日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

経営課題解決シンポジウム 情報漏えい対策編 Review|エンカレッジ・テクノロジ

エンカレッジ・テクノロジ システム管理者/委託先の不正防止には
攻めの対策が必要

システム管理者/委託先の不正による情報漏えいが多発する今、その未然防止が経営の重要な課題となっている。対策の鍵はなにか? システム管理者/委託先の日々のモニタリングを強化し、軽微な問題、ルール違反を是正していく必要があるというのがエンカレッジ・テクノロジの見方だ。同社の日置喜晴氏は、その実現手段として同社が提供する2つのソリューションを示す。

システム管理者の不正は、与える影響が大きくなりがち

エンカレッジ・テクノロジ株式会社
マーケティング部長
日置 喜晴 氏

 「銀行ATM保守担当者によるキャッシュカード偽造、システム管理再委託先の派遣社員による3500万件もの個人情報持ち出し――。相次ぐ大型の情報漏えい事件の多くは、システム管理者や委託先がかかわっています」

 では、なぜ、システム管理者による不正は大きな事件となってしまうのか――。それは、システム管理業務固有の特徴に起因すると日置氏は説明する。

 第一に、システム管理者が管理者権限(特権ID)を利用する点だ。この権限を濫用すると、データベースの全レコードを抽出したり、システムの設定を勝手に変更したりと、システムに対してあらゆる操作ができてしまうのだ。第二に、システム管理者はITの高度な知識と経験を持っていること。場合によっては、一般には知られていないセキュリティ上の抜け穴を知っている場合もあるし、犯行後に証拠を隠滅する方法も考えつく恐れがある。第三に、システム管理作業では軽微な操作ミスやエラーがシステム停止など大きな問題を引き起こす可能性があるということ。

 したがって、管理者権限(特権ID)を濫用し、情報を持ち出すなどの行為が可能な機会が一般ユーザーに比べて圧倒的に多く、証拠が残らないようにすることで発見が遅れる。また意図しない場合でも、操作ミスや設定エラーが、システムに大きく影響を与え、企業活動に影響を与える可能性があるということだ。

委託先も含めた対策がリスク低減に不可欠

 このようなリスクを低減するには、(1)管理者権限を必要な場合に限って利用できるよう使用を制限し機会を減らすこと、(2)管理者権限によるアクセス内容は、すべて記録し、必要に応じて点検を行うこと、特に(3)機密情報等のシステムからの持ち出しについては、作業者が単独で行えないようにするなど、制御していく必要がある。

 「しかし、『セキュリティ対策にコストをかけても売り上げを生まないのではないか?』『委託先がしっかりやればいいのではないか?』と、対策をとっていただけない企業も少なくありません」と日置氏は語る。「そうした考えには、誤解や誤認識がある」と続ける。

 大前提として理解しなければならないのは、外部に委託している場合でも、委託元として事件・事故に対する社会的責任から免れられるわけではないという点。また、セキュリティ対策の負担を委託先に押し付けると委託先自体の収益を圧迫し、かえって対応力を低下させることにもなりかねないと日置氏は注意を促す。

 では、どうすればよいか? エンカレッジ・テクノロジが提言するのが、2つの「攻めの対策」である。

攻めの対策1:システム管理業務のモニタリングを強化でコスト効果を発揮

 メディアを騒がすような重大なインシデントは、ある日突然起きるわけではない。重大な問題の背後には、軽微なルール違反や管理不備など多くの「ヒヤリ・ハット」が存在すると考えるべきだ。そしてこれらの軽微な不備・違反がシステム上の小規模な問題を招き、対応するためのコストがかかっている可能性がある。

 たとえば、以下のようなものだ。

  • 必要以上に過剰な権限を常に与えている場合。利用者の高権限アカウントに対するリスク認識が低下し、(実際には漏えいに至らないので問題にはならない場合であっても)業務に関係のないデータへのアクセスを許容してしまう
  • 作業計画があいまいに記載されている場合。やってはいけない作業が許可されたり、予定外の作業を行っても事後の指摘もなくそのまま通ってしまったりする運用を継続していると、個人の判断によって行う誤操作によるシステム障害が発生する

 特にシステム管理業務を外部に委託している場合には、これらの業務上の細かな課題を委託元が把握できていない企業が多い。

 この対策ポイントは、委託先も含め、企業自身によるシステム管理業務のモニタリングを高め、軽微な問題発生を減らすことだ。それにより日常のオペレーションコストを削減するとともに、重大なインシデントの発生リスクを抑えることができるのである。すなわち、「コストをかけるだけの対策ではなく、コスト効果も期待できる対策」と言える。

攻めの対策2:安全なクラウドの利用で、対策範囲を絞り込め

 一般的な調査によるとクラウドサービスを利用しない理由の上位に、「セキュリティの不安」が挙げられる。このような状況で、クラウドの利用が「攻め」の安全対策であるというのは驚かれるかもしれない。

