトやバッチなどで、特権アカウントのID、パスワードを平文で記述しているのを廃し、スクリプト実行時に特権ソリューションのAPIを呼び出すことで、セキュアにアプリケーションを実行する事を可能にする仕組みです。

 SAPMは、日本で最もポピュラーな特権ソリューションで、特権アカウントを適切に管理し、何時、誰が、どんなことを行ったかをトラッキングし、ワークフローによって申請処理を電子化していく仕組みです。

 Centrifyは全ての特権IDをカバーした製品をご用意していますが、今回はSAPMに関してご説明させていただければと思います。

特権ID管理のよくある3つの課題

 特権ID、つまりLinuxでのroot権限や、WindowsでのAdministrator権限のアカウント管理はどうされていますか?

 これまで、数百社近くのお客さまにお聞きしましたが、皆さん何かしらのお悩みをもたれているようです。既に対策されているお客さまで1番多いお答えは「アカウント台帳」「パスワード台帳」管理です。

 作業者が、作業前に責任者に申請書を出し、ID/Passを払い出してもらう。作業が終了したタイミングで再度責任者に報告を行い、責任者がパスワードを変更し、その変更を台帳に記帳するといったスタイルです。しかし、これにはさまざまな運用上の課題、そしてセキュリティリスクが潜んでいます。


1.運用が回らなくなる
 台帳管理をされている方々の1番の悩みはこれです。どうしても煩雑になり、結局制度自体が忘れ去られてしまうようです。

2.棚卸しが大変
 sudoなどで制限をかけなければ、管理権限のアカウントは、OSに対して何でもできてしまいます。作業者が台帳にない隠れアカウントを作ってしまうと、台帳の意味が無くなってしまいます。このため、定期的に全てのサーバのローカルアカウント情報を吸い出し、隠れアカウントがないかチェックを行わなければなりません。

3.台帳自体の管理
 Excel管理の場合、標的型攻撃によってハッカーからの攻撃で盗まれてしまったら、全てのサーバがハッカーの術中に落ちてしまいます。

うーん……(無言)

 そして、最も多い回答は、「うーん……(無言)」。

 そこで「多くのお客さまは、全サーバ共通のID、パスワードを設定し、IT部門内で共有利用していますね」とたたみかけると、「やっぱりそうですか、実はうちも……」と悩みを打ち明けていただけることが多々あります。

 「うちはIT部門が小さいので……」「台帳で管理できなくなって……」「作業者からの反発があってなかなか……」「管理作業自体は、外部ベンダーに外部委託していて、部内では操作はほとんどしないから」などなどさまざまです。しかし、これには大きなリスクが存在しています。

1.誰が何をやったのか、誰も分からない
 サーバのログインログを見てみても、「共有アカウントが何時何分にログインした」というのは分かりますが、その操作を誰がしたのか分からなくなり、責任の所在が明確になりません。そして、内部犯行による情報漏えいが起こりやすくなります。

2.退職ユーザーもアクセスできてしまう
 担当者が退職しても、特権アカウントは共有アカウント を使用し続ける場合もあります。ではその退職者が会社の近くまで行き、無線LANで社内ネットワークにログインしたら……。そんな可能性もあります。

3.運用委託の問題
 管理を運用会社に委託している場合、サーバにアクセスするためのアクセスラインとして、VPNを提供し共有アカウントを解放している事もあります。この場合、運用会社の作業者はVPN経由で全てのリソースにアクセスできるため、「魔が差す」可能性もぬぐえません。しかも、2や3が原因で情報漏えいを起こしたといった事件は、今も昔も発生し続け、その結果信用を失い、業績低迷の一因になってしまいます。

IaaS環境の特権管理は?

 最近は企業、組織のサーバの設置場所は、オンプレミスにとどまらず、クラウドへとどんどん移行しつつあります。しかし「クラウドにサーバを置いたから我が社のセキュリティは安心」というのは大きな間違いです。サーバが物理か、仮想か、設置場所がどこかに移っただけです。むしろ、IaaS環境のコンソールのアカウント管理など、新たな”ID管理”が増え、これまでの課題であったサーバのセキュリティ管理、特権ID管理はこれまで以上に重要になってきます。

 しかし、アプライアンスによるゲートウェイ製品となると、IaaS環境に設置するのは非常に困難です。クラウド時代には、クラウド型の特権ID管理の検討も視野に入れていく必要があります。

特権IDで考慮すべき点は

1.共有アカウントを適切に管理する

 共有アカウント自体は悪ではありません。適切に管理、運用を行えば、セキュアな運用が可能です。これには、やはりツールでの運用が最も効率的かと考えます。

 いつ、誰が、どの様な操作を行ったのか把握することが最も重要です。台帳管理でも操作内容を把握することはできません。

 また、全ての運用者が全てのサーバにアクセスする必要はありません。必要なサーバに必要な人だけアクセスできるよう、アクセスコントロールを提供することも重要です。

 Centrify Privilege Service(CPS)の場合、各運用者は、直接サーバにアクセスするのではなく、CPSのポータル経由にてアクセスするため、いつ誰がアクセスしたのか、CPSで管理する事が可能です。そのID情報は、オンプレミスのActive Directoryと連携しますので、運用者のユーザー登録などは必要ありあせん。退職者のアカウント無効もADで行えばCPSも利用できなくなります。また、ワークフローによる承認システムによって、作業者が必要なときだけその作業理由を記載して申請し、承認を受ければ、即座に利用可能となります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

クラウドにもオンプレにも対応できる構成の考慮が必要


※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

申請業務を電子化することで漏れを解消。運用の手間も省力化可能

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

いつ誰がログインしたか掌握


※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

監視されていることを作業者が意識することで、モラルが向上する


2.外部委託アクセスの適切な管理

 リモートアクセスが全て悪ではありません。やはり適切な管理が必要です。VPN経由でアクセスさせる場合、特定のVLANにアクセスを限定させるなど適切なネットワーク管理を行わないと、前途のようなリスクを本当に招いてしまいます。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 Centrify Privilege Service(CPS)はクラウドサービスのため、アクセス元を絞りながら、特定の会社の、特定の作業者に、特定のリソースをアクセスさせ管理することが可能です。もちろんログインの際、なりすまし防止のため、多要素認証を要求することも可能です。

 攻撃者の悪意あるハッキングの大手企業だけの脅威ではありません。大手企業を攻略するために、セキュリティ対策が手薄な取引先や関連会社を経由地として狙い、侵入してくることもあります。全ての企業、組織において特権ID対策が今求められていると考えるべきでしょう。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30009259


IT・IT製品TOP > Key Conductors > 佐藤 栄治(セントリファイ コーポレーション日本支社) > 特権IDを共有することの危険性 適切な管理方法は?

このページの先頭へ

キーマンズネットとは
2015年より米国 アイデンティティセキュリティベンダーの Centrify Corporationに入社し、シニアプリセールスエンジニアとして日本オフィス立ち上げ、クラウド製品のプロダクト・マネジメント、マーケティング戦略に注力。

ページトップへ