SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

情報漏洩対策に必要な7つの楯

第5回 アクセス制御/特権ID管理のポイント

 企業としてさらに強固なセキュリティ対策を施すきっかけとなるような情報漏洩対策のポイントや考え方をご紹介する本連載、第5の楯は「アクセス制御/特権ID管理対策」です。

 一般的に、社内にある個人情報や機密データはファイル・サーバやDBサーバに格納され、特定の権限を持つ社員だけがユーザID/パスワードでアクセスできるように厳密に保護されています(ユーザID/パスワード自体も厳密に保管)。

 厳密に保護されているにもかかわらず情報が漏洩する要因としては、特定の権限を持つ内部の人間が不正にアクセスする「内部犯行」や、脆弱性/マルウェアを利用し特権ID/パスワードを奪取されることによる「不正操作」が考えられます。

 これらの脅威にはアクセス制御と特権ID管理の2つの対策が有効です。以降では、アクセス制御(多要素制御と職務分掌)、特権ID管理(特権の制御、ログイン制御)に分けた対策をご紹介します。

アクセス制御

  •  ユーザID/パスワード以外の要素も組み合わせた多要素制御(多要素制御)
  •  職務分掌に基づき必要な権限のみを厳密に付与したアクセス制御(職務分掌)

特権ID管理

  • 一般ユーザと同様に、OSとは独立して特権アカウントの権限を制御(特権の制御)    
  • 特権IDを有する個人を特定する仕組み(ログイン制御)

1.アクセス制御/多要素制御

 データを保護するためには、ログイン認証自体を強固にするという施策が重要です。一般的に、重要なデータが存在するファイル・サーバやDBサーバでは、ユーザID/パスワードに代表されるアカウント情報によってアクセス制御を行っていますが、職務に応じた適切かつ効果的なアクセス制御を行うためには、アカウント情報だけでなく、実際の組織や業務体系に合わせ、他の要素を組み合わせて柔軟かつ堅牢に管理する必要があります。

【対策のポイント】アカウント情報は基本、他の要素を組み合わせることが必要
ユーザID/パスワード
 基本的な認証基盤。ユーザID/パスワードにより、ログイン制御およびログイン後のアクセス制御を実装する。

IPアドレス
 クライアントPCからサーバにアクセスする場合に、各PCが持つIDアドレスにより、ログイン制御を実装する。

プロトコル
 
TELNETやFTP等サーバにアクセスする際のプロトコルにより、ログイン制御を実装する。

プログラム
アプリケーションやミドルウェアの種別により、ログイン制御を実装する。

2.アクセス制御/職務分掌

 ログイン後の操作には、職務分掌に応じたアクセス制御が有効です。これは一般的な職務の分掌と同じ考え方ですが、ここで重要なポイントは管理者が特権IDを使用してサーバの管理業務を実施する場合においても、業務に必要のない権限は持たせない仕組みを実装することです。

【対策のポイント】サーバ管理と運用/開発は分離させる
管理ID

 サーバ管理者(管理IDを持つ担当者)については特権IDを使用してサーバにログインするか、自分のIDを使用してログインした後に特権IDに成り代わりサーバに対して管理業務を実施することは可能とする。しかし、サーバ管理業務に関係のない重要データや開発関連のデータにはアクセスできないように設定する。

運用ID/開発ID
 運用IDや開発IDを持つ担当者は、特権IDの使用を不可とし、各々の業務に必要なデータのみアクセスできるように設定する。

図1 アクセス制御/職務分掌 ~サーバ管理と運用/開発は分離~
図1 アクセス制御/職務分掌 ~サーバ管理と運用/開発は分離~

3.特権ID管理/特権の制御対策

 一般的に特権ID(administrator,root等)はOS内では最上位として権限が体系化されており、オールマイティに作業することが可能です。つまり、特権IDを利用すると、重要データへのアクセス、アカウントの作成/削除、ログの改竄等も可能となるため、特権IDが奪われたり不正利用されるということは事実上サーバの制御権が奪われることを意味し、最も漏洩リスクが高まります。

 したがって、特権IDはサーバの統合的な管理業務を行うためだけに付与し、(OSの機能だけでは限界が有りますが)職務分掌を行うことで重要なデータへのアクセスを制限しセキュリティを担保します。

【対策のポイント】アクセス制御ツールの利用や個人特定ができる工夫を!
特権ユーザ

 特権IDを持つユーザは、OS内では最上位の権限を持つため、重要データにもアクセスできてしまう。そこでアクセス制御ツールを利用して、OSとは独立したアクセス制御を実装することで、一般ユーザと同様に、本来の業務には必要のない重要データへのアクセスを制限する。

一般ユーザ
 一般ユーザには、業務ごとに必要な権限だけを割り振る。一般ユーザに重要データへのアクセス権を付与する場合、それらのユーザ管理は個人が特定できるようにする等、よりセキュアな仕組みを実装する。

図2 特権ID管理/特権の制御対策 ~アクセス制御ツールの利用や個人特定ができる工夫を~
図2 特権ID管理/特権の制御対策 ~アクセス制御ツールの利用や個人特定ができる工夫を~

4.特権ID管理/ログイン制御

 特権IDの管理については、セキュリティ監査でも指摘されることが多い項目ですが、他のIDと同様に、多要素(IPアドレス、プロトコル等)によるログイン制御とは別に、「使用機会を必要最小限とする」、「使用に際して個人が特定できる」状態が管理面では有効です。

 そのため、通常は特権IDの利用は制限しておき、必要に応じて申請/承認を経て使用可能とし、関連するログを取得すると良いでしょう。

【対策のポイント】特権IDの利用は申請制にしログ管理を行う
申請

 特権IDの利用を制限しておき、業務上の必要に応じて、利用時間、申請理由、作業項目等を明記して、上長等の承認者に申請させる。

承認
 承認者は申請内容の正当性や妥当性を確認後、承認する。承認後に、有効なIDやパスワードを申請者に通知する等した後、特権IDを使用できる状態にする。

ログ
 申請/承認ログやログインしたサーバ側のログイン・ログや作業ログを取得し、業務の正当性や申請外の不正ログインの有無を確認する。

 図12:特権ID管理/ログイン制御 ~特権IDの利用は申請制にしログ管理を実施~

 図3 特権ID管理/ログイン制御 ~特権IDの利用は申請制にしログ管理を実施~

 申請/承認行為、承認後のプロセス、ログ取得やモニタリングは、ワークフローやログ管理ツールを用いたシステム化が一般的です。また、サーバに対するセキュリティ・レベルの向上という観点では、情報漏洩だけではなくWebシステム等のデータやコンテンツの改竄の対策としても有効です。

 今回はアクセス制御/特権ID管理について解説しました。いかがでしたか?次回はログ分析のポイントについて解説します。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
情報漏洩対策に必要な7つの楯連載記事一覧

もっと読む

この記事の著者

伊藤 雄介(イトウ ユウスケ)

株式会社アシスト システムソフトウェア事業部メインフレーム時代から23年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に携わる。顧客の業務要件を広くヒアリングしてきた経験から、ソフトウェアの機能中心ではなく、顧客のスコープを明確化したうえでの最適な提案を得意とする。...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6749 2015/05/01 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング