現役CISAに聞く「特権ID管理」の新常識。内部犯行はどうすれば防止できる? CSIRTの活動を阻むものとは?内部統制監査済み企業でも、実態は……

昨今、企業で相次いでいる情報漏えい事件などを受けて、セキュリティ、コンプライアンス担保の在り方が今あらためて強く問われている。中でも対策のカギとなるのが特権ID管理だが、その確実な管理のポイントはどこにあるのだろうか? 多くの現場を知るCISA (公認情報システム監査人)に、“現場の実態”と、取るべき施策を聞いた。

» 2015年05月25日 10時00分 公開
[PR/@IT]
PR

内部犯行の温床となりやすい「特権ID」

 企業を狙うサイバー攻撃は日に日に高度化、巧妙化が進み、単に「高い壁を作ればいい」という時代は終わってしまった。今ではその壁をすり抜ける攻撃だけではなく、壁の中にある脅威、つまり「内部犯行」への対策も取らなければセキュリティは語れなくなった。内部犯行は壁の内側で行われるため、これまでの壁作りとは異なる対策が必要になる。

 無論、ISMS(情報セキュリティマネジメントシステム)やPマークといった「お墨付き」を取得したとしても、経営者は安心してはいけない。たとえこうした認証を取得していたとしても、現場の実態を考えれば、内部犯行は「簡単」に行えるのが実情だ。

 特に犯行の温床となりやすいのが特権IDだ。2014年以前に発生した大規模な情報漏えい事件の多くも特権IDの管理がずさんだったことが原因とされている。では具体的に、いったいどうすれば企業のセキュリティを確実に担保できるのだろうか? 各種企業や官公庁へアドバイスを行っているCISA(公認情報システム監査人)、プロアクション代表取締役の宮崎啓氏に、「特権ID管理」の現状と課題、取るべき施策を聞いた。

管理者IDなのに「共有」せざるを得ない現状

 「昨今、情報漏えい事件がさまざまな企業で発生したことを受けて、『内部統制にきちんと取り組もう』という機運が高まりました。その対策の一つとして特権ID管理があります」と宮崎氏は述べる。特権IDとは、OSやデータベースの「root」や「administrator」など、「管理者が使うID」だ。

 特権IDはシステムの管理、メンテナンスのために使われるものであるため、システム全体をコントロールできる権限が与えられている。換言すれば、ほとんどのシステムにおいて設定変更やデータ閲覧だけではなく、情報の消去、破壊といった行為まで含めて“何でも”できてしまう権限だ。

ALT プロアクション代表取締役 宮崎啓氏(CISA公認情報システム監査人)

 当然、情報漏えいをはじめ、あらゆるリスクを内包するため、そのようなIDを厳しく管理する必要があることは誰もが認識していよう。ISMS/ISO27001などでも「特権IDをどう利用するかを明確にプロセス化せよ」と指示されている。そのため、ISMS/ISO27001を取得した企業では然るべき対策が行われているはずだ。しかし、「現実には、企業・組織において特権IDの管理を複数人で行っている場合、必ずしもきちんと管理されているわけではない」と宮崎氏は指摘する。

 「例えばシステムを運用している中で、“正しい権限を付与されたID”が必要な何らかの問題が生じ、そのIDが至急必要になる場合があります。ところが、そのIDを管理している人が休みで連絡も取れない場合、何でもできる特権IDをその場しのぎで使ってしまうなどの例が散見されるのです。この場合、事後報告があればまだ対処の余地があるが、報告もされずそれが常態化してしまうと、せっかく作ったセキュリティ手順書も絵に描いた餅になってしまいます」

 管理ルールがあればまだいい方だ。特権IDとパスワードを複数のメンバーで共用し、「誰が、いつ、それを使って何をしたか」を把握できていないケースも目立つという。こうした問題は規模によらず多くの企業でありがちなことから、宮崎氏自身、システム監査時の指摘事項として取り上げることも多いそうだ。

 特に問題なのは、「特権IDの共有という問題に、経営者が気付いていない例も多い」ことだという。すなわち、システム監査を行いISMS/ISO27001などの認証を取得していたとしても、現場の実態とは乖離(かいり)している例も多いというわけだ。宮崎氏は、「各組織におけるシステム監査を定期的に行い、まずは現状をきちんと把握することが重要です」と指摘する。

CSIRTに必要な情報が取れているか

 一方、「CSIRT(シーサート)」の取り組みも注目されている。「セキュリティインシデントが発生した際、組織としてどのように対応するか」という、有事の際のコントロールを行う組織体制を社内に構築する取り組みだ。

 そのCSIRTがインシデント発生時に頼りにするものは「ログ」だ。例えば自社が持つ情報が流出した場合、「そのデータにアクセス可能な人」の行動を追いかける必要がある。しかし、この取り組みにおいても、全てのデータにアクセス可能な「特権ID」をきちんと管理できていなければ、アクセスログから「そのデータにアクセスした人」を割り出すことができなくなってしまう。

