特権ID管理とガイドライン、準拠に向けたポイントや対策

特権ID管理とセキュリティガイドライン

企業のネットワークやシステムのセキュリティを向上させるため、様々な機関から企業が準拠すべきガイドラインが発表されています。そのガイドラインの中でよく提唱されいるのが特権IDのセキュアな運用です。
例えば、IPAが公開しているガイドラインにおいても、以下の要件を満たす特権ID管理を推奨しています。

1. 「誰に」「どの特権ID」を許可するかの制御
2. 「どの特権IDを」「誰が」「いつ」利用したのかの特定と監査
3. 特権IDを利用した管理対象機器へのアクセス制御
4. 特権IDを利用した操作の記録
5. 特権IDおよびそのパスワード管理

この記事では「特権ID管理を行う際の課題」や「特権IDを安全に効率よく管理するためのツール」のご紹介をさせていただきます。 情報社会の広がりとともに、強い権限を持つユーザーが狙われています。 特権IDが狙われる前に管理を始めて、対策しましょう!

特権IDとは

「特権ID」とは強い権限を持つアカウントのことで、一般ユーザーが持っていない特別な権限を付与されたアカウントを意味します。
例えば UNIX/Linuxシステムでは「root」、Windowsシステムでは「Administrator」が挙げられます。
また、別名「 特権ユーザー」と呼ばれたりまもします。
特権IDはいずれも、システムに対する操作、システムに格納される情報の参照に対する強い権限を有しているため、不正行為によるリスクは計り知れません。

一般的なActive Directory環境のシステムにおけるリスクを考えてみましょう。
ADの管理者アカウント（特権ユーザー）は、多くのシステムに対する操作、システムに格納される情報の参照に対する強い権限を有しています。
特権IDは権限が強いために、セキュリティグループや重要な機器にアクセスすることができます。
悪意のある第三者に特権IDの情報が漏れてしまった場合、重要なデータ及び、重要機器、ほとんどすべての情報を操作することが出来てしまいます。そしてこれらは個人情報の漏えいに繋がります。
そのような事態を防ぐために特権ID管理は必要不可欠です。
特権ID管理をきちんと行うことで情報漏洩することを防ぎ、内部監査などにも役立てることが出来ます。

特権 ID 管理に加えて、特権アクセス管理も重要

近年、オンプレミスからクラウドへ移行する企業が増えています。 その為、管理するアカウントの増加やアクセス権の管理が複雑になっています。 IT 環境の変化に対応する考え方として、『特権アクセス管理』と呼ばれるジャンルが主流になっており、特権 ID 管理から一歩進んだ形で認知されています。 特権IDなどの高権限（どこにでもアクセスできる）を狙ったネット犯罪の増加、近年だとActive Directoryなどへ不正アクセスを行い、特権アクセス権を奪取され、情報漏洩に繋がる事件なども起きています。そういった事態を未然に防ぐためにも、アクセス権限をきちんと付与、管理することが企業に求められています。

ハイブリッドクラウド環境の普及により、特権 ID として管理すべき対象は、OS、データベースに加え、クラウド上の仮想 OSやクラウドサービスを管理するアカウント、IoT 機器やモバイル端末など、多種多様な対象へ広がりました。 また、特権 ID 管理は基本的に「申請・承認管理」「パスワード管理」「ログ管理」を軸に考えられており、ワークフローを利用してサーバへのログイン制御を行っている為、万一情報漏洩などが発生した場合には、誰が不正行為を行ったのかを後から発見できるようになっています。 しかし、本来のあるべきセキュリティ対策は、未然に情報漏洩を防ぐ対策が必要です。このためには、特権 ID を利用してサーバにログイン後のアクセス制御を行い、他の特権 ID の使用や昇格を規制するアクセス制御が必要と考えられています。

今までは不正を発見することが重要視されていましたが、これからは情報漏洩を未然に防ぐ「予防」へ考え方をシフトしていく必要があります。この考え方が特権 ID 管理から一歩進んだ「特権アクセス管理」と呼ばれています。

