クラウド利用で特権ID管理が求められる背景
「特権ID管理のソリューションは、もともとは内部統制や監査対応の要請から導入が進んできましたが、近年では内部不正やサイバー攻撃対策へと主要なニーズが移り変わっています。またクラウド利用におけるセキュリティ対策の一環としても、特権ID管理への注目が高まっています」(岸氏)
NRIセキュアが毎年行っている情報セキュリティ実態調査によると、企業がクラウド利用に対して抱いている「漠然とした不安」は年々払拭されつつあるものの、「データ消失・漏えい」や「システム停止」など、より具体的なリスクへの懸念はまだ残っており、これらが障壁となってクラウド活用に二の足を踏む企業も少なくないという。
NRIセキュアテクノロジーズ株式会社 ソリューション事業本部 岸 謙介氏
岸氏によれば、こうした懸念を払拭するには、大きく分けて2つの課題を克服する必要があるという。1つは、いわゆる「責任分解点」の問題だ。
IaaS環境で何か問題が起きた場合、クラウド事業者は通常、ハードウェアから仮想サーバのレイヤーまでしか責任を負わない。OSから上のレイヤーは、依然としてユーザー側が責任を負う必要があるため、たとえクラウド上にシステムを移行したとしても、OSの特権IDを悪用したサイバー攻撃もしくは内部不正への対策は、オンプレミスと同様にユーザー自身が行わなくてはならないのだ。
出所:NRIセキュアテクノロジーズ株式会社 岸謙介氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
もう1つの課題は、第三者や悪意あるユーザーによる不正アクセスの問題だ。クラウドサービスには不特定多数のユーザーがインターネットを介してアクセスしてくるため、オンプレミス環境と比べ、より特権ID管理に気を配る必要がある。具体的には、「クラウドはオンプレミスと比べセキュリティの境界線が不明瞭であること」と「アクセス経路やアクセス数が不特定であること」の2点に留意する必要があると岸氏は指摘する。
特権ID管理システム導入のアプローチ
ちなみに岸氏によれば、3年前に発生した某教育会社の情報漏えい事故も、仮に特権ID管理が万全であれば防げた可能性が高いという。
「某教育会社では一通りのセキュリティ対策を実施していたのにもかかわらず、顧客データベースの運用を担当していた派遣SEが特権IDを行使して個人情報にアクセスできてしまったために不正持ち出しを許してしまいました。もちろん、スマートフォンへのデータダウンロードを許したエンドポイント対策の抜け・漏れも致命的でしたが、モニタリングを含む特権ID管理をきちんと行っていれば、ひょっとしたら被害は防げたかもしれません」
セキュリティ対策において、システムの複数のレイヤーに渡って対策を何層にも張り巡らせる「多層防御」という考え方が一般的に存在するが、特権ID管理は企業が守るべき情報資産に最も近い位置にあるデータアクセス層で、標的型攻撃や内部犯行を阻止する「最後の砦」として位置付けることができる。
出所:NRIセキュアテクノロジーズ株式会社 岸謙介氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
では、あるべき特権ID管理の姿とは一体どのようなものか。岸氏は「一言で言えば、“機会を絞る”ことだ」と表現する。
「情報資産にアクセスできる機会を絞り、最適化することが特権ID管理の目的です。そのためにまずは、ユーザー一人ひとりに与えるアクセス権限を必要最小限に絞り込むとともに、アクセスできる時間も制限する必要があります。加えて、特権IDで行った作業のログを記録してモニタリングすることも重要です。こうした取り組みを、特権ID利用の事前準備から作業後のモニタリングに至るまで、すべてのフローに渡って一貫したトータルマネジメントを行うことが重要です」
出所:NRIセキュアテクノロジーズ株式会社 岸謙介氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
こうした作業を支援するために使われるのが、特権ID管理システムだ。現在、さまざまなベンダーから製品が提供されているが、大きく分けると以下の4タイプに分類される。
- クライアント・エージェント型:アクセス元のクライアントごとにエージェントを導入する方式
- サーバ・エージェント型:アクセス先のサーバごとにエージェントを導入する方式
- ID棚卸・貸出方式:専用システムを通じて本番サーバの特権IDをユーザーに一時的に貸し出す方式
- ゲートウェイ方式:ユーザーとサーバの間に関所を設けて特権ID管理の利用を一元管理する方式
NRIセキュアではこれらの中でも、特に「ゲートウェイ方式」を推奨しているという。
「クライアントへのエージェントの導入は手間が掛かり、漏れが生じる恐れもあります。一方でサーバへエージェントを導入すれば対策漏れの心配はなくなりますが、サーバアプリケーションの動作に影響が及ばないか慎重に検証する必要があります。ID棚卸・貸出方式も有用なソリューションですが、やはり導入及び運用にかなりの手間が掛かります。その点、ゲートウェイ方式は既存環境に影響を与えることなく容易に導入・運用できるため、極めてバランスに優れており、クラウド上のサーバに対する特権ID管理も容易に行える点が利点だといえます」
本記事の講演資料『クラウド時代における特権ID管理で取り組むべきこと』(全35頁、PDF版)を無料ダウンロードいただけます!
