グループ会社や取引先まで“特権ID管理”が必要な時代、自社にとって最適なアプローチをどう探す？

自社だけでは不十分、サプライチェーン全体での“特権ID管理”が急務に

　各システムの維持管理のために用意され、システムに大きな影響を与える権限を持つ特権ID。一般的には、一つのIDが社内で共有して使われることが多い。高い権限を持つため、サイバー攻撃や内部不正で狙われやすいIDでもある。「ひとたび悪用されてしまうと、データの盗難や改ざん、破壊、サービス停止のほか、さらなる攻撃の踏み台に利用される恐れが高い」と鈴木氏。そうなれば、組織の信用失墜や顧客離れ、損害賠償対策費用の発生など、大きな損害を被ることになるだろう。

　現状のサイバー攻撃は、マルウェア付きメールの送信を初期潜入の起点とするケースが多い。受信者がメールをクリックするとマルウェアに感染し、攻撃者から遠隔操作されるという手口だ。その後、社内で他のPCなどへ感染が拡大し、重要システムへのアクセスに必要な特権IDが奪取されてしまう。また、侵入者は外部だけでなく内部のユーザーである場合もあり、その場合は普段から特権IDが身近にあるため、監視やアクセス制御の仕組みが機能していなければ、ワンステップで不正行為が実施できてしまうという。

　特権IDは極めて重要なため、各種監査や基準でも重要視されている。たとえばPCI DSSでは、「システムコンポーネントおよびデータへの論理的なアクセスは、アクセス制御システムを介して管理されなければならない」と規定されている。また、FISCの安全対策基準では、「アクセス状況を管理するために、システムおよびデータへのアクセス履歴を取得し、監査証跡として必要期間保管するとともに、定期的なチェックが求められる」とされている。

　特権IDを取り巻く環境も年々変化しており、今や管理対象機器の設置場所は、オンプレミスとクラウドの両方に、作業場所も現地に加えリモートアクセスが当たり前となっていることは言うまでもない。また、考慮すべき範囲も、自社だけでなく委託先や関連企業を含めたサプライチェーン全体に広がっている。

　すでにサプライチェーンを意識した業界ガイドラインも存在する。たとえば自動車産業では、産業界全体のセキュリティレベルの向上と、対策レベルの効率的な点検を推進する目的で、日本自動車工業会（JAMA）と日本自動車部品工業会（JAPIA）から『自工会/部工会・サイバーセキュリティガイドライン』が発行されている。

　このガイドラインの対象は、自動車メーカーだけでなくサプライチェーンを構成する関連会社にも及び、様々なセキュリティ対策のレベルが①最低限実装すべき項目、②標準的に目指すべき項目、③到達点として目指すべき項目、の3段階で定義されている。認証認可の項目には、ユーザーIDと管理者IDの権限分離や、IDの定期的な棚卸の条件が記載されているという。鈴木氏は、「取引先から特権IDの適切な管理について求められるケースも増えている」と話す。

　鈴木氏は、特権IDが悪用されたインシデント事例をいくつか紹介した。まずは、ある通信会社で発生したデータ流出事件。そのグループ会社である委託先の派遣社員が、コールセンターのシステムから個人情報を大量にダウンロードし、約900万件もの顧客情報が漏えいした事件だ。

　また、ある証券会社の委託先企業で発生した事例では、開発・保守業務を担当していた委託先の社員が、本番環境から顧客情報を不正に持ち出し、その情報を利用して不正アクセスを実行。2億円の不正出金が行われた。こうした事例は決して珍しくなく、定期的に発生している。いずれも、委託先を含めた適切な特権ID管理ができていれば、防げた可能性が高いインシデントだ。

“手”で管理するか、ソリューションで管理するか？

　特権IDの管理方法には、主に“手運用”と“ソリューション活用”の2つが存在する。手運用の場合は、Excelなどのソフトを使用し、特権IDを手動で管理するため、ソリューションの導入や維持にかかる費用は発生しない。一方、特権ID管理ソリューションなら、抜け漏れの防止や、運用工数の削減、特権ID悪用のハードルを上げるなどのメリットがある。

