お客様の業務をITでサポートするアクセスログ監査システムのウイーズ・システムズ

03-6721-1356

特権ID管理

中途半端な対応では、あとで結局やり直し

システムリスクの重要課題「特権ID管理」

内部職員や委託先職員による不正操作、情報流出事件が後を絶たず、IT統制の不完全さが指摘されています。 その中でもシステム上、高権限を持つ特権IDを使用した例が少なくありません。 特権IDはコンピュータ上でどんな操作や設定変更も行なえる権限を持つため、重要な情報へアクセスし、データの改ざん・流出を行なう危険性があります。

一方、特権IDには制限がなく、その場で様々な対処が可能であるため、システム作業では大変便利なIDです。 そのため、多くのシステム現場では特権IDを多用してシステム開発・運用を行ってきた背景があります。

そこで、利便性は落とさずに、特権IDを安全に利用する方法が求められています。 WEEDSでは、課題を抱えられた多くのシステム現場の声を聞き、その解決策を見出してきました。 このページでは、お客様事例を交え、課題の解決策としてあるべき姿を構築したWEEDSの特権ID管理の解決策をご紹介します。

なぜ「特権ID管理」がうまく実現できないのか?

まず、「特権ID管理」とは何をどこまで実現するべきなのか、を考える必要があります。 主な情報セキュリティガイドラインをまとめると、以下のような基準が謳われています。

  1. 利用の制限

    高権限である特権IDは、様々な操作が行なえるため、利用目的に合わせて出来る限り使用を制限する。
    また容易に操作できないような何らかの対策を取る。

  2. 適切な担当者への割り当て

    利用を最小限に抑えたとしても、利用を完全になくすことは不可能。特権IDを利用する場合、高権限IDの利用が必要な担当者にのみ利用を許可する。

  3. 利用状況の把握

    特権IDをいつ誰が利用したのか、操作内容まで把握する。

  4. 利用内容の分析

    高権限である特権IDを使用した操作に、予定以外の操作がないか、不正な操作がないかチェック・モニタリングする。

これらポイントを抑えることで、高権限である特権IDの利用リスクを低減ことができ、管理・統制できます。

しかし、どの企業でも簡単に1~4の対策がすぐに取れるかというと、そうでもありません。
どのような課題が考えられるでしょうか。弊社がお客様にヒヤリングした結果をまとめると、1~4ではそれぞれ以下のような課題が浮かび上がります。

  1. 利用の制限ができない

    「root」や「Administrator」など特権IDの利用は、人が行う作業だけではなくアプリケーションが特権IDを使用して稼動しているケースも多い。そのため、高権限IDでないと行なえない作業が多いことや、特権IDのパスワードを定期的に変更して制限をかけたくても、パスワードを変えるとアプリケーションが動作しなくなってしまう。

  2. 利用者が適切かわからない

    特権IDを利用する場合は、申請を台帳に記入し、承認をもらってから作業しているが、実際の作業者は申請者と異なる場合もある。そもそも、台帳に記録がない特権ID操作があった場合は、利用者の特定は困難。

  3. 利用状況の実態を正確には把握できない

    特権IDの利用を、申請・承認台帳などに記入はできていても、本当に申請したサーバで作業したのか、申請したサーバ以外での作業は本当にないのか、確認する術はありません。つまり、証跡がないため申請と異なるサーバを操作していたり、不正にサーバへアクセスされてもわからないため、利用状況の把握が正確にはできない状況です。

  4. 利用内容の分析の仕方がわからない

    そもそも操作まで証跡を取得していないため、チェックができない。たとえ監査証跡として操作ログを取得しても、申請した作業内容と異なるかどうか、チェックする方法、手段がわからない。また、コマンドなどの操作をチェックできるだけのスキルをもった担当者がいない、またはアサインできない。例えば、監査担当者を一人立てて、その方が全システムの操作をチェックする係りに割り当てているが、操作の良し悪しを判断できないので、全てOKとしてしまっている。

