一般的に、社内にある個人情報や機密データはファイル・サーバやDBサーバに格納され、特定の権限を持つ社員だけがユーザID/パスワードでアクセスできるように厳密に保護されています(ユーザID/パスワード自体も厳密に保管)。
厳密に保護されているにもかかわらず情報が漏洩する要因としては、特定の権限を持つ内部の人間が不正にアクセスする「内部犯行」や、脆弱性/マルウェアを利用し特権ID/パスワードを奪取されることによる「不正操作」が考えられます。
これらの脅威にはアクセス制御と特権ID管理の2つの対策が有効です。以降では、アクセス制御(多要素制御と職務分掌)、特権ID管理(特権の制御、ログイン制御)に分けた対策をご紹介します。
アクセス制御
- ユーザID/パスワード以外の要素も組み合わせた多要素制御(多要素制御)
- 職務分掌に基づき必要な権限のみを厳密に付与したアクセス制御(職務分掌)
特権ID管理
- 一般ユーザと同様に、OSとは独立して特権アカウントの権限を制御(特権の制御)
- 特権IDを有する個人を特定する仕組み(ログイン制御)
1.アクセス制御/多要素制御
データを保護するためには、ログイン認証自体を強固にするという施策が重要です。一般的に、重要なデータが存在するファイル・サーバやDBサーバでは、ユーザID/パスワードに代表されるアカウント情報によってアクセス制御を行っていますが、職務に応じた適切かつ効果的なアクセス制御を行うためには、アカウント情報だけでなく、実際の組織や業務体系に合わせ、他の要素を組み合わせて柔軟かつ堅牢に管理する必要があります。
【対策のポイント】アカウント情報は基本、他の要素を組み合わせることが必要
ユーザID/パスワード
基本的な認証基盤。ユーザID/パスワードにより、ログイン制御およびログイン後のアクセス制御を実装する。
IPアドレス
クライアントPCからサーバにアクセスする場合に、各PCが持つIDアドレスにより、ログイン制御を実装する。
プロトコル
TELNETやFTP等サーバにアクセスする際のプロトコルにより、ログイン制御を実装する。
プログラム
アプリケーションやミドルウェアの種別により、ログイン制御を実装する。
2.アクセス制御/職務分掌
ログイン後の操作には、職務分掌に応じたアクセス制御が有効です。これは一般的な職務の分掌と同じ考え方ですが、ここで重要なポイントは管理者が特権IDを使用してサーバの管理業務を実施する場合においても、業務に必要のない権限は持たせない仕組みを実装することです。
【対策のポイント】サーバ管理と運用/開発は分離させる
管理ID
サーバ管理者(管理IDを持つ担当者)については特権IDを使用してサーバにログインするか、自分のIDを使用してログインした後に特権IDに成り代わりサーバに対して管理業務を実施することは可能とする。しかし、サーバ管理業務に関係のない重要データや開発関連のデータにはアクセスできないように設定する。
運用ID/開発ID
運用IDや開発IDを持つ担当者は、特権IDの使用を不可とし、各々の業務に必要なデータのみアクセスできるように設定する。
3.特権ID管理/特権の制御対策
一般的に特権ID(administrator,root等)はOS内では最上位として権限が体系化されており、オールマイティに作業することが可能です。つまり、特権IDを利用すると、重要データへのアクセス、アカウントの作成/削除、ログの改竄等も可能となるため、特権IDが奪われたり不正利用されるということは事実上サーバの制御権が奪われることを意味し、最も漏洩リスクが高まります。
したがって、特権IDはサーバの統合的な管理業務を行うためだけに付与し、(OSの機能だけでは限界が有りますが)職務分掌を行うことで重要なデータへのアクセスを制限しセキュリティを担保します。
【対策のポイント】アクセス制御ツールの利用や個人特定ができる工夫を!
特権ユーザ
特権IDを持つユーザは、OS内では最上位の権限を持つため、重要データにもアクセスできてしまう。そこでアクセス制御ツールを利用して、OSとは独立したアクセス制御を実装することで、一般ユーザと同様に、本来の業務には必要のない重要データへのアクセスを制限する。
一般ユーザ
一般ユーザには、業務ごとに必要な権限だけを割り振る。一般ユーザに重要データへのアクセス権を付与する場合、それらのユーザ管理は個人が特定できるようにする等、よりセキュアな仕組みを実装する。
4.特権ID管理/ログイン制御
特権IDの管理については、セキュリティ監査でも指摘されることが多い項目ですが、他のIDと同様に、多要素(IPアドレス、プロトコル等)によるログイン制御とは別に、「使用機会を必要最小限とする」、「使用に際して個人が特定できる」状態が管理面では有効です。
そのため、通常は特権IDの利用は制限しておき、必要に応じて申請/承認を経て使用可能とし、関連するログを取得すると良いでしょう。
【対策のポイント】特権IDの利用は申請制にしログ管理を行う
申請
特権IDの利用を制限しておき、業務上の必要に応じて、利用時間、申請理由、作業項目等を明記して、上長等の承認者に申請させる。
承認
承認者は申請内容の正当性や妥当性を確認後、承認する。承認後に、有効なIDやパスワードを申請者に通知する等した後、特権IDを使用できる状態にする。
ログ
申請/承認ログやログインしたサーバ側のログイン・ログや作業ログを取得し、業務の正当性や申請外の不正ログインの有無を確認する。
図3 特権ID管理/ログイン制御 ~特権IDの利用は申請制にしログ管理を実施~
申請/承認行為、承認後のプロセス、ログ取得やモニタリングは、ワークフローやログ管理ツールを用いたシステム化が一般的です。また、サーバに対するセキュリティ・レベルの向上という観点では、情報漏洩だけではなくWebシステム等のデータやコンテンツの改竄の対策としても有効です。
今回はアクセス制御/特権ID管理について解説しました。いかがでしたか?次回はログ分析のポイントについて解説します。
