特権アカウント管理とは?
その種類や必要な管理方法を解説
特権アカウントとは
「特権アカウント」という言葉は、UNIXのrootやWindows administratorなどのOSの管理者アカウント、データベース管理者アカウント、さらにはビジネスアプリケーションのアカウントなど、IT環境において最も高い権限を持つアカウントを意味します。これらのアカウントは通常、ITインフラのセットアップ、新しいハードウェアとソフトウェアのインストール、重要なサービスの実行、および保守操作のために情報システム部門やセキュリティ担当者によって使用されます。つまり、特権アカウントは、組織内で重要となるIT資産に、そしてその中に保存されている機密情報にアクセスできるIDとパスワードを指します。
特権アカウントの種類
ローカル管理者アカウントは、ホストの制御に高権限を持つメンバーサーバーとクライアント上のアカウントです。これには、OS、アプリケーションソフトウェア、およびサービスに設定されているデフォルトのログインアカウントも含まれます。ローカル管理者のパスワードが貧弱であったり、変更されていない、またはホスト全体の複数アカウントで繰り返し使用されている場合、悪意のあるユーザーは不正アクセスを容易に行えます。最悪の場合、ローカル管理者アカウントまたは認識されていないアカウントにアクセスできる攻撃者がネットワークを回遊し、ドメイン管理者の特権を奪取する可能性があります。
ドメイン管理者アカウントは、ドメイン内のすべてのオブジェクトを広範囲に制御できる最も強力なアカウントです。ドメイン管理者アカウントは、すべてのワークステーション、サーバー、およびドメインコントローラーに対する管理者権限を保有しています。ドメイン管理者アカウントを利用できる管理者は最小限にする必要があります。
サービスアカウントは、システムプログラムがアプリケーションソフトウェアサービスまたはプロセスを実行するために使用する特権アカウントです。関連するサービスが管理サービスアカウントを要求する際に、そのアカウントが必要以上の権限を持ってしまっている場合があります。このケースは、スケジュールされたタスクの実行に使用されるローカルまたはドメインのWindowsアカウントにも当てはまります。通常このような管理サービスアカウントのパスワードは、関連するすべてのサービスを検出してパスワードの変更を実行することが困難なため、「変更しない」という設定がされます。管理サービスアカウントのパスワードが変更されない場合、ハッカーの標的になりやすくなります。
ルートアカウントは、Unix / Linuxリソースを管理するための管理者権限を持つスーパーユーザーアカウントです。通常はシステム管理者が重要な設定を実行するために使用します。ルートアカウントは、システム上のすべてのファイル、プログラム、およびその他のデータに無制限にアクセスできるため、管理を誤ると大きなリスクが発生します。
アプリケーションアカウントは、さまざまなアプリケーション、Webサービス、およびネイティブツール間の連携を自動化するために使用されるアカウントです。通常、アプリケーションの認証情報は、暗号化されていないアプリケーション構成ファイルとスクリプト内に平文で埋め込まれ、アプリケーションやサービスの連携を実現します。
組み込みアプリケーションアカウントは、ソフトウェア開発フェーズを迅速化しサービス提供サイクルを自動化するために、認証情報のハードコーディングが行われる多くのDevOps環境で使用されます。多くの管理者はパスワードの識別、変更、および管理に課題を抱いています。その結果、認証情報は変更されないままになり、ハッカーの標的になります。
セキュリティ強化のための特権アカウント管理
特権アカウント管理では、以下のような運用を通して、特権アカウントをセキュアに運用していきます。
- 有効な特権アカウントの完全なリストを作成
- 新しいアカウントが作成されるたびにそのリストを更新
- パスワードやSSHキー、およびSSL証明書のような特権IDに関連する情報を、AES-256として標準化された暗号化アルゴリズムなどを使用して安全に保管
- パスワードの複雑性や変更の頻度、強固なSSHキーの組み合わせや特権アカウントにアクセスできる時間の制御、パスワードの自動変更などをルール化するセキュリティポリシーの運用
- 安全な方法による特権アカウントの共有
- 特権アカウントユーザーのすべての操作を監査
- 特権ユーザーのセッションをリアルタイムで監視
セキュアな特権アカウント管理を手軽に実現するためには
ここまで紹介した対策をすべてマニュアルで行ったり、各組織で独自のシステムを構築することは、人的リソースや工数の観点で不可能です。
そこで、特権アカウント管理専用のツールを活用して上記のような運用を行うことをおすすめします。 特権アカウント管理ツールは一般的に高額という印象がある方もいる思います。しかし、ManageEngineが提供する理ツール「Password Manager Pro」は市場にあるツールと比較して大幅に安価で利用することができるほか、上記で紹介している運用も、ツールにプリセットされている機能で実現することができます。