このような理由や環境により、特権IDの管理がうまく進まないのが現状です。

ウイーズ・システムズが考える 特権ID管理のあるべき姿

このような現状を根本的に、永続性を持って解決できる方法がないか考えました。 特権ID管理は、セキュリティ対策の一つなので、基本的には性悪説にのっとって、どのような操作・アクセスも管理対象とし、漏れのない管理をする必要があります。また、セキュリティ対策は年々強化されるため、小手先の対処では追加の対策を今後も行なわなければならなくなります。
そのようなことがないように、根本的な対策を取ることが適切な対応であり、トータルコストも低くなります。それがウイーズ・システムズの特権ID管理です。

ウイーズ・システムズでは、先にご紹介した特権ID管理で対処する4つの内容をソフトウェアにて負荷、影響なく対策することを実現します。ベースとして操作ログを漏れなく取得し、それを自動監査する仕組みを実現することで、システマチックな運用が行え、管理負担を大幅に軽減します。

ではどのようにして、課題の多い特権ID管理対応をしていくのか、以下に示します。

ポイント1.利用の制限

まず、特権IDがいつでも利用可能になっている状態が非常に危険であると考えます。そこでサーバ利用に対する作業申請と連携し、承認を得た作業時のみ利用可能となるアクセス制御を実現することが重要です。

決められた申請・承認フローを経た場合だけログインを許可します。そして作業後(ログオフ後)は利用できないようにする。こうすることで、容易に特権IDを利用して操作ができなくなり、統制度合いを高めることができます。

ポイント2.適切な担当者への割り当て

特権IDなどの共用IDの悩ましいところは、利用者本人を特定できないことです。(“root”や“administrator”というIDであるため)たとえID利用申請を台帳管理していても、“台帳にない特権ID利用”が見つかったときに誰が操作したものか、調査することは困難です。そこで必要な仕組みが、本人特定機構です。特権IDでなくても、作業用に“ope01”や“unyo02”などの共用IDをサーバのログインIDに作成して使用している環境も同様です。一つの手段として、サーバのログインIDに個別のIDを作ることです。(例えば“tanaka”や“satou”など)IDを見ただけで、誰かがわかるようにする対策です。ただし、この方法ではサーバ上にIDが増え、棚卸しなどの管理に手間がかかります。

そこでサーバのIDと作業者を紐付ける本人特定機構を用いることで、ログインIDと作業者を紐付けることができます。本人特定機構は、サーバにログイン後、本人特定のための認証が発動し、そこで個人ID/Passwordを入力して操作できるようになります。作業者本人が特定できるIDで認証させることで不正抑止効果が上がり、本人特定用の個人IDが割り振られていない人は操作できないため、不必要な操作を防ぐ効果があります。

ポイント3.利用状況の把握(操作ログの取得)

ポイント1,2で、適切なアクセス環境を構築したのち、次は利用状況の把握をしっかり行なうことが重要です。アクセス環境を適切にしたとしても、必ずアクセスできる人はいます。それが運用担当者や作業担当者であり、高権限のID(特権ID)を利用する方々です。 残念ながら多くの不正アクセスは、この“アクセスできる人”が行なっています。したがって、アクセスを制御やIDの管理を徹底しても、“アクセスできる人”の利用状況を抜け・漏れなくチェックしない限り、特権ID管理にはじまる不正アクセス・不正操作の対策は終わりません。

特権IDの利用状況を抜け・漏れなく把握するには、操作ログを取得することです。日々、どれくらいの操作があるか、誰が特権IDを利用しているか、まず正確な情報を収集し、チェックできる状態にすることが必要です。

また、ログイン/ログオフのみをチェックしていても、そのログイン中に何をしたのかが把握できなければ何も判断ができません。特権IDの使用でリスクになるのは、高権限であるがゆえにあらゆる操作が行なえるため、不正な設定変更や情報持ち出しが容易にできてしまうことです。 これをチェックするにはログイン/ログオフだけでは行なえず、抜け・漏れのない操作ログの取得が必要になります。

このような理由から、WEEDSではログイン/ログオフおよび操作ログを抜け・漏れなく、完全性、網羅性の高いログ取得の実現を推奨します。セキュリティ対策は、この“操作の証跡”を取得することが一番の対策になり得るためです。人の操作の証跡が残っていない、残っていても後で追跡できない、完全ではない、などの状態では、有事の際に調査ができないだけでなく、けん制効果がはたらきません。

ポイント4.利用内容の分析(操作ログとの突合せ)

