内部不正対策に有効な“打ち手”は機密情報へのアクセス管理
フィッシング詐欺、マルウェア攻撃、標的型攻撃らが猛威を振るっている。これらは外部からの攻撃で、明らかな悪意を持ち、仕掛けてくる脅威だ。言うまでもなく、確実に防ぐべく対応する必要がある。
NRIセキュアテクノロジーズ ソリューション事業本部
セキュリティコンサルタント 土屋 亨氏
しかし脅威は外部からだけではない。外部と同様、内部からの情報漏えいや不正への防御も重要だ。この重要性は意外と盲点となる。経営者のなかには「いや、うちの社員に限って(そんなことはない)」と考える人もいるほどだ。本当にそれでいいだろうか。
大抵のシステムは外部からの攻撃を防ぐべく、機密データへのアクセスは頑丈に保護されている。しかし内部からのアクセスにはそこまで頑丈な保護が施されていない。内部の人間は外部に比べて簡単に機密情報にアクセスできる状態にある。この状態を軽視してはならない。
企業内部のデータにアクセスできるのは今や社員だけとは限らない。システム管理の委託先、開発や運用を担当する協力会社の人間もいる。業務上の役割を超えて「見てはいけない」機密データが見られるような状態にあると情報漏えいにつながるリスクが高まる。悪意がなくてもちょっとした作業ミスから重要なデータの漏えいや削除といった致命的な事態を引き起こす可能性もある。
▲「機密情報」と間近で接する従業員は、情報漏洩・内部不正リスクと日々隣合わせにある。
「Security Online Day 2015」(2015/09/07)NRIセキュアテクノロジーズ
「内部不正時代の特権IDアクセス管理」講演資料より[クリックすると図が拡大します]
「企業の課題はいかに機密情報を守るかです。日々機密情報に間近に接する内部の従業員にこそ、しっかりと対策を講じて事故を未然に防ぐ必要があります」
こう指摘するのはNRIセキュアテクノロジーズのセキュリティコンサルタント 土屋亨氏だ。社員や内輪の人間が信用できるかどうかに関係なく、対策を施す必要がある。
具体的にはどのような対策が有効となるか。土屋氏は「結論から先に申し上げると、内部不正対策に有効な打ち手は機密情報へのアクセス管理です」と強調した。ポイントは3つあるという。
1.一人ひとりのアクセス制限を明確にしてアクセスさせる
個人の所属や職務に応じて必要十分なアクセス権限を付与する。適切なアクセス制御、不正アクセスが行われていないことを保証する記録も重要。
2.アクセス権限を付与する手続きを明確にする
アクセス権限の付与は当該アクセス者と職務分離されている必要がある。手続きの記録も残すこと。
3.アクセスログの取得とモニタリングを行う
アクセスした個人を特定できるログを取得する。ログから不正アクセスが行われていないか検証できるようにする。
アクセス管理でネックとなるのが「特権ID」。土屋氏は「あらゆるシステムが有する特権IDの存在がアクセス管理を必要とする状況を必然的に生み出しています」と指摘する。
本記事の講演資料「内部不正時代の特権IDアクセス管理」を無料ダウンロードいただけます!
ますます高度化・巧妙化するフィッシング、マルウェア、標的型攻撃など外部からの脅威に加え、委託先やシステム管理者などによる内部不正事件や情報漏洩事件が重要課題となっており対策が急がれます。
本講演資料では、内部不正対策・情報漏洩対策の要となる特権IDのアクセス管理について、抑止・防御・発見・事後対策の視点から解説するとともに、負荷軽減や監査精度向上の手法について解説しています。
特権IDが生み出す3つの危険な状態とは?
