SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2015 講演レポート(PR)

特権IDが生み出す3つの危険な状態とは?アクセス管理のあるべき姿はミニマム×ワンタイム×モニタリング

 企業システムで脅威となるのは外部からの攻撃だけではなく内部にもある。内部不正に有効な手段は「適切なアクセス管理」だ。ここでネックになるのはシステムに絶対的な権限を持つ特権IDの運用だ。万能な特権IDの使い方を誤れば致命的な事態にも発展しかねない。では、いかに対策すべきか。9月7日に開催した「Security Online Day 2015」に登壇した、NRIセキュアテクノロジーズ ソリューション事業本部 セキュリティコンサルタントの土屋亨氏は、「内部不正時代の特権IDアクセス管理」と題して講演を行った。

内部不正対策に有効な“打ち手”は機密情報へのアクセス管理

 フィッシング詐欺、マルウェア攻撃、標的型攻撃らが猛威を振るっている。これらは外部からの攻撃で、明らかな悪意を持ち、仕掛けてくる脅威だ。言うまでもなく、確実に防ぐべく対応する必要がある。  

NRIセキュアテクノロジーズ ソリューション事業本部
セキュリティコンサルタント 土屋 亨氏

 しかし脅威は外部からだけではない。外部と同様、内部からの情報漏えいや不正への防御も重要だ。この重要性は意外と盲点となる。経営者のなかには「いや、うちの社員に限って(そんなことはない)」と考える人もいるほどだ。本当にそれでいいだろうか。  

 大抵のシステムは外部からの攻撃を防ぐべく、機密データへのアクセスは頑丈に保護されている。しかし内部からのアクセスにはそこまで頑丈な保護が施されていない。内部の人間は外部に比べて簡単に機密情報にアクセスできる状態にある。この状態を軽視してはならない。  

 企業内部のデータにアクセスできるのは今や社員だけとは限らない。システム管理の委託先、開発や運用を担当する協力会社の人間もいる。業務上の役割を超えて「見てはいけない」機密データが見られるような状態にあると情報漏えいにつながるリスクが高まる。悪意がなくてもちょっとした作業ミスから重要なデータの漏えいや削除といった致命的な事態を引き起こす可能性もある。

▲「機密情報」と間近で接する従業員は、情報漏洩・内部不正リスクと日々隣合わせにある。
「Security Online Day 2015」(2015/09/07)NRIセキュアテクノロジーズ
「内部不正時代の特権IDアクセス管理」講演資料より[クリックすると図が拡大します]

 「企業の課題はいかに機密情報を守るかです。日々機密情報に間近に接する内部の従業員にこそ、しっかりと対策を講じて事故を未然に防ぐ必要があります」  

 こう指摘するのはNRIセキュアテクノロジーズのセキュリティコンサルタント 土屋亨氏だ。社員や内輪の人間が信用できるかどうかに関係なく、対策を施す必要がある。  

 具体的にはどのような対策が有効となるか。土屋氏は「結論から先に申し上げると、内部不正対策に有効な打ち手は機密情報へのアクセス管理です」と強調した。ポイントは3つあるという。

1.一人ひとりのアクセス制限を明確にしてアクセスさせる

 個人の所属や職務に応じて必要十分なアクセス権限を付与する。適切なアクセス制御、不正アクセスが行われていないことを保証する記録も重要。

2.アクセス権限を付与する手続きを明確にする

 アクセス権限の付与は当該アクセス者と職務分離されている必要がある。手続きの記録も残すこと。

3.アクセスログの取得とモニタリングを行う  

 アクセスした個人を特定できるログを取得する。ログから不正アクセスが行われていないか検証できるようにする。

 アクセス管理でネックとなるのが「特権ID」。土屋氏は「あらゆるシステムが有する特権IDの存在がアクセス管理を必要とする状況を必然的に生み出しています」と指摘する。

本記事の講演資料「内部不正時代の特権IDアクセス管理」を無料ダウンロードいただけます!

ますます高度化・巧妙化するフィッシング、マルウェア、標的型攻撃など外部からの脅威に加え、委託先やシステム管理者などによる内部不正事件や情報漏洩事件が重要課題となっており対策が急がれます。

本講演資料では、内部不正対策・情報漏洩対策の要となる特権IDのアクセス管理について、抑止・防御・発見・事後対策の視点から解説するとともに、負荷軽減や監査精度向上の手法について解説しています。

講演資料(無料PDF)のダウンロードはこちら!

次のページ
特権IDが生み出す3つの危険な状態とは?

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2015 講演レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7306 2015/10/19 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング