企業や組織が持つ顧客情報は、非常に重要な機密情報です。近年、故意やミスによる内部不正での機密情報の漏えいは社会問題となっています。特権IDとIT資産を同時に管理することはこの問題解決の手助けになります。
本記事は、2023年7月12日に展開した株式会社アエルプランニングとの共同制作によるホワイトペーパーからの抜粋です。ホワイトペーパーをご希望の方は、下記リンク先、または本ページ右肩のお問い合わせフォームからご連絡ください。
▶ホワイトペーパーお知らせページ
▶ホワイトペーパーお申込みページ
内部不正とシステム管理者
独立行政法人情報処理推進機構(IPA)発行「内部不正による情報セキュリティインシデント実態調査(2016年3月)」によると、内部不正情報漏えい実行者の半数以上がシステム管理者であるという調査結果があります。
その内訳として、システム管理者のように権限を持った人物の犯行が多く、被害額も外部のサイバー攻撃よりも大きいとされている部分は注目すべき点であり、システム管理者のID管理は、企業にとって最低限抑えるべきセキュリティ対策と言えます。
システム管理者向けのID管理として、特権ID管理ソリューションが生まれ、従来のユーザID管理をさらに堅牢にした仕組化が進んでいます。
ユーザID管理が主にクライアント環境端末を対象にしているのに対し、特権ID管理は、システム管理の側面からサーバ(クラウド含む)環境を対象にしています。また、IT資産・構成管理の観点でも、ハードウェア資産情報としてのシステム構成管理の項目のひとつとして、管理者情報はなくてはならないものです。
内部不正
企業や組織内での内部不正は、関係者や元関係者が機密情報を不正に持ち出したり、漏えいさせたりする行為を指します。
これには意図的な悪意による行動だけでなく、関係者の誤った操作も含まれます。
2020年のIPAの調査※1 によれば、営業秘密情報の漏えいの主な原因は、中途退職者(役員や正規社員)による漏えいと、現職従業員による誤操作や誤認があります。
さらに、同年の調査結果では、現職従業員がルールを守らないことによる漏えいも多いことが示されました。
※1 IPA 「企業における営業秘密管理に関する実態調査2020」概要説明資料
内部不正を防ぐためには、特権IDの管理体制の強化とルールの策定が必要です。また、特権ID管理のソリューションを導入し、IT資産管理と統合すれば、不正行為を素早く検知し、誰がどの情報資産にアクセスしたかを追跡できるようになります。これにより、被害を最小限に抑え、再発を防止できます。
特権ID管理
特権ID管理とは
特権IDは、通常のユーザよりも高い権限を持ち、システムの重要な操作を行うために使用されます。これには Windows の「Administrator」や UNIX / Linux の「root」などが含まれます。特権IDはシステムに対する全ての操作権限を持ち、誤用や誤った操作が大きな被害を引き起こす可能性があります。各システムは独自の特権IDを持っており、これらはサイバー攻撃や内部不正の対象になります。
特権ID管理は、これらの特別な権限を効果的に管理するために必要です。小規模であれば記録台帳、大規模であれば特権ID管理システムの使用が一般的です。
特権ID管理の必要性
企業や組織は、サイバー攻撃を検出・分析するための SOC(Security Operation Center)や、サイバー攻撃に対処するための CSIRT(Computer Security Incident Response Team)を設立することが増えています。これらの組織は24時間体制で運用され、外部委託されることもあります。
サイバー攻撃が検出された場合、迅速な対応が必要で、そのために特権IDを使用することが必要です。ただし、特権IDは強力な権限を持つため、外部の組織にアクセス権を与えることはリスクを伴います。そのため、リスクを最小限にするために特権ID管理ソリューションを構築する必要があります。
内部統制と監査への対応
PCI DSS(クレジットカード会員データを安全に取り扱う事を目的として策定されたクレジット業界のグローバルセキュリティ基準)、J-SOX(内部統制報告制度)、FISC(公益財団法人 金融情報システムセンター)安全対策基準などのセキュリティ基準は、特権IDの管理を重要な要件として規定しており、これに準拠するためには特権ID管理が必須となります。特権ID管理の方法としては、次の3つの方法が考えられます。
① 特権IDの一元管理とパスワードポリシーの適用
② 申請/承認フローによる特権ID利用の徹底
③ 利用履歴の取得
将来的には、多くの企業がこれらの規制を遵守する必要があると予想されます。
特権ID管理の重要な前作業として、特権IDの棚卸があります。これまで特権ID管理をまったく行っていなかった組織の場合、最初に組織全体の特権IDの現状確認が必要です。また、この棚卸は、特権ID管理の運用内においても定期的に行われなければなりません。
特権ID管理ツール
特権ID管理ソリューションの構築のためには、特権ID管理ツールが必要です。また、特権ID管理ツールには、特権IDの管理・運用をスムースに実現するために、具体的に次のような機能が必要となります。
① 特権ユーザ、管理対象、管理アカウントの一元管理
② クラウドサービスへの対応
③ IPアドレスを持つすべての機器の特権ID管理
④ 申請承認
⑤ 特権IDパスワードの自動変更
⑥ 有効期限設定
⑦ 特権ID棚卸の自動化
⑧ ログ管理
⑨ 多要素認証
特権IDとIT資産構成管理の融合による内部不正対策
特権ID管理とIT資産管理はともに重要です。特権ID管理ツールでは、特権ユーザ、管理対象、管理アカウントを一元管理し、アカウントの利用設定とログイン履歴を確認します。また、IT資産・構成管理ツールでは、サーバやアカウント、依存関係を管理し、重要な情報の識別も行います。
特権ユーザ情報は特権ID管理ソリューション(記録台帳)で、システム管理者はシステム管理台帳に、サーバ管理者はハードウェア台帳に、それぞれ登録されます。システムが構成されるサーバは CMDB(構成管理データベース)によって連携されます。
ソフトウェア管理は必須で、セキュリティリスクを可視化し、脆弱性を是正します。管理対象はPC、サーバ、モバイルデバイス、ネットワーク機器、クラウドに及びますが、是正方法は異なり、プロセスに関する方針が必要です。ソフトウェアのパッチ適用はエビデンスとして重要です。
まとめ
企業や組織において、内部不正による機密情報の漏えいが信頼を損なう重大な問題となっています。この問題に対処するため、情報資産や特権IDを個別に管理し、アクセス権限を制御する一般的な実践が行われています。IT資産管理では、情報資産や特権ユーザへのアクセスを常時可視化し、全体の関係性を把握できます。
特権ID管理ソリューションを用いて特権行為を制御し、内部不正を防ぐ際には特権IDの付与ルール、承認フロー、ログの収集と分析が役立ちます。IT資産管理は組織全体のIT関連の関係性を把握するナビゲーションシステムであり、一方で特権ID管理は詳細な内容を判断する役割を果たすことになります。
※記載の製品名は、各社の商標または登録商標です。
※本記事は、2023年7月12日に展開した株式会社アエルプランニングとの共同制作によるホワイトペーパーからの抜粋です。▶ホワイトペーパーのお申込み