本資料では、クラウド時代の脅威の傾向とともに、対策の要となる特権ID・アクセス管理について要件を整理し、どのように短期間・低予算・低負荷で実効力ある対策を進めていくべきかを解説しています。本資料/講演資料(PDF)は無料です。ぜひダウンロードいただき、自社のセキュリティ対策にお役立てください。
クラウド時代を見据えた特権ID管理製品「SecureCube / Access Check」
なお、ゲートウェイ型製品の代表格として、特権ID管理市場で長らく高いシェアを保ち続けているのが、NRIセキュアが提供する「SecureCube / Access Check」だ。ユーザーが利用する端末と本番サーバとの間にゲートウェイとして設置し、ユーザーが特権IDを用いてサーバにアクセスする際は、必ずここを経由するよう設定する。これにより、あらかじめ設定したアクセス制御ポリシーをすべてのユーザーに対して確実に適用できるようになる。
出所:NRIセキュアテクノロジーズ株式会社 岸謙介氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
また、特権IDの利用申請や承認のワークフロー機能も提供する。このワークフローを通じて行われた申請と承認に基づいてアクセス制御を行うことで、「承認されたユーザーに対して」「承認された時間帯に」「承認されたシステムへ」のアクセスのみを許可する。
こうしてSecureCube / Access Checkを介して行われた特権IDによるアクセスの履歴は、自動的にログに記録され、事前の申請内容と自動的に整合性チェックが行われる。また、疑わしいアクセス履歴は一目で分かるよう注意喚起してくれるため、管理者によるログのモニタリング作業が大幅に効率化される。
さらには、アクセスログの内容を基に日次レポートを自動作成してくれたり、事前申請との突合せ作業が終わったログを「確認済み」の状態にできるなど、アクセスログによる監査業務を支援するさまざまな機能を備えている。
加えて、Active Directoryやワークフローシステム、認証システムといったさまざまな外部システムと柔軟に連携できる機能も備える。岸氏によれば、「カード業界や流通業界の企業がPCI DSSに対応するために、ワンタイムパスワードを用いた認証システムを導入するケースが増えており、これらとSecureCube / Access Checkを連携させるニーズが増えている」という。
既にSecureCube / Access Checkは大手上場企業を中心に約350ライセンスが導入されており、中にはクライアント数が3万台を超える大手サービスプロバイダーや、オンプレミス環境とクラウド環境の特権ID利用をSecureCube / Access Checkで一元管理している大手企業の例もあるという。
「オンプレミスとクラウドの間をVPNでつなげば、SecureCube / Access Checkで双方の特権ID管理を行うことができます。こうした点が高く評価され、社内システムのクラウド移行をきっかけに新たにSecureCube / Access Checkを導入していただくケースが増えています。クラウドの特権ID管理に不安をお持ちの方は、ぜひ弊社にご相談いただければと思います」
本記事の講演資料『クラウド時代における特権ID管理で取り組むべきこと』(全35頁、PDF版)を無料ダウンロードいただけます!
本資料では、クラウド時代の脅威の傾向とともに、対策の要となる特権ID・アクセス管理について要件を整理し、どのように短期間・低予算・低負荷で実効力ある対策を進めていくべきかを解説しています。本資料/講演資料(PDF)は無料です。ぜひダウンロードいただき、自社のセキュリティ対策にお役立てください。