操作の証跡であるログ情報は、取得するだけでけん制として一定の効果があります。一般的な犯罪でも、足跡や指紋が残ることがわかれば犯罪が発生しにくくなります。(近年、監視カメラが多く設置されている)しかし、昨今起きているような、高権限者の事件を防ぐには、取得した操作ログを分析(チェック)することは欠かせないことがわかります。 ただこの分析をどうするかが課題です。

WEEDSではこの分析を自動化し、人手による作業をなるべく排除して属人化を防ぐことが重要だと考えます。その手段の一つが、取得した操作ログをお客様ごとのポリシーと突合せ、ポリシー違反を浮かび上がらせることです。ポリシーには多種考えられます。申請時間外、申請外操作、不正コマンド、不正アプリ、休日・深夜、不正ID、不正IP、個人情報参照、などなどです。この操作ログとポリシーの突合せを、人手で行なうと、チェックミスや担当者のスキルによってバラツキが発生してしまうため監査になりません。 また、担当者を変更することは難しくなり、属人化へと進んでしまいます。

失敗しない特権ID管理 : 手順や違反を判断できる体制の整備

システム毎に管理者を立てる

特権ID管理を既に実施されている企業でよくある課題として、監査担当者を定め、その担当者がすべてのシステムのアクセス履歴を管理し、チェックする体制を取ってしまうことです。この体制では、すべてのシステムの操作を限られた方々がチェックするわけですが、とても操作の良し悪しを判断することはできません。結局、すべてに目を通すだけに留まり、監査にならず、人手がかかるだけで効果を挙げることができません。

重要なことは、操作ログやアクセス記録を見て、良し悪しが判断できる人がチェックすることです。作業申請の手順や内容、ポリシー違反した時の違反内容を見て、問題がなければ“問題なし”と責任を持って判断できる方がチェックをしない限り、結果的には形式的な管理体制となってしまいます。
そのためには、システム毎に管理者(責任者)を立て、作業申請の承認および、ポリシー違反操作の最終承認を実施する体制を整えることが重要であり、これが特権ID管理ならびにIT統制を成功させる近道です。

失敗しない特権ID管理 : 抜け、漏れのない方式を選択する

アクセス監査の仕組みには以下のようないくつかの方式があります。

それぞれメリット/デメリットがありますが、“セキュリティに例外は禁物”という鉄則を鑑み、抜けや漏れのない方式、および、本来の目的を果たすためには、エージェント型がしっかり漏れなく統制が行える方式だとウイーズ・システムズは考えます。

なお、金融情報システムセンター(FISC)発行の「金融情報システム2013年夏号」にて、特権ID管理の特集が組まれています。そちらを参考に、ゲートウェイ型とエージェントレス型、エージェント型の比較表を作成すると以下の通りになります。

この結果だけでなく、今後、システムリスク対応、セキュリティ強化を迫られることを踏まえ、ウイーズ・システムズではエージェント型で製品開発を進め、デメリットを克服する対策を創業以来続けております。

ウイーズ・システムズの特権ID管理ソリューション

操作ログと自動連携する作業申請・承認ワークフロー「WEEDS Apply-Workflow(APW)」

WEEDSの作業申請・承認ワークフロー「WEEDS Apply-Workflow(APW)」は、作業申請情報と操作ログを自動突合せし、「作業申請外操作」を自動ピックアップします。さらに、作業申請時に作業手順(コマンド、パラメータ)を登録しておくことで、操作の際には申請した作業手順以外の操作が行なえないホワイトリスト対応が可能になります。

この作業申請情報は保管され、権限によって閲覧できる範囲を絞ることができ、紙やExcelで管理していた手間隙が解消されます。

サーバIDのワンタイムパスワード化&本人特定機構「WEEDS ID-Manager(IDM)」

WEEDSでは、「WEEDS ID-Manager(IDM)」でワンタイムパスワードを実現します。 作業終了後、ログオフしたタイミングで自動変換することで、誰もパスワードを知らない環境を構築できます。

さらにIDMでは、「WEEDS-ID」というログイン後にもう一度認証を設けることができ、このWEEDS-IDを利用させないことでログインを制限することが可能です。アプリケーションで使用しているIDは、パスワードを変更できない場合があります。この場合に特権IDの使用を制限する方法として、WEEDS-IDでブロックできます。(WEEDS-IDはアプリケーションがログインする際には稼動せず、ユーザがログインした時のみ稼動します)

