グループ会社や取引先まで“特権ID管理”が必要な時代、自社にとって最適なアプローチをどう探す？

自社だけでは不十分、サプライチェーン全体での“特権ID管理”が急務に

　各システムの維持管理のために用意され、システムに大きな影響を与える権限を持つ特権ID。一般的には、一つのIDが社内で共有して使われることが多い。高い権限を持つため、サイバー攻撃や内部不正で狙われやすいIDでもある。「ひとたび悪用されてしまうと、データの盗難や改ざん、破壊、サービス停止のほか、さらなる攻撃の踏み台に利用される恐れが高い」と鈴木氏。そうなれば、組織の信用失墜や顧客離れ、損害賠償対策費用の発生など、大きな損害を被ることになるだろう。

　現状のサイバー攻撃は、マルウェア付きメールの送信を初期潜入の起点とするケースが多い。受信者がメールをクリックするとマルウェアに感染し、攻撃者から遠隔操作されるという手口だ。その後、社内で他のPCなどへ感染が拡大し、重要システムへのアクセスに必要な特権IDが奪取されてしまう。また、侵入者は外部だけでなく内部のユーザーである場合もあり、その場合は普段から特権IDが身近にあるため、監視やアクセス制御の仕組みが機能していなければ、ワンステップで不正行為が実施できてしまうという。

　特権IDは極めて重要なため、各種監査や基準でも重要視されている。たとえばPCI DSSでは、「システムコンポーネントおよびデータへの論理的なアクセスは、アクセス制御システムを介して管理されなければならない」と規定されている。また、FISCの安全対策基準では、「アクセス状況を管理するために、システムおよびデータへのアクセス履歴を取得し、監査証跡として必要期間保管するとともに、定期的なチェックが求められる」とされている。

　特権IDを取り巻く環境も年々変化しており、今や管理対象機器の設置場所は、オンプレミスとクラウドの両方に、作業場所も現地に加えリモートアクセスが当たり前となっていることは言うまでもない。また、考慮すべき範囲も、自社だけでなく委託先や関連企業を含めたサプライチェーン全体に広がっている。

　すでにサプライチェーンを意識した業界ガイドラインも存在する。たとえば自動車産業では、産業界全体のセキュリティレベルの向上と、対策レベルの効率的な点検を推進する目的で、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）から『自工会/部工会・サイバーセキュリティガイドライン』が発行されている。

　このガイドラインの対象は、自動車メーカーだけでなくサプライチェーンを構成する関連会社にも及び、様々なセキュリティ対策のレベルが①最低限実装すべき項目、②標準的に目指すべき項目、③到達点として目指すべき項目、の3段階で定義されている。認証認可の項目には、ユーザーIDと管理者IDの権限分離や、IDの定期的な棚卸の条件が記載されているという。鈴木氏は、「取引先から特権IDの適切な管理について求められるケースも増えている」と話す。

　鈴木氏は、特権IDが悪用されたインシデント事例をいくつか紹介した。まずは、ある通信会社で発生したデータ流出事件。そのグループ会社である委託先の派遣社員が、コールセンターのシステムから個人情報を大量にダウンロードし、約900万件もの顧客情報が漏えいした事件だ。

　また、ある証券会社の委託先企業で発生した事例では、開発・保守業務を担当していた委託先の社員が、本番環境から顧客情報を不正に持ち出し、その情報を利用して不正アクセスを実行。2億円の不正出金が行われた。こうした事例は決して珍しくなく、定期的に発生している。いずれも、委託先を含めた適切な特権ID管理ができていれば、防げた可能性が高いインシデントだ。