情報セキュリティ戦略セミナー2019 Review
開催日:2019年9月27日 会場:ホテル雅叙園東京

セキュリティ専門家が語る!
実効性を担保していく
「特権ID管理」術

NRIセキュアテクノロジーズ

組織&マネジメント強化

内部不正による情報漏えいを、大きなリスクと考えている国内企業は多い。内部不正を防ぐ特権ID管理によるセキュリティ対策とポイントとは。

国内企業のセキュリティ対策に対する課題

NRIセキュアテクノロジーズ ソフトウェアビジネス三部・部長 橋本 淳 氏

NRIセキュアテクノロジーズ

ソフトウェアビジネス三部・部長

橋本 淳

 NRIセキュアテクノロジーズは2002年から毎年、日本企業および海外企業の情報セキュリティに関する取り組みの実態調査を行っており、17年目となる2019年の調査(「NRI Secure Insight 2019」)では、3か国(米国、シンガポール、日本)の計2800社以上の企業を対象としたグローバル調査を実施している。

 その調査で日本と他の2カ国を比較したという橋本氏は、情報セキュリティが重要な経営課題のひとつになって久しい中、国内企業の課題は、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)を設置し、そのリーダーシップでプロアクティブなセキュリティ対策を行うことだと説明する。

 また、他の2カ国と比べてセキュリティ対策に従事している人材が不足していることから、セキュリティ業務の標準化、自動化、省力化を進め、自社注力領域とアウトソース領域を見極める必要がある、と橋本氏は指摘する。

 さらに同調査では、自社で最も脅威と捉えている事象についての結果からも国内企業特有の課題が見えてくる。他の2か国では10%台と脅威としては低い認識の「内部不正による被害」が日本国内では51.7%と高く、国内企業においては内部不正対策に関心が高いことがわかる。

Insight2019から見える国内の課題

国内企業は内部不正を大きな脅威と考え、大きなインパクトのあるリスクと捉えている

画像を拡大する

国内で関心が高い脅威、内部不正を防ぐ対策とポイント

 内部不正が起きるのは、不正を行う個人的・組織的理由の「動機」があり、不正行為が実行可能な環境や権限を持つ「機会」があり、不正の制限がなく「正当化」できるという3つの条件(不正のトライアングル)がそろったときで、この3つを崩す対策が必要だ。IPAが出している『組織における内部不正防止ガイドライン』では、内部不正防止の基本原則として、「犯行を難しくする」「捕まるリスクを高める」「犯行の見返りを減らす」「犯行の誘因を減らす」「犯行の弁明をさせない」という5つの基本原則が書かれている。橋本氏は、「前者3つには主に技術的対策で、後者2つには主に人的対策で対応できるが、人的対応についてはその人個人のモラルやプライベートの状況に依存する部分もあるため、技術的対策のほうが効果が見えやすい」という。

 また、重要な情報資産はクラウドやデータセンターに置かれており、ほとんどがリモートで論理的なアクセスとなるため、特に「特権IDに対するアクセス制御」が重要となるという。ここでいう特権IDは、Rootを持つ管理者に限らず、メンテナンスを行うためのIDも多くの権限があるので注意が必要だ。

 たとえば、「犯行を難しくする」「犯行の見返りを減らす」に対する予防的統制について、橋本氏は次のような対策事例とポイントをあげる。

統制レベル弱:職務に応じたアクセス権の付与と定期的な棚卸し

 組織ベースでグループ化を行うと組織変更や人事異動の際のメンテナンスが煩雑となるため、権限ベースでグループ化して管理していくことが重要

統制レベル中:アクセス権限を行使する際の申請や承認、アクセス制御

 紙による申請や承認は形骸化してしまうことが多いので、アクセス制御を強制できる仕組みと連携させることが重要

統制レベル強:アクセス経路の限定、強力な認証やコマンドレベルでのアクセス制御

 重要度の高い資産や高権限者にのみ適用するなど、利便性と運用性のバランスを考慮することがポイント

 また、「捕まるリスクを高める」ための発見的統制についても、橋本氏は次のような対策事例とポイントがあると説明する。

統制レベル弱:個人が特定できるログの取得、申請との突合

 最もツールを使って効率化することが可能な領域であり、業務との親和性を考慮する

統制レベル中:アクセスログのモニタリング

 サンプリングではなく、想定されるリスクを検出できるようにロジカルにモニタリングし、外部への説明を可能とすることが重要

統制レベル強:不審ログの利用者へのヒアリング、モニタリング対象の合理的な絞り込み

 利用者へのヒアリングはモニタリングしていることを周知させる効果がある

 これらも重要度の高い資産や高権限者にのみ適用し、アウトソースも視野に入れることがポイント

「特権IDに対策を講じることによって、内部不正だけでなく、外部からの攻撃にも対応できる」と橋本氏は話を続ける。たとえば標的型攻撃で内部に侵入した攻撃者は、特権IDを乗っ取って不正を行おうとするが、特権ID対策を行っていれば情報漏えいなどの被害を最小限に抑えることができる。

不正防止の対策事例とポイント

内部不正を防止するために特権ID対策を行うことで、外部からの侵入を想定した対策も行える

画像を拡大する

特権ID管理に最適なソリューションとは

 特権ID管理のソリューションには、ゲートウェイ方式(完全エージェントレス型)、ID棚卸し・貸出方式、クライアント・エージェント型、サーバー・エージェント型の4つがあるが、ゲートウェイ方式が最もバランスがよく、導入や運用が簡単で、アクセス制御やアクセスログ取得などの機能が利用できると橋本氏は話し、特権ID管理のデファクトスタンダードになりつつあると説明する。また、海外製のソリューションのほうが高機能であるが、構成が複雑で使いこなしが難しい。特権ID管理は、運用が極めて重要となるため、国内業務を考慮し、国内ならではの柔軟な対応やサポートを受けられる国産ソリューションのほうをお勧めしたい、と橋本氏は話す。

 NRIセキュアテクノロジーズでは、「SecureCube / Access Check」という特権ID管理ソリューションを提供しているが、ガートナーレポートに記載のある唯一の国産ソリューションとして国内シェアNo.1を誇っている。SecureCube / Access Checkは、利用者の把握・特定、アクセス制御の実施、ログの管理・活用といった監査対応の課題と、外部からの攻撃や内部の不正行為に対するセキュリティ対策の課題を解決できるベストプラクティスソリューションとなっている。

情報セキュリティ戦略セミナー
2019 Review

- INDEX -

お問い合わせ先

NRIセキュアテクノロジーズ株式会社

お問い合わせURL

URL ● https://www.nri-secure.co.jp/

お問い合わせはこちら

このページのトップに戻る