このように、特権IDの利用を制限して安易な利用を防いでリスクを低減し、どうしても利用しなければならない時は、WEEDS-IDを個人毎に作成することで、利用者が確定します。これは次のポイント2につながりますが、利用者が特定できることで、不正操作の抑止効果としてけん制できるだけでなく、適切な担当者への割り当てが行なえているかが判断できます。

WEEDS-IDは、サーバへログインした後に、“もう一つのログイン認証”としてWEEDS-IDでの認証(ID/Password)を求めます。このWEEDS-IDは、全サーバ共通で利用できるため、パスワードを一人一つ記憶しておくだけです。これにより、どのサーバにログインしても必ずWEEDS-IDによる本人確認認証が求められるため、不正なログインができなくなり、ログインしても操作しても、必ず操作者が紐付きます。 これを日次もしくは週次にて、特権ID利用者をチェックすることで、適切な担当者へ割り当てられているかが把握できます。

作業申請と連携した操作ログ取得・制御製品「WEEDS UNIX-Trace(UXT)」「WEEDS WinServer-Trace(WST)」

セキュリティの基本となる、操作ログを取得するのがUXT(UNIX/Linuxサーバ用)とWST(Windowsサーバ用)です。操作ログを漏れなく・抜けなく取得するだけでなく、APM、IDMと連携して“ワンタイムパスワード”や“本人特定機構”の実現をサーバサイドで担います。 さらに、作業申請で登録した手順のみ実行させる操作制御もUXT、WSTが実現します。

UXT、WSTは共に、お客様サーバへ導入するエージェント型です。 漏れや抜けのない操作ログの取得や、操作制御(ブロック)を実現しようとすると、エージェント型以外では行なえません。エージェント型ですが、パフォーマンス劣化はなく、サーバへの影響は極めて小さく開発されています。

日々、強化されるセキュリティ対策において、抜けや漏れがある対策を実現しても、近い将来、再度対策を行なわなければならなくなり、二重投資になります。これを避けるためにも、抜けや漏れがない対策、機構を選択することが重要です。

違反発生時の監査ワークフロー「WEEDS Audit-Workflow(ADW)」

企業にとって重要なシステムに対して作業をする際のルールやポリシーを徹底させるには、何よりも違反が発生した際、違反した担当者や責任者に違反した事実を知らせることです。この“違反した事実”を還元することで、けん制効果が高まります。それを自動化し、なぜ違反してしまったのか、コメントさせることで記録に残すことが、とても効果的な対策です。

それを自動化するのがWEEDSのADWです。

ADWではシステム毎に担当者内でワークフローを回す仕組みで、最終的にシステム責任者が承認することで、自動的に統制が高まっていきます。この監査ワークフローをシステム毎に実施していることを、企業の情報セキュリティ責任者がチェックすることで運用がスムーズに回ります。

これが本来の内部統制の仕組みと効果であると言えます。

特権ID管理もセキュリティ対策の一環

特権ID管理は、サーバルーム内のセキュリティ対策であり、聖域化されたシステム作業をオープンにしてけん制効果を高めることです。セキュリティ対策で一番効果がある対策は、人間の操作を記録に残すことだと考えられます。 それは、犯罪が起きやすい環境とは“人目のつかない場所”や“誰の仕業か特定できない”環境であると犯罪心理学では言われているからです。現に、一般社会では監視カメラが多く設置されていることや、DNA鑑定の技術が進歩していることから、“足跡”(=記録)を残すことが重要であることを物語っています。

“治安が良い”環境は“犯罪の検挙率が高い”ことから生れます。“検挙率”を上げるには、犯人を必ず見つける“足跡”を残させることです。これを情報システムに置き換えれば、“不正を未然に防ぐ環境”は、“操作記録”を残すことに他ならないとWEEDSは考えます。

特権ID管理もセキュリティ対策の一環であり、これ実現できるとサーバのセキュリティ全般が統制できたことにもなります。この特権ID管理は、操作記録を抜けや漏れなく取得できる対策を実現し、それらを効果的に、効率的に活用できる周辺機能を整えることが近道となります。