SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

間違いだらけのクライアント・セキュリティ対策

識別、認証、認可。3つのフェーズを考慮してアクセス制御を改善しよう!

 今回は「間違いだらけのクライアント・セキュリティ」の連載第5回目となります。今回も前回に続き対策編です。Windows環境の中でもクライアントPC向けのセキュリティ対策を中心に取り上げます。ただし、単に設定の仕方、断片的・表面的なノウハウとしてではなく、情報セキュリティの基本的な枠組みを考慮しながら構造的・立体的な対策として解説していきます。

制御を奪われないための"基本中の基本"の再確認

 これまでの連載でも、攻撃者の狙いは管理者権限を奪うことであり、その攻撃の最初の起点としてクライアント端末の弱点を狙ってくることを繰り返し解説しました。

 そして、初期の攻撃が成功すると、多数のクライアント端末間を、いわば”カニ歩き”のように横方向に攻撃を仕掛け、何台ものクライアント端末がマルウェアに感染していきます。その攻撃が進む過程で、重要なサーバーの運用操作をしている端末にも攻撃がおよび、そのサーバーの制御を奪います。その結果、「攻撃者が悪意のあるシステム管理者として成り済ませる状態」になるのです。あとは攻撃者の狙いに応じた不正が行われます。

 こうした攻撃を俯瞰すると、攻撃の起点となり被害拡大する原因になっているクライアント端末自身の弱点を強化することが効果的です。

 「制御を奪われる」とは、IT環境においてまさにアクセス制御を奪われることと読み替えてよいでしょう。

 アクセス制御は、通常「1.識別(Identification)→2.認証(Authentication)→3.認可(Authorization)」の3つの要素のステップにより実現されます。

1. 識別

 ユーザーを識別できるようにそれぞれに固有のユーザーアカウント(ID)を割り当てます。例えば社員番号やメールアドレスなどがその例になります。

2. 認証

 そのユーザーが本当に本人であることを確認する。現在の一般的な運用では、そのユーザーしか知りえないパスワードによる認証が中心です。

3. 認可

 そのユーザーの属性に応じてアクセスできる範囲を確認する。たとえば、人事部のみアクセスできるファイルやフォルダーには人事部のユーザーだけがアクセスできるようにすることなどです。

次のページ
3つのフェーズを考慮し改善しよう:1. 識別フェーズでの改善

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
間違いだらけのクライアント・セキュリティ対策連載記事一覧

もっと読む

この記事の著者

香山 哲司(カヤマ サトシ)

ジーブレイン株式会社 コンサルティング事業部 シニアコンサルタント 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤やス...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8049 2016/05/19 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング