5.1 不正アクセスとアカウント
5.1.1 不正アクセスで使われる手口
知らない会社のシステムへ、違法だとわかった上でアクセスすることを考えてみます。
誰にでもできそうな攻撃方法となると、まずは事務所に勝手に侵入して、使っている最中のパソコンを盗んで勝手にいじることが思いつくでしょう。ロックがかかっていたらダメですが、そうでないPCを探していけば、使えてかつ社内ネットワークにつながっているものが見つかるかもしれません。
もう少しIT的な方法になると、その会社の社員のメールアドレスを見つけて詐欺メールを送り、リンクを踏ませてパソコンをハッキングするなどの攻撃シナリオが、Webサイトの記事ではよく紹介されています。
それからほとんどの人にはあまり縁がないかもしれませんが、闇市場のようなところでは誰かのユーザー名とパスワードがまとめて売っていたりすることもありますので、それを買ってネットワーク接続を試みるというのも考えられます。このような攻撃方法で、パソコンを乗っ取ったら、さらにそこから接続しているクラウドサービスや、アプリケーションを不正利用することもあります。
これらの方法は、いずれも組織に所属しているメンバーのアカウントを悪用しようとするハッキング(攻撃)です。このような手段でパソコンを乗っ取ったり普段使っているクラウドサービスで何かを操作したりすると、「あれっ、自分のアカウントが誰かに使われているぞ、まずいな」と気づかれてしまうかもしれません。
攻撃するときに、もう少しばれにくい方法として、退社した社員のアカウントや共有しているアカウントなどを奪うということも考えられます。退社した社員をさがして「以前の会社で使っていたクラウドサービスですけど、共有アカウントを設定していませんか。ユーザー名とパスワードは覚えていますか」と持ち掛けて「教えてくれたら5万円だしますよ」とか言われてしまうと「もう辞めちゃったとこだし、別にいいか……」のように売り払ってしまうということも考えられます。
このように攻撃者は多様な方法で不正アクセスを仕掛けてくるものですが、適切にアカウントを管理できていれば、防ぐことができるようになります。
今回はCISコントロールの5番目で扱われている「アカウント管理」について、見ていきましょう。
5.1.2 最小権限の原則
先ほど述べたような方法で、攻撃者が会社のパソコンなり、何かのクラウドサービスなりに不正にアクセスできたとします。この段階でもなにがしか悪いことはできるかもしれませんが、実際の攻撃者を考えてみると、彼らはより大きな利益を得たいでしょうから、それだけではなく、もっと様々な情報を得たいと思うはずです。
つまり、攻撃者はどれかのサービスなりデバイスなりを乗っ取ったあとで、目的を達成するために、よりさまざまなサービスやアプリケーションへアクセスするための権限を入手しようとするのです。
しかしここで、不正アクセスに成功した攻撃者は、まだ攻撃した部分の権限しか持っていません。そこで、会社のあらゆるシステムにアクセスできる権限を手に入れるためにいろいろな工夫をしようとします。
このような攻撃者は、一台のパソコンに不正アクセスしたら、会社のアカウントをまとめて管理しているようなサーバーを乗っ取ろうとするかもしれません。あるいは不正接続に成功したクラウドサービスの管理者用アカウントを手に入れて、全社員に関係するデータを入手するかもしれません。これを防ぐにはどうすればいいのでしょうか。
もし、乗っ取ったパソコンを使って社内ネットワークへアクセスしても、他のパソコンを乗っ取れないのであれば、被害は最小限に抑え込むことができます。
そのためには、各アカウントに最低限の権限だけを与えて、それ以外のことをさせないようにすることが有効です(図1)。
たとえば、さまざまなアプリケーションを利用する必要がない営業メンバーのユーザーアカウントには、ソフトウェアをインストールする権限は与えず、顧客情報にはアクセスできるようにしておく、などが考えられるでしょう。
その顧客情報のデータを見る必要がないサポートメンバーについては、ファイルやディレクトリへのアクセス権限を与えないという方法も考えられます。
このように、IT管理者以外のアカウントから必要な権限以外を剥奪しておくことで、機密情報を盗んだり書き換えたりするなどの不正行為を抑え込み、システムの重要な区画やデータを保護できるようになります。
このような運用方法を最小権限の原則といいます。
考え方としてはかなり古くからあるもので、1975年のジェローム・サルツァーという人が「マルティックスにおける情報共有の保護と管理」というタイトルの論文で、基本原則の一つとして紹介されています。
5.1.3 最小権限の原則を実際にあてはめてみる
最小権限の原則は、多数のメンバーを抱える組織で完全に実現するのは難しいですが、いくつかの基本的な方法はあります。アクセス制御の設定、定期的なチェック、そして適切な教育などです。
特にアクセス制御の設定は、最小特権の原則を実施するための基本です。
誰が何にアクセスすることができるかを定めておいて、各ユーザーやシステムがアクセスしたあとに、どのような操作ができるかを決めていきます。それができたら、こうしたアクセスが実際に設定されていて、不正アクセスやデータ侵害が発生していないかを定期的に確認する必要があります。この確認は外部の専門家に実施してもらうのも効果的です。外部コンサルタントは費用がかかりますが、実際の運用は柔軟さという建前のもと、徐々におざなりになっていくものですので、公平かつ厳格な目を入れることも可能な限りやるべきでしょう。
組織の習慣的に、このような最小権限の原則が歓迎されないこともあります。たとえば開発メンバーが利用できないアプリケーションが多かったり、経営陣が作成中の営業資料にアクセスできなかったりするなどがあると、ユーザーが権限を広げるように主張し、管理者が押し負けて許可してしまうということも往々にしてあります。
このような場合は、セキュリティ教育と継続的な意識改革が必要です。スタッフにセキュリティの重要性を理解させ、自分の行動が企業全体のセキュリティに影響を与えていくことを理解してもらいます。特権がやたらと乱用されないよう、ユーザーの行動を監視し、適切な警告を与えることも有効です。