特権IDとはシステムに絶対的な特権を有するIDのことを指す。具体的にはUnixの「root」やWindowsなどの「Administrator」などだ。OSに関するIDだと、削除や利用停止ができず、かつ唯一無二のIDでもある。
「必ず1つ」となるため、管理業務担当者での共有という状況を作り出している。言い換えると特別なIDとパスワードを複数で「使い回す」ことであり、使い回してしまうとログを見ても実際に誰が操作したのか個人を特定できなくなってしまう。土屋氏は特権IDが生み出す危険な状態を3つ指摘する。
1.不特定多数による権限の掌握
特権IDのパスワードを複数で共有すると「公然の秘密」という状態に陥りやすい。次第に不必要なメンバーにまで広がる懸念もある。
2.権限の集中
管理者が担当するシステムが多岐にわたると、特権IDを複数所有することになる。複数のシステムで特権を保有していると、深刻なシステムの悪用が可能となってしまう。
3.権限の濫用
特権IDがいつでも使える状態にあると特別な任務を遂行している緊張感が薄れる。作業ミスから深刻なトラブルへと発展する可能性がある。
このような危険な状態は特段珍しいことではない。これで事件に発展しないのは現場の努力によるものだ。土屋氏は「特権ユーザーの理性や意識により内部不正から守られています」と言う。この理性や意識が崩れると致命的な事態に発展してしまうということだ。現場の理性に任せるのではなく、きちんとシステムで管理する必要がある。
▲特権ユーザ一人ひとりの理性・意識によって内部不正から守られている
「Security Online Day 2015」(2015/09/07)NRIセキュアテクノロジーズ
「内部不正時代の特権IDアクセス管理」講演資料より[クリックすると図が拡大します]
実際の事件を思い起こしてみよう。例えば2014年2月、大手銀行の委託先社員(当時)がカードを偽装し数千万円を不正に引き出していたとして逮捕された事件があった。この元委託先社員は30年にもわたりシステムの保守や管理業務に携わっており、あらゆる権限を保有していたという。
では特権IDはどのように管理されるべきか。土屋氏は「“ミニマム”、“ワンタイム”、“モニタリング”の観点でバランス良く押さえたシステムと業務運用で管理するのが重要です」とポイントを述べた。これは先述した特権IDが抱えるリスク対策にもなる。
1.不特定多数による権限の掌握
ミニマム:権限は一人ひとりに必要最低限 特権IDを共有せず、公然の秘密にしない。アクセスログから個人が特定できるように、個人単位でIDを付与するようにする。所属や役割に応じた柔軟な権限を設定する。
2.権限の集中
ワンタイム:個人・期間を特定した権限の行使 作業者や作業時間を特定して権限を付与する。権限行使が個人や期間に限定してできるようなアクセス環境の整備も必要。
3.権限の濫用
モニタリング:作業目的・権限・作業結果の確認 作業目的や内容に適した権限付与手続き(ワークフロー)を明確化する。作業証跡(操作ログ)を後から確認できるように記録する。
業務遂行とシステム環境が整備されれば、「心理的な抑止効果により故意発生の機会削減」や「過失の可能性低減」が期待できるだけではなく、「事件・事故の早期発見」にも効果的だと土屋氏は説明する。
実際にこれらの要件を満たす製品として土屋氏はゲートウェイ型アクセス管理製品「SecureCube / Access Check」を挙げた。これは本番環境で稼働しているサーバーの手前に「関所」という形でゲートウェイを設置して個人IDとログを一元管理する。特徴は4つある。
1.個人ID管理、アクセス制御機能
利用者個人を完全に識別。ポリシー設定から権限(ルール)を構築して一人ひとりと関連づける。特定の端末からの接続を特定のサーバー、システム、プロトコルに限り機械的に制限する。
2.特権IDパスワード隠蔽機能(オプション)
特権IDパスワード管理システムと連携することでパスワードをユーザーに知らせず、共有させないようにする。
3.アクセス申請・承認機能
アクセスの申請から承認のワークフロー化を行う。権限を承認するユーザー、時間帯、対象システムを限定することも可能。
4.重要情報検知機能(オプション)
操作ログを自動分析し、重要情報の持ち出しを検知した場合に監査者に通知する。対象となる情報は辞書による管理やファイルの種類などで設定できる。
*****
最後に土屋氏はこう述べた。「特権IDアクセス管理を適切に行うことで、過失の可能性を消し、出来心の芽を摘むことができます」
本記事の講演資料「内部不正時代の特権IDアクセス管理」を無料ダウンロードいただけます!
ますます高度化・巧妙化するフィッシング、マルウェア、標的型攻撃など外部からの脅威に加え、委託先やシステム管理者などによる内部不正事件や情報漏洩事件が重要課題となっており対策が急がれます。
本講演資料では、内部不正対策・情報漏洩対策の要となる特権IDのアクセス管理について、抑止・防御・発見・事後対策の視点から解説するとともに、負荷軽減や監査精度向上の手法について解説しています。
