セキュリティ専門家が語る！
実効性を担保していく
「特権ID管理」術

国内企業のセキュリティ対策に対する課題

国内で関心が高い脅威、内部不正を防ぐ対策とポイント

　内部不正が起きるのは、不正を行う個人的・組織的理由の「動機」があり、不正行為が実行可能な環境や権限を持つ「機会」があり、不正の制限がなく「正当化」できるという3つの条件（不正のトライアングル）がそろったときで、この3つを崩す対策が必要だ。IPAが出している『組織における内部不正防止ガイドライン』では、内部不正防止の基本原則として、「犯行を難しくする」「捕まるリスクを高める」「犯行の見返りを減らす」「犯行の誘因を減らす」「犯行の弁明をさせない」という5つの基本原則が書かれている。橋本氏は、「前者3つには主に技術的対策で、後者2つには主に人的対策で対応できるが、人的対応についてはその人個人のモラルやプライベートの状況に依存する部分もあるため、技術的対策のほうが効果が見えやすい」という。

　また、重要な情報資産はクラウドやデータセンターに置かれており、ほとんどがリモートで論理的なアクセスとなるため、特に「特権IDに対するアクセス制御」が重要となるという。ここでいう特権IDは、Rootを持つ管理者に限らず、メンテナンスを行うためのIDも多くの権限があるので注意が必要だ。

　たとえば、「犯行を難しくする」「犯行の見返りを減らす」に対する予防的統制について、橋本氏は次のような対策事例とポイントをあげる。

●統制レベル弱：職務に応じたアクセス権の付与と定期的な棚卸し

　組織ベースでグループ化を行うと組織変更や人事異動の際のメンテナンスが煩雑となるため、権限ベースでグループ化して管理していくことが重要

●統制レベル中：アクセス権限を行使する際の申請や承認、アクセス制御

　紙による申請や承認は形骸化してしまうことが多いので、アクセス制御を強制できる仕組みと連携させることが重要

●統制レベル強：アクセス経路の限定、強力な認証やコマンドレベルでのアクセス制御

　重要度の高い資産や高権限者にのみ適用するなど、利便性と運用性のバランスを考慮することがポイント

　また、「捕まるリスクを高める」ための発見的統制についても、橋本氏は次のような対策事例とポイントがあると説明する。

●統制レベル弱：個人が特定できるログの取得、申請との突合

　最もツールを使って効率化することが可能な領域であり、業務との親和性を考慮する

●統制レベル中：アクセスログのモニタリング

　サンプリングではなく、想定されるリスクを検出できるようにロジカルにモニタリングし、外部への説明を可能とすることが重要

●統制レベル強：不審ログの利用者へのヒアリング、モニタリング対象の合理的な絞り込み

　利用者へのヒアリングはモニタリングしていることを周知させる効果がある

　これらも重要度の高い資産や高権限者にのみ適用し、アウトソースも視野に入れることがポイント

「特権IDに対策を講じることによって、内部不正だけでなく、外部からの攻撃にも対応できる」と橋本氏は話を続ける。たとえば標的型攻撃で内部に侵入した攻撃者は、特権IDを乗っ取って不正を行おうとするが、特権ID対策を行っていれば情報漏えいなどの被害を最小限に抑えることができる。

特権ID管理に最適なソリューションとは

　特権ID管理のソリューションには、ゲートウェイ方式（完全エージェントレス型）、ID棚卸し・貸出方式、クライアント・エージェント型、サーバー・エージェント型の4つがあるが、ゲートウェイ方式が最もバランスがよく、導入や運用が簡単で、アクセス制御やアクセスログ取得などの機能が利用できると橋本氏は話し、特権ID管理のデファクトスタンダードになりつつあると説明する。また、海外製のソリューションのほうが高機能であるが、構成が複雑で使いこなしが難しい。特権ID管理は、運用が極めて重要となるため、国内業務を考慮し、国内ならではの柔軟な対応やサポートを受けられる国産ソリューションのほうをお勧めしたい、と橋本氏は話す。

　NRIセキュアテクノロジーズでは、「SecureCube / Access Check」という特権ID管理ソリューションを提供しているが、ガートナーレポートに記載のある唯一の国産ソリューションとして国内シェアNo.1を誇っている。SecureCube / Access Checkは、利用者の把握・特定、アクセス制御の実施、ログの管理・活用といった監査対応の課題と、外部からの攻撃や内部の不正行為に対するセキュリティ対策の課題を解決できるベストプラクティスソリューションとなっている。