特権ID管理を行う際の課題

特権IDの管理を始めるのは意外に大変です。

すぐ始めようと思い立っても

などが必要です。

また、よくあるお悩みとしては、

などが挙げられます。

加えて、特権ID管理における監査項目は以下が挙げられます

この他、総務省は、「安全なパスワードの作成」について以下のようなルールを 推奨しています。

監査に必要な対策として、 手書きの台帳や、監視カメラによる監視、といった方法も考えられますが、定期的/随時に監査することを考えると、現実的ではありません。 特権ID管理の実施方法によっては、「手間がかかり」「適切に運用するのが困難」です。

しかし、実態としてこのような運用をしている企業が多いのではないでしょうか。 それらの 特権IDを効率よく安全に管理するツール、ソリューションとしてPassword Manager Proのご紹介をさせていただきます。

特権ID管理を簡単かつ低コストで実現！Password Manager Pro

Password Manager Proは、特権IDを利用する際の「申請／承認フロー」機能や「操作画面の録画」機能、「パスワードの非表示／自動更新」機能を標準搭載した特権ID管理ツール（ソフトウェア）です。

ご関心がございましたら、製品の概要や価格について分かりやすくまとめた、資料をご参照ください

ログ管理ツールとの併用でより強力な特権ID管理を

さて、ここまでで「特権ID管理を行う際の課題」と「ツールを用いたソリューション」についてご紹介しました。最後にもう一点、特権ID管理を行う上で多くのご担当者様が頭を悩ませる「ログ管理」についても触れたいと思います。

まず、「特権ID管理」と「ログ管理」は、企業／組織のセキュリティレベルを一定以上に保つ上で密接に関連していると言えます。なぜなら、特権IDを適切に管理することで、「正常なログ」と「異常なログ」の切り分けが簡単になるためです。

また、ツールを用いたアクセス制御を徹底した場合でも、以下のようなリスクはどうしても残ります。

• 悪意のある内部メンバーが重要サーバー／システムへ直接ログインする場合
• サイバー攻撃者が重要サーバー／システムへ直接ログインする場合

つまり、「監査すべきログを効率的に特定するため」や「特権ID管理ツールの管轄から漏れたアクセスを検出するため」に、どうしても「ログ管理」が必要となるのです。ここでお勧めしたいのが、ManageEngineが提供する「EventLog Analyzer」というツールです。

EventLog Analyzerは、低コストで簡単に利用できる統合ログ管理ソフトウェアです。イベントログやSyslogの収集／保管を単一ソフトで実現できるだけでなく、アプリケーション固有のログや任意フォーマットのテキスト形式のログも一度に取り込めます。 あらゆるログを一元管理し、迅速な検索、アラート通知を実現することが出来ます。 さらに、Password Manager Proとの連携機能も備えており、ログ監視を含めた特権IDの管理を可能にします。

Password Manager Proはユーザーの操作を動画や画像として残せますが、テキスト形式のログとして保管することはできません。特権IDが使われる場面はシステム変更や停止、起動など、システム管理者がシステム運用を行う時です。構築ベンダーにサーバー構築などを頼む際に特権ユーザーの権限を付与する場面があると思います。その際にログが取れると、予定にないクエリやスクリプトが実行されていないかなどを、ログ検索によって明らかにすることが可能です。

また、Password Manager Proを介さず、外部から直接不正なアクセスがあった際も、アクセスログを取得し、アラートを生成することが出来ます。 こちらの機能ではセッション内で取得したログが表示されます。 アカウントやデータベースの管理、ネットワーク機器の設定変更等において高い権限を有する特権IDは、悪用されると甚大な被害につながります。サイバー攻撃が横行する昨今、このような脅威はあらゆる規模の企業／組織が実感しているのではないでしょうか。 そうなる前にPassword Manager Pro(PMP)とEventLog Analyzer(ELA)で特権IDの管理を始めましょう

Password Manager Pro(PMP)、EventLog Analyzer(ELA)について詳しく知りたい、一度使ってみたいという方は、以下のURLにアクセスしてみてください。

• [Password Manager Proについて]
• 製品ダウンロードページ
• [EventLog Analyzerについて]
• 製品ダウンロードページ