特権ID管理システム導入のアプローチ
ちなみに岸氏によれば、3年前に発生した某教育会社の情報漏えい事故も、仮に特権ID管理が万全であれば防げた可能性が高いという。
「某教育会社では一通りのセキュリティ対策を実施していたのにもかかわらず、顧客データベースの運用を担当していた派遣SEが特権IDを行使して個人情報にアクセスできてしまったために不正持ち出しを許してしまいました。もちろん、スマートフォンへのデータダウンロードを許したエンドポイント対策の抜け・漏れも致命的でしたが、モニタリングを含む特権ID管理をきちんと行っていれば、ひょっとしたら被害は防げたかもしれません」
セキュリティ対策において、システムの複数のレイヤーに渡って対策を何層にも張り巡らせる「多層防御」という考え方が一般的に存在するが、特権ID管理は企業が守るべき情報資産に最も近い位置にあるデータアクセス層で、標的型攻撃や内部犯行を阻止する「最後の砦」として位置付けることができる。
出所:NRIセキュアテクノロジーズ株式会社 岸謙介氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
では、あるべき特権ID管理の姿とは一体どのようなものか。岸氏は「一言で言えば、“機会を絞る”ことだ」と表現する。
「情報資産にアクセスできる機会を絞り、最適化することが特権ID管理の目的です。そのためにまずは、ユーザー一人ひとりに与えるアクセス権限を必要最小限に絞り込むとともに、アクセスできる時間も制限する必要があります。加えて、特権IDで行った作業のログを記録してモニタリングすることも重要です。こうした取り組みを、特権ID利用の事前準備から作業後のモニタリングに至るまで、すべてのフローに渡って一貫したトータルマネジメントを行うことが重要です」
出所:NRIセキュアテクノロジーズ株式会社 岸謙介氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
こうした作業を支援するために使われるのが、特権ID管理システムだ。現在、さまざまなベンダーから製品が提供されているが、大きく分けると以下の4タイプに分類される。
- クライアント・エージェント型:アクセス元のクライアントごとにエージェントを導入する方式
- サーバ・エージェント型:アクセス先のサーバごとにエージェントを導入する方式
- ID棚卸・貸出方式:専用システムを通じて本番サーバの特権IDをユーザーに一時的に貸し出す方式
- ゲートウェイ方式:ユーザーとサーバの間に関所を設けて特権ID管理の利用を一元管理する方式
NRIセキュアではこれらの中でも、特に「ゲートウェイ方式」を推奨しているという。
「クライアントへのエージェントの導入は手間が掛かり、漏れが生じる恐れもあります。一方でサーバへエージェントを導入すれば対策漏れの心配はなくなりますが、サーバアプリケーションの動作に影響が及ばないか慎重に検証する必要があります。ID棚卸・貸出方式も有用なソリューションですが、やはり導入及び運用にかなりの手間が掛かります。その点、ゲートウェイ方式は既存環境に影響を与えることなく容易に導入・運用できるため、極めてバランスに優れており、クラウド上のサーバに対する特権ID管理も容易に行える点が利点だといえます」
本記事の講演資料『クラウド時代における特権ID管理で取り組むべきこと』(全35頁、PDF版)を無料ダウンロードいただけます!
本資料では、クラウド時代の脅威の傾向とともに、対策の要となる特権ID・アクセス管理について要件を整理し、どのように短期間・低予算・低負荷で実効力ある対策を進めていくべきかを解説しています。本資料/講演資料(PDF)は無料です。ぜひダウンロードいただき、自社のセキュリティ対策にお役立てください。
