それでは最後に、アカウント管理の機能によって、実際にシステムがどのように脅威から保護されるのかを見ていきましょう。
例えば、異動した従業員が旧所属部署の業務システムから不正にデータを入手しようとしたとします。このとき、アカウントの統合管理により権限が適切に移行されていれば、旧所属部署の業務システムへのアクセスを防止することができます。休職者や退職者など、本人に気付かれにくい他人のアカウントになりすまそうとしても、これらが漏れなく適宜無効化されていれば、利用者不在のアカウントに対するなりすましについては防止することができます。
また、攻撃者がシステムに不正侵入しようとした場合には、特権アカウントを利用可能な人・機器・タイミングを制限することで侵入を防止することができます。
不幸にもシステムへの不正侵入を許してしまった場合や、有効なアカウントを有する内部の者が攻撃者となった場合にも、最小権限の原則に従い付与する権限を必要最小限にしておくことで、侵入先システムでのコマンド実行やシステムの再起動など、侵入後の活動を制限し、被害を最小限にとどめることができます。
このように、アカウント管理は、システムへの不正侵入が他のセキュリティ機能をすり抜けた場合や、PCがマルウェア感染してしまった場合に、攻撃による被害を限定することに役立ちます。
アカウント統合管理はユーザーの利便性にもつながるため、あまり敬遠されることはありませんが、残念ながら特権アカウントの管理は業務の円滑さや利便性と相反するという誤解が多く、利用者からもシステム管理者からも敬遠されやすい領域です。
しかしながら、他のセキュリティ機能だけで全ての脅威には対応できず、また脅威は必ずしも正面玄関からやってくるとは限りません。特権管理がなされていないシステムが侵入を受けた場合、深刻な被害につながりやすくなることから、多層防御の観点では強く実装が推奨されます。高い価値を持つサービスには、そのシステム運用にも高い信頼性が求められるのです。
以上、第8回ではアカウント管理を扱いました。次回は「セキュリティ情報の管理」について解説します。
Copyright © ITmedia, Inc. All Rights Reserved.