特権IDが生み出す３つの危険な状態とは？アクセス管理のあるべき姿はミニマム×ワンタイム×モニタリング

特権IDが生み出す３つの危険な状態とは？

　特権IDとはシステムに絶対的な特権を有するIDのことを指す。具体的にはUnixの「root」やWindowsなどの「Administrator」などだ。OSに関するIDだと、削除や利用停止ができず、かつ唯一無二のIDでもある。

　「必ず1つ」となるため、管理業務担当者での共有という状況を作り出している。言い換えると特別なIDとパスワードを複数で「使い回す」ことであり、使い回してしまうとログを見ても実際に誰が操作したのか個人を特定できなくなってしまう。土屋氏は特権IDが生み出す危険な状態を3つ指摘する。

１．不特定多数による権限の掌握

　特権IDのパスワードを複数で共有すると「公然の秘密」という状態に陥りやすい。次第に不必要なメンバーにまで広がる懸念もある。

２．権限の集中

　管理者が担当するシステムが多岐にわたると、特権IDを複数所有することになる。複数のシステムで特権を保有していると、深刻なシステムの悪用が可能となってしまう。

３．権限の濫用

　特権IDがいつでも使える状態にあると特別な任務を遂行している緊張感が薄れる。作業ミスから深刻なトラブルへと発展する可能性がある。 　

　このような危険な状態は特段珍しいことではない。これで事件に発展しないのは現場の努力によるものだ。土屋氏は「特権ユーザーの理性や意識により内部不正から守られています」と言う。この理性や意識が崩れると致命的な事態に発展してしまうということだ。現場の理性に任せるのではなく、きちんとシステムで管理する必要がある。

　実際の事件を思い起こしてみよう。例えば2014年2月、大手銀行の委託先社員（当時）がカードを偽装し数千万円を不正に引き出していたとして逮捕された事件があった。この元委託先社員は30年にもわたりシステムの保守や管理業務に携わっており、あらゆる権限を保有していたという。 　

　では特権IDはどのように管理されるべきか。土屋氏は「“ミニマム”、“ワンタイム”、“モニタリング”の観点でバランス良く押さえたシステムと業務運用で管理するのが重要です」とポイントを述べた。これは先述した特権IDが抱えるリスク対策にもなる。

１．不特定多数による権限の掌握

ミニマム：権限は一人ひとりに必要最低限 　特権IDを共有せず、公然の秘密にしない。アクセスログから個人が特定できるように、個人単位でIDを付与するようにする。所属や役割に応じた柔軟な権限を設定する。

２．権限の集中

ワンタイム：個人・期間を特定した権限の行使 　作業者や作業時間を特定して権限を付与する。権限行使が個人や期間に限定してできるようなアクセス環境の整備も必要。

３．権限の濫用

モニタリング：作業目的・権限・作業結果の確認 　作業目的や内容に適した権限付与手続き（ワークフロー）を明確化する。作業証跡（操作ログ）を後から確認できるように記録する。 　

　業務遂行とシステム環境が整備されれば、「心理的な抑止効果により故意発生の機会削減」や「過失の可能性低減」が期待できるだけではなく、「事件・事故の早期発見」にも効果的だと土屋氏は説明する。 　

　実際にこれらの要件を満たす製品として土屋氏はゲートウェイ型アクセス管理製品「SecureCube / Access Check」を挙げた。これは本番環境で稼働しているサーバーの手前に「関所」という形でゲートウェイを設置して個人IDとログを一元管理する。特徴は４つある。

１．個人ID管理、アクセス制御機能

　利用者個人を完全に識別。ポリシー設定から権限（ルール）を構築して一人ひとりと関連づける。特定の端末からの接続を特定のサーバー、システム、プロトコルに限り機械的に制限する。

２．特権IDパスワード隠蔽機能（オプション）

　特権IDパスワード管理システムと連携することでパスワードをユーザーに知らせず、共有させないようにする。

３．アクセス申請・承認機能

　アクセスの申請から承認のワークフロー化を行う。権限を承認するユーザー、時間帯、対象システムを限定することも可能。

４．重要情報検知機能（オプション）

　操作ログを自動分析し、重要情報の持ち出しを検知した場合に監査者に通知する。対象となる情報は辞書による管理やファイルの種類などで設定できる。

***** 　

　最後に土屋氏はこう述べた。「特権IDアクセス管理を適切に行うことで、過失の可能性を消し、出来心の芽を摘むことができます」