　一般的な手運用管理のイメージは、まず作業者が作業の申請書を提出し、管理者が内容をチェックして共有の特権IDを貸し出す。そして、貸し出された共有の特権IDを使用して作業を行い、作業終了後には、再アクセスを防止するために管理者がパスワードを更新するといった具合だ。加えて、定期的に監査者がログを確認することになる。

　ただし、鈴木氏は「この方法でも一定水準の対応は可能だが、実際には多くのセキュリティリスクや課題が潜んでいる」と指摘する。

　まず問題となるのが、担当者の作業負荷だ。作業の申請や特権IDの貸出はもちろんのこと、ログの確認にも多くの作業を要する。作業申請が紐づいていなかったり、ログの判断材料が少なかったりする事態が日常的に発生するからだ。ほかにも、共有IDでのアクセスは利用者の特定を困難にするほか、悪意あるユーザーによる漏えいや使い回しのリスクを高めることになる。パスワードの更新も、手動更新では運用負荷が高いだけでなく、変更漏れのリスクが付きまとう。

　「特権ID管理ソリューションを利用する場合、こうした課題は解決できる」と鈴木氏。作業申請・承認は、ワークフロー機能の活用で効率化でき、共有IDでのアクセスも、認証機能を用いて利用者を特定できるようになる。悪意のあるユーザーによるアクセスも、迂回アクセスの検知やパスワードの秘匿化で対抗できる。

　パスワードも自動更新が可能だ。ログの確認も作業申請が紐づくため、一箇所で確認でき、各種レポート機能や検索機能で効率化される。ほかにも、2要素認証による認証強化や、キーワードによる不正操作検知なども可能だ。

　また、証跡管理として動画やテキスト形式による操作ログの取得が可能であり、ログの改ざん検知や暗号化機能も備わっている。利便性の面では、緊急時の事後承認アクセスや、定期的な作業に対する定期利用申請の機能なども魅力的だろう。

　加えて、承認者のグルーピングによって効率的な承認ができるようになり、外部製品と連携することでワークフローを統合することも可能だ。棚卸機能で、IDの棚卸も効率化できる。

　「実際、特権ID管理ソリューションを利用して工数を大幅に削減できたという話はよく耳にします。弊社の顧客にも、約78％の運用工数を削減できたという事例があります」（鈴木氏）

ソリューション導入・運用にともなう障壁と解決アプローチ

　もちろん、ソリューションを活用するまでには障壁も存在する。まず導入面では、自社セキュリティのあるべき姿が分からない、管理すべきIDを把握できていない、対象が多くエージェント導入のハードルが高い、などといった課題がある。そして運用面では、申請・承認の人的リソース不足や、特権ID管理サーバーを運用する余力がない、あるいは拡張時にあまり工数をかけられないなど……。さらに予算面では、投資対効果を経営陣に説明するのが難しく、費用に厳しい制約があるといった声をよく耳にする。

　解決策として、たとえば自社セキュリティのあるべき姿が不明瞭な場合には、他社事例やコンサルティングサービスを活用して要件を定義することが推奨される。管理対象IDの特定が困難な場合には、ID棚卸機能の利用、またはアクセス管理に特化した運用を実践することが有効である。そしてエージェント導入が障壁となる場合には、エージェントレスで対応できるゲートウェイ方式の製品がお勧めだ。

　申請・承認の人的リソースがない場合、まずは申請・承認なしで導入してみる手もあるという。あるいは、申請のみ実施するアプローチも選択肢とのことだ。また、特権ID管理サーバーを運用する余力がなければ、クラウドサービス型のソリューションを採用することで負荷を軽減できる。