 従って、特権IDが持つ「アクセス権の管理」、および特権IDで行われた処理の「ログの管理」の二つを確実に行い、特権IDが「誰によって、どのように使われ、何が行われたのか」を管理することが非常に重要なポイントとなる。

 CSIRTもこうした管理体制があって初めてセキュリティインシデントへの迅速な対応が可能となる。宮崎氏は、「2015年10月にマイナンバー制度(社会保障・税番号制度)が施行されれば、マイナンバーも保管対象となるため、企業はIDやデータの管理をこれまで以上に厳格、かつ詳細に行う必要がある。あらためて現場の実態を把握する必要がある」とあらためて警鐘を鳴らす。

特権ID管理という考え方

 では、特権IDはどのように管理すべきなのだろうか。宮崎氏はまず「システムの設計時に『特権IDのパスワードをデフォルトから変更する』などの定石は必ず守ること」と述べる。

 また、例えばデータベースの特権IDなら、「システム開発用」「パフォーマンスチューニング用」「ログ監視用」といった具合に用途別にアクセス権限を分けるなど、「アカウント設計をしっかりと行う」ことがポイントとなる。言うまでもなく、ここまでは多くのエンジニアにとって「常識」といえるレベルだ。経営者、IT管理者はまずこれらが守られているかをチェックすべきだろう。

 一方で、これら「特権IDを管理する仕組み」も確立する必要がある。仕組みとしては「特権IDの紙ベースでの貸出票を使った管理」も考えられるが、改ざんやねつ造などを防止する上でもツールを使うことが有効な方法だという。例えば「IDの共有をやめる」ために、「特権ID管理者が都度、IDとパスワードを貸出し、利用が終わったらパスワードを新しいものに設定し直す」といったプロセスを定義できれば、ツールを使って確実・スピーディに作業を行える。

 「もちろんツールありきで考えるのは良くないが、自社システムで特権IDはどれほど存在するのか、特権IDを必要とするメンバーがどれほどいるのかなどを把握した上で、取り組むべき特権ID管理の要件を定義し、その実行に適したツールを選べば、より確実・効率的に管理できるようになります。何より大切なのは、ルールを“形骸化”させないことです」

 ISMS/ISO27001やPマークを取得していたとしても、はたして本当に実効性のある特権ID管理はなされているのだろうか?――宮崎氏は「マイナンバー制度の施行も間近に控えた今このタイミングで、“現実の実態”を見直してみる意義は十分にある」と指摘する。

ツールを使って特権IDを安全に管理するために

 ではツールを使うとすれば、具体的にはどのような機能要件が求められるのだろうか? ここではゾーホージャパンが提供する「Password Manager Pro」を通じて簡単に見てみよう。

ALT 図1 「Password Manager Pro」機能概要

 「Password Manager Pro」はエージェントレスの特権ID管理ツールで、特権IDを「必要なときだけ、必要な人が使える」ように、パスワードを申請、承認、貸出、返却できるツールだ。「パスワード発行のワークフロー管理」だけではなく、「パスワードの定期変更」も可能だ。さらに「特権IDを使用して行った行動の履歴」を、コンソールのログや、画面操作の動画を記録できることを特長としている。

 図2は特権ID貸出しワークフローの概念図だ。こうした管理プロセスによって、特権IDの「共有」を防ぎ、安全・確実に管理することができる。仮にこうしたルール・プロセスがあっても形骸化してしまうケースもありがちなものだが、ツールをうまく適用すれば組織に着実に根付かせることができる。こうした点もツール導入の大きなメリットといえよう。

ALT 図2 Password Manager Proで実現できる特権ID貸出しのワークフロー

 またPassword Manager Proの場合、「SIEM(セキュリティ情報イベント管理)」ツールと組み合わせることで、複数の機器から生成された特権IDのセッションログを解析することもできる。これにより、万一セキュリティインシデントが発生しても、「いつ、誰が、どの機器で、どのような操作をしたのか」を特定することができる。すなわち、先に挙げたCSIRTの取り組みにおいても心強い味方となるわけだ。

 今回、宮崎氏は特権ID管理にまつわる数々の問題と、解決のアプローチを指摘した。こうして概要図を見ると、あらためてそうしたポイントを頭の中で整理できるのではないだろうか。

 以上、本稿では特権ID管理にまつわる問題と解決のポイントを見てきた。ただし、ポイントは複数あれど、やはり最も重要なのは「ISMS/ISO27001やPマークを取得しているからといって、必ずしも安全とはいえない」という宮崎氏の指摘だろう。認証も大切だが、認証を取得することが最終目的ではない。内部犯行防止やセキュリティインシデント対応に、「本当に役立つ仕組み」を作ることが何よりも大切なのだ。

 特権ID管理に対する経営層の認識と現場の運用はかい離していないか、あるべき姿と現場の実態にはどのようなギャップはあるのか、本稿をきっかけにあらためて見直してみてはいかがたろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ゾーホージャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年6月14日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。