 しかし、考え方を変えてみると、クラウドは、すべての範囲の対策を自社で整備する必要があるオンプレミスと比べて、対策が講じやすいといえるのである。なぜならば、クラウドサービスにおいては、事業者とユーザーの責任分界点が明確だからだ。

 IaaSを例にとってみると、ユーザー企業が管理すべき部分はOSより上位のレイヤーのみだ。それより下のレイヤーの、ハードウェアの管理やサーバールームへの入退室などの物理的セキュリティは事業者の責任範囲であり、ユーザー企業が対策を個別に講じる必要はない。ユーザー企業は、自社のセキュリティポリシーに準じた対策を行っているサービスを選択すれば良い。

 また、ユーザー企業の責任範囲となる部分の対策に対しても、クラウド事業者が提供する従量課金型のサービスを利用することで、コスト面で有利になる可能性がある。つまり、要件を満たすサービスを選定し、クラウドを利用することで、自社が対策を行うべき範囲を狭めることができる。その結果、対応コストが削減できる可能性があるということだ。これは、攻めの対策1で提言する、システム管理業務のモニタリングについても言えることである。

2つの「攻めの対策」に対するエンカレッジ・テクノロジの貢献

 エンカレッジ・テクノロジは、この2つの「攻めの対策」に対する実現手段として、独自のソリューションを提供する。

 オンプレミスのシステム対しては、システム運用統制ソフトウェア「ESS SmartIT Operation」によって、システム管理業務に対するモニタリングを強化し、内部者の不正リスクを低減する。

 ESS SmartIT Operationには、申請・承認ベースでのみ管理者権限(特権ID)を貸与する特権ID管理機能、特権IDを使用した操作内容を克明に記録し、不正操作を即時アラートする操作モニタリング機能など、システム管理者の不正防止に必要な機能が包括されている。これを「アクセス&証跡管理基盤」として、保護対象のシステムの全面に配置することで、社内および複数の外部委託先によるシステム管理業務に対して適用することが可能である。それにより、社内および複数の委託先の業務を、共通の指標でモニタリングできるようになり、評価の客観性が向上、委託先の比較が可能となる。

 ESS SmartIT Operationは、すでに400社以上のオンプレミス上のシステムで採用されており、今後も展開していく予定だ。

ESS SmartIT Operationによるシステム管理者の不正・情報漏えい対策
[画像のクリックで拡大表示]

 新たに提供を開始するのが、2つ目の「攻めの対策」-すなわち、「安全なクラウド利用」を支援する「ESS AdminGate」である。

 「ESS AdminGate」はESS SmartIT Operationとほぼ同等の機能をオールインワンで使えるようにしたものである。提供されるのは、アクセス申請ワークフロー、特権IDのパスワード管理、操作内容の克明な記録、ファイル入出力管理などの機能であるが、実際には2つの顔が存在する。

クラウドに対応したESS AdminGateシリーズ
[画像のクリックで拡大表示]

 一つはクラウドサービス事業者との提携のための「ESS AdminGate AK」。提携先のクラウドサービス事業者は、自社の責任範囲におけるシステム管理業務の安全対策を、本ソフトウェアよって実現すると同時にクラウド上の「サービス」として、ESS AdminGateの機能をユーザー企業が利用できるようになるというもの。

 すでに発表している提携先の一つがNEC Cloud IaaS。昨年末より、NEC Cloud IaaS上ではESS AdminGateをベースに提供される「ID&アクセス管理サービス」を選択することで、従量課金型でシステム管理者権限の管理とモニタリング向上といった対策を取ることが可能となっている。

 もう一つの顔は、仮想アプライアンス方式でユーザー企業が購入できる「ESS AdminGate VA」だ。自社のプライベートクラウド環境に展開したり、パブリッククラウドに持ち込んだりすることにより、クラウド上のシステムに対する安全対策を実現する。使用料は、システム規模に応じて従量方式で課金、従来製品と比較し大幅にコストが低減される。ESS AdminGate VAは2015年度の頭には提供を開始できる予定だ。

創業以来、システム管理の課題解決の特化

 これまでの内部型セキュリティ対策は、システムの利用者に主眼が置かれていた。しかし冒頭に示す通り、今喫緊の課題としてとらえるべきは、むしろシステムを管理する立場の者による不正である。

 「弊社は創業以来、システム管理における課題解決に特化した事業を行ってきた専門企業です。これまでお客様の課題解決のご支援で培ってきたノウハウをもとに、さらに多くの企業の課題解決に貢献していきたい」と日置氏は語った。

お問い合わせ

エンカレッジ・テクノロジ株式会社

TEL 03-5623-2622(代表)ソリューション営業部

E-mail http://www.et-x.jp/contact/

URL http://www.et-x.jp/