サイバーセキュリティ時代に見直す特権ID管理 概要とサービス紹介

「特権ID」という言葉を聞いたことはありますか。情報システムを利用する際に、一般的なユーザが利用できるIDより高い権限を持ったIDのことを指します。

特権IDは、強力な権限ゆえ、その管理には十分に注意する必要があります。以前から、主に内部統制の観点より、特権ID管理の重要性は指摘されていましたが、サイバーセキュリティを強化するという観点からも改めて管理方法を見直す必要があります。

今回は、特権IDの管理についての概要と、代表的な特権ID管理サービスを紹介します。

 

特権IDの概要と脅威

特権IDとは、先述の通り、一般的なユーザIDがもつ権限よりも高い権限を有したIDを指します。具体的には、システムの起動、停止やユーザの追加、削除、内部データの編集、削除など、システム上でのあらゆる作業を行うことができる権限を有します。Windowsの「Administrator」、UnixやLinuxの「root」などは特権IDの代表例です。

システム上でのあらゆる作業ができるため、悪用されてしまうと深刻な被害が発生します。内部データを不正に持ち出す、書き換えるなどの作業が容易にできてしまうのはもちろんのこと、アラートの無効化やログの消去等により、不正な操作を行った形跡すら消し去ってしまうことができるので、不正が行われたことに気づかず発見が遅れ、被害が拡大してしまうことも珍しくありません。

内部で悪意を持った人間がいれば特権IDが狙われるのはもちろんのこと、外部からのサイバー攻撃の格好の対象にもなります。強力なIDである上に、上記で「Administrator」や「root」などと表記できてしまえるようにIDが共通であることも多く、十分な対策をしなければパスワードの特定だけで簡単に乗っ取ってしまえるからです。

特権IDの管理は以前から主に内部統制の観点より重要性が叫ばれていましたが、「サイバーセキュリティ」という観点からも重要であることは一目瞭然です。

先日ご紹介したNIST CSFに当てはめて考えるのであれば、特権ID管理は、アイデンティティ管理、認証/アクセス制御という側面から「防御」が最も直接関係します。それだけではなく、特権IDを管理する上でのリスク把握という側面から「特定」、特権IDを利用した不正の発見および対応という観点から「検知」「対応」にも大きく関係すると考えられます。内外の脅威から自社の情報資産を守るために、自社ではどのような管理が適切か、改めて検討する必要があります。

特権ID管理と関連性の高いNIST CSFのコアおよびカテゴリー

特権ID管理の難しさ

特権IDは、その性質上、一般ユーザが利用することはあまりなく、基本的にはシステム管理の担当者が利用します。ゆえに、特権IDに関わるのはごく少人数であることがほとんどです。

しかし、一般的なユーザIDとは違い、特権IDはむやみに生成するのは危険を伴うため、「特定のユーザ」に割り当てるのではなく、複数人で共有することがあります。この場合、万一不正が起きたとしても、実際に誰が不正をしたのかを特定するまでに時間がかかる危険があります。

また、特権IDを利用することが必要な作業を行う時だけ、担当者に貸与するような形で運用することもありますが、その場合には特権IDを使用するための申請→承認や、作業時間、作業内容を記録するなどの運用上のコストが発生します。

さらに、システム運用を別会社に委託していると、委託先の担当者に特権IDの権限を付与することもあります。その場合、管理はますます煩雑になり、統制もきかなくなりがちです。

実際に、委託先の担当者による特権IDの不正利用による情報漏えい事件が日本でも発生しています。

 

このような管理の煩雑さや、不正が起きた場合の被害の深刻さから、特権ID管理は各企業にとって大きな課題となります。

特権IDのシステム管理

特権ID管理の課題を解決するため、様々なシステムが開発・販売されています。どのシステムでも共通して、主に以下のような機能を有しています。

申請/承認機能

特権ID利用にあたっての申請→承認プロセスを定める機能です。利用目的や利用時間を明確にし、不正利用を防止します。

権限管理

承認された担当者に対して、適切な権限の付与や、システムログインのためのパスワード設定等を行います。

ログ記録機能

特権ID利用中の操作内容を記録します。一般的な特権ID管理システムでは、操作対象のシステムにログインする際に特権IDシステムを経由してログインさせることで、ログイン中の操作ログを記録できるようにします。操作対象のシステムでログ消去などの証拠隠滅が行われても、特権ID管理システム上で不正操作を発見することができます。

ID管理機能

上記の申請/承認機能とひもづけて、利用目的や利用時間に適した形で特権IDを貸与します。使用後は自動的に特権IDを利用できなくするなどの管理が可能です。

 

特権「ID」管理から特権「アクセス」管理へ

従来型の特権「ID」管理は、主にオンプレミスのOSやDBにおける特権IDの適切な付与、利用中のログ記録等が主でした。しかし、ログイン承認さえされていれば特権IDを利用してどのような操作でもできてしまう、suコマンドによって通常IDから特権IDに昇格することを防止できない、特権ID管理システムを経由しない不正ログインを検知できないなどの課題がありました。

また、近年、クラウドやIoT等の普及を背景に、管理すべき情報システムが多様化しており、それらのシステムにも対応した特権ID管理が求められています。
特に、RPAの普及により業務が自動化されることで、場合によっては特権IDを利用して行う作業をRPAが代替するケースも増えています。その際にRPA内で特権ID情報を保持すると、RPAから特権ID情報が盗用されるというリスクが生まれます。

これらの課題に対応するためにはIDの管理だけでなく、特権をもって対象の情報システムへアクセスする際の挙動を管理する必要があります。このような考え方は特権ID管理の発展として特権「アクセス」管理と呼ばれています。

 

特権アクセス管理のソリューションでは、オンプレミスだけでなくクラウドやIoT等といった情報システムも管理可能で、アクセス制御や特権昇格規制(suコマンドによる特権IDへの昇格規制)、RPA等で利用する特権IDの管理、不正のリアルタイム検知といった機能を持っているものがあり、より広範囲かつ程度の高い管理ができるようになっています。

 

ソリューション紹介

Password Manager Pro(ゾーホージャパン株式会社)

ゾーホーグループが提供するManageEngine製品群の中の特権ID管理システムです。特権ID付与の「承認者」の数によってライセンス数が決まり、管理するITリソースや申請者の数はライセンスとは無関係のため、他の製品よりコストを抑えて導入することができます。特権ID管理に必要な機能を備えながらも、シンプルでわかりやすいことも特長のひとつです。ManageEngineの他製品と組み合わせることで、ログ管理や履歴管理を強化することも可能です。

 

 

PRIVILEGED ACCESS SECURITY(PAS)(CyberArk Software株式会社)

世界的な特権ID管理のリーダー的役割を果たすCyberArk社が提供するソリューションです。CyberArk社のソリューションは世界90カ国、『Fortune 500』(グローバル企業の総収入ランキングトップ500)のうち50%で利用されています。特権ID管理だけではなく、アラートやコマンド制御などセキュリティ機能も充実しており、オンプレミス、クラウド、SaaSから提供形態が選択できます。

 

 

iDoperation(NTTテクノクロス株式会社)

ID管理、ワークフロー、アクセス制御、アクセスログ管理、操作ログ管理といった特権ID管理必要な5つの機能をオールインワンで提供します。2012年からの同社実績で監査対応100%を誇り、監査対応のマニュアル等も提供しています。また、アクセスログと申請書の突合せ点検などの監査対応作業や、定期的なアカウント管理作業などを自動化することができ、特権ID管理にかかわる工数削減にも寄与します。

 

 

まとめ

特権ID管理は、重要ではあるものの、容易ではありません。システム環境の多様化、サイバー攻撃の進化を始めとしたIT全体の進歩により、ますますその特権ID管理の重要性と難しさが増しています。大事な情報資産を守るため、今一度、自社の管理方法を見直してみてはいかがでしょうか。

 

 

参考:
https://www.manageengine.jp/products/Password_Manager_Pro/
https://www.cyberark.com/ja/
https://www.ntt-tx.co.jp/products/idoperation/

 

※本記事に掲載の会社名・製品名などは、各社の商標または登録商標です。
※本記事の正確性については最善を尽くしますが、これらについて何ら保証するものではありません。本記事の情報は執筆時点(2020年4月)における情報であり、掲載情報が実際と一致しなくなる場合があります。必ず最新情報をご確認ください。

筆者プロフィール

Ren.
Ren.ビーブレイクシステムズ
ERP「MA-EYES」RPA「WinActor」をはじめとするITツール営業担当。好きなお茶はジャスミン、お酒はハイボール、ロシア産飲料はウォッカではなくクワス。

クラウドサービスをコネクトしてITをフル活用

ビーブレイクシステムズでは、様々なマネジメントサービスの中からお客様にとって最適なシステム・サービスを選定し、選定された複数のシステムやサービスを繋いだサービス「コネクテッド・クラウド」を提案しています。

ERP、RPA、シングルサインオン、電子請求書、Web会議システムなど様々なクラウドサービスを上手にコネクトして仕事にお役立てください。