Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

特権アクセス管理をサードパーティに拡張したCyberArkが語る、管理者アカウントを守る重要性

edited by Security Online   2020/01/08 06:00

 特権アクセス管理サービスを提供するCyberArkはこのほど、外部委託事業者など社外からのアクセスにも保護を拡張するサービス「Alero」を発表した。日本では2019年11月21日から、CyberArkのCore PASにアドオンする形で提供を開始した。同社は特権アクセス管理の先駆けのような存在だ。一部MSアプリで「OAuth2.0」を用いた外部連携機能におけるアカウント乗っ取りの脆弱性を発見したことなども記憶に新しい。特権アクセス管理の現状などをCyberArk創業者であり会長兼CEOのウディ・モカディ氏と日本法人 カントリーマネージャーの智田公徳氏に訊いた。

特権アクセス管理は企業セキュリティにおける最重要課題

CyberArk創業者で会長兼CEO ウディ・モカディ氏(右)と日本法人 カントリーマネージャー 智田公徳氏

 特権アクセスとは、システムに「root」や「Administrator」など、「管理者」として高い権限を持つ特権IDを利用したアクセスのことだ。一般ユーザーとは異なり、管理作業を遂行するための特別なアカウントやログイン方法を指す。対象システムはサーバーOS、ネットワーク、データベース、アプリケーション、そしてクラウドサービスも含める。

 サイバー攻撃の標的はケースバイケースで多岐にわたるものの、攻撃者は目的を遂行するために、システムやネットワークを意のままに操れる特権アクセスの入手を狙う場合が多い。特権IDが入手できるかどうかは攻撃の成否を決める重要な要素となる。逆に言えば、防御する側は特権IDを奪われないようにすることが重要だ。

 守るべき特権IDとしてCyberArk 会長兼CEO ウディ・モカディ氏はまずネットワーク内の認証を集中管理するサーバー、ドメインコントローラーを挙げる。2014年の米ソニー・ピクチャーズ エンタテインメントへの攻撃では、まさにこのドメインコントローラーが狙われ、不正アクセスにつながった。

 続いて、モカディ氏が挙げるのがデータベース。重要な情報はデータベースに格納されているため、データベースの権限を奪われてしまうとデータの閲覧だけではなく、改ざんや削除まで行使される危険もある。例えば2015年には米連邦政府人事管理局のデータベースが狙われ、政府職員の指紋情報も含めた個人データが大量に盗まれた。また、同質の攻撃を受けた米国2位の医療保険会社Anthemでは、米国国民の1/3にあたる顧客データへの被害が発生した。

 ほかにもモカディ氏は基幹システムなどのビジネスクリティカルなサーバー、それからクラウドサービスも挙げた。オンプレミスでは管理者権限は散在しているが、クラウドはクラウドサービスを管理するためのアカウントに権限が集中している。もし特権IDが奪われたらダメージは大きくなるだろう。

 CyberArkでは特権アクセスのためのパスワード漏洩を防ぐため、企業内の特権アクセスを一元管理するためのソリューションの提供をしている。通常、システム管理者が管理者権限を使う時にパスワードを入力してログインする。一方、CyberArkではどのアカウントがどのシステムに対してどういった権限を持っているかを登録しておくため、管理作業を行うユーザーは自身のユーザー名でCyberArkにログインするだけ。各システムへの特権アクセスのパスワードはCyberArkが管理するため、管理者の役割を果たすユーザーはパスワードを記憶したり入力する必要がない。

 特権アクセスを金庫の鍵にたとえれば、CyberArkが金庫の鍵を集中管理し、金庫に出入りするユーザーを精査して代わりに開けてくれるような仕組みだ。CyberArkは鍵(パスワード)の変更も自動で行うため、CyberArkを経由せず何らかのシステムに特権アクセスでログインすることは難しくなる。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5