Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

特権IDが生み出す3つの危険な状態とは?アクセス管理のあるべき姿はミニマム×ワンタイム×モニタリング

2015/10/19 06:00

 企業システムで脅威となるのは外部からの攻撃だけではなく内部にもある。内部不正に有効な手段は「適切なアクセス管理」だ。ここでネックになるのはシステムに絶対的な権限を持つ特権IDの運用だ。万能な特権IDの使い方を誤れば致命的な事態にも発展しかねない。では、いかに対策すべきか。9月7日に開催した「Security Online Day 2015」に登壇した、NRIセキュアテクノロジーズ ソリューション事業本部 セキュリティコンサルタントの土屋亨氏は、「内部不正時代の特権IDアクセス管理」と題して講演を行った。

内部不正対策に有効な“打ち手”は機密情報へのアクセス管理

 フィッシング詐欺、マルウェア攻撃、標的型攻撃らが猛威を振るっている。これらは外部からの攻撃で、明らかな悪意を持ち、仕掛けてくる脅威だ。言うまでもなく、確実に防ぐべく対応する必要がある。  

NRIセキュアテクノロジーズ ソリューション事業本部
セキュリティコンサルタント 土屋 亨氏

 しかし脅威は外部からだけではない。外部と同様、内部からの情報漏えいや不正への防御も重要だ。この重要性は意外と盲点となる。経営者のなかには「いや、うちの社員に限って(そんなことはない)」と考える人もいるほどだ。本当にそれでいいだろうか。  

 大抵のシステムは外部からの攻撃を防ぐべく、機密データへのアクセスは頑丈に保護されている。しかし内部からのアクセスにはそこまで頑丈な保護が施されていない。内部の人間は外部に比べて簡単に機密情報にアクセスできる状態にある。この状態を軽視してはならない。  

 企業内部のデータにアクセスできるのは今や社員だけとは限らない。システム管理の委託先、開発や運用を担当する協力会社の人間もいる。業務上の役割を超えて「見てはいけない」機密データが見られるような状態にあると情報漏えいにつながるリスクが高まる。悪意がなくてもちょっとした作業ミスから重要なデータの漏えいや削除といった致命的な事態を引き起こす可能性もある。

▲「機密情報」と間近で接する従業員は、情報漏洩・内部不正リスクと日々隣合わせにある。
「Security Online Day 2015」(2015/09/07)NRIセキュアテクノロジーズ
「内部不正時代の特権IDアクセス管理」講演資料より[クリックすると図が拡大します]

 「企業の課題はいかに機密情報を守るかです。日々機密情報に間近に接する内部の従業員にこそ、しっかりと対策を講じて事故を未然に防ぐ必要があります」  

 こう指摘するのはNRIセキュアテクノロジーズのセキュリティコンサルタント 土屋亨氏だ。社員や内輪の人間が信用できるかどうかに関係なく、対策を施す必要がある。  

 具体的にはどのような対策が有効となるか。土屋氏は「結論から先に申し上げると、内部不正対策に有効な打ち手は機密情報へのアクセス管理です」と強調した。ポイントは3つあるという。

1.一人ひとりのアクセス制限を明確にしてアクセスさせる

 個人の所属や職務に応じて必要十分なアクセス権限を付与する。適切なアクセス制御、不正アクセスが行われていないことを保証する記録も重要。

2.アクセス権限を付与する手続きを明確にする

 アクセス権限の付与は当該アクセス者と職務分離されている必要がある。手続きの記録も残すこと。

3.アクセスログの取得とモニタリングを行う  

 アクセスした個人を特定できるログを取得する。ログから不正アクセスが行われていないか検証できるようにする。

 アクセス管理でネックとなるのが「特権ID」。土屋氏は「あらゆるシステムが有する特権IDの存在がアクセス管理を必要とする状況を必然的に生み出しています」と指摘する。

本記事の講演資料「内部不正時代の特権IDアクセス管理」を無料ダウンロードいただけます!

ますます高度化・巧妙化するフィッシング、マルウェア、標的型攻撃など外部からの脅威に加え、委託先やシステム管理者などによる内部不正事件や情報漏洩事件が重要課題となっており対策が急がれます。

本講演資料では、内部不正対策・情報漏洩対策の要となる特権IDのアクセス管理について、抑止・防御・発見・事後対策の視点から解説するとともに、負荷軽減や監査精度向上の手法について解説しています。

講演資料(無料PDF)のダウンロードはこちら!


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Day 2015 講演レポート

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5