Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

識別、認証、認可。3つのフェーズを考慮してアクセス制御を改善しよう!

2016/05/19 07:00

 今回は「間違いだらけのクライアント・セキュリティ」の連載第5回目となります。今回も前回に続き対策編です。Windows環境の中でもクライアントPC向けのセキュリティ対策を中心に取り上げます。ただし、単に設定の仕方、断片的・表面的なノウハウとしてではなく、情報セキュリティの基本的な枠組みを考慮しながら構造的・立体的な対策として解説していきます。

制御を奪われないための"基本中の基本"の再確認

 これまでの連載でも、攻撃者の狙いは管理者権限を奪うことであり、その攻撃の最初の起点としてクライアント端末の弱点を狙ってくることを繰り返し解説しました。

 そして、初期の攻撃が成功すると、多数のクライアント端末間を、いわば”カニ歩き”のように横方向に攻撃を仕掛け、何台ものクライアント端末がマルウェアに感染していきます。その攻撃が進む過程で、重要なサーバーの運用操作をしている端末にも攻撃がおよび、そのサーバーの制御を奪います。その結果、「攻撃者が悪意のあるシステム管理者として成り済ませる状態」になるのです。あとは攻撃者の狙いに応じた不正が行われます。

 こうした攻撃を俯瞰すると、攻撃の起点となり被害拡大する原因になっているクライアント端末自身の弱点を強化することが効果的です。

 「制御を奪われる」とは、IT環境においてまさにアクセス制御を奪われることと読み替えてよいでしょう。

 アクセス制御は、通常「1.識別(Identification)→2.認証(Authentication)→3.認可(Authorization)」の3つの要素のステップにより実現されます。

1. 識別

 ユーザーを識別できるようにそれぞれに固有のユーザーアカウント(ID)を割り当てます。例えば社員番号やメールアドレスなどがその例になります。

2. 認証

 そのユーザーが本当に本人であることを確認する。現在の一般的な運用では、そのユーザーしか知りえないパスワードによる認証が中心です。

3. 認可

 そのユーザーの属性に応じてアクセスできる範囲を確認する。たとえば、人事部のみアクセスできるファイルやフォルダーには人事部のユーザーだけがアクセスできるようにすることなどです。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 香山 哲司(カヤマ サトシ)

    日本マイクロソフト株式会社 エンタープライズサービス シニアプレミアフィールドエンジニア 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環...

バックナンバー

連載:間違いだらけのクライアント・セキュリティ対策

もっと読む

この記事もオススメ

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5