　拡張性や、拡張時の工数に懸念がある場合は、キャパシティや拡張性に優れた製品を採用することになる。そして費用面の問題に関しては、サブスクリプションモデルを採用することや、管理対象機器を絞ること、さらには標準機能のみ利用するなどといった手段が有効だ。

　投資対効果を経営陣や他部署に説明する際は、PoCを実施し、システム化による運用コストの削減効果を定量的に示すことが望ましい。多くの製品は、標準機能のみでの導入か、それともオプション機能を追加するか、あるいはエントリーモデルかハイエンドモデルかなどの選択肢を提供しており、まずは必要最小限の構成から導入することが可能となっている。その後、段階的にセキュリティレベルを高めていくこともできるはずだ。

環境や要件に最適な特権ID管理ソリューションを導入しよう

　NRIセキュアは、特権ID管理のソリューションとして「SecureCube Access Check」を提供している。「必要な機能をすべて備えたオールインワンのソリューションだ」と鈴木氏は語る。導入運用が容易なゲートウェイ方式であること、制約条件が少なく多様な環境で利用できること、そして何より導入実績が豊富であることが強みだという。

　本ソリューションはゲートウェイ方式であるため、接続元と接続先の間にゲートを設置し制御を行う。接続元や接続先にエージェントを入れる必要はないため、導入や運用は容易だ。ユーザーのソフトウェアにもほとんど制約はなく、普段利用しているリモートデスクトップや作業ソフトもそのまま利用できる。

　クラウド環境への導入や、クラウドサービスの特権ID管理、アクセス管理にも対応している。「プロトコルは、ファイル転送プロトコルを含む10種類に対応しており、多様な環境での利用が可能だ」と鈴木氏。また、一般的な特権IDソリューションを導入する際に必要となる“特権IDの棚卸”は、本ソリューションでは任意であり、アクセス制御のみでの利用も可能なため、統制レベルに応じて段階的に導入できるとのことだ。

　導入実績も、約1年前の時点で610ライセンス出荷しており、幅広い業種で活用されているという。特権ID管理の業務フロー全体をカバーし、①ID・パスワード管理、②ワークフロー、③アクセス制御、④ログ管理、⑤監査補助に関する5つのコア機能を備えている。

　各機能を細かく見ていくと、IDパスワード管理においては、特権IDの棚卸機能やパスワードの秘匿化、定期変更の機能がある。ワークフローにおいては、アクセスやパスワードの払い出し申請・承認の機能が備わっている。アクセス制御では、ポリシーに基づくアクセス制御や、事前申請・承認の結果に基づく制御が可能だ。さらにログ管理においては、ログ取得、検索閲覧機能を提供。監査機能としては、各種検知、レポーティング、ダッシュボードを提供する。

　ユースケースとして、委託先管理の強化と運用効率化を目的としたある事例が紹介された。この顧客は、外部ベンダーによるリモート作業のアクセス制御を求めていた。それ以前は、リモート作業のアクセス制御を行うために委託ベンダー専用ルーターを設置し、手動でオンオフ対応を行っていたが、作業負荷が増大し、緊急メンテナンスへの対応も困難になっていたという。また、証跡管理を委託ベンダーに依存していた。

　本事例ではSecureCube Access Checkを導入したことで、ベンダーごとのきめ細やかなアクセス制御を実現し、リモートメンテナンス回線を集約できたと鈴木氏。また、システム化による工数削減やログ確認の効率化、個人情報持ち出しの検知も可能となった。

　直近では、新たにリモート作業を支援する機能をリリースしたという。作業者が画面を共有し、再鑑者がその画面を見て接続許可を出さなければ中継できないよう制御する機能だ。これにより、リモートワーク環境での2名体制による作業を実現可能とした。

　Access Checkシリーズのラインナップとしては、パッケージ版やサービス版など幅広い提供方式が用意されており、機能限定モデルからハイエンドモデル、さらにはAWS環境に特化したSaaS型モデルも用意されているとのこと。要件に応じた最適なモデルを選択できる。