特権アカウントのガバナンスとは?
企業のセキュリティガバナンスの維持に重要な役割を果たすのが、システム運用と管理における適切なアカウント管理です。特に、特権アカウントの管理は、慎重かつ厳重に行う必要があります。本記事では、特権アカウントの目的やセキュリティ面でのリスクの解説に加え、最適に管理するためのヒントを紹介します。
特権アカウントとは
企業のシステムでは、アプリやメールの送受信などで、様々なアカウントが利用されています。一方、それらのアカウントに付与される権限は一律ではありません。まず、標準アカウント・ユーザーアカウントなどと呼ばれ、アプリやサービスの利用者に与えられるアカウント。そして、特別な権限を有し、主にシステムのメンテナンスに用いる特権アカウントがあります。
特権アカウントは、管理者アカウント・特権IDなどと呼ばれますが、OSやデータベースによっても次のように呼び方が異なります。
- Windowsの場合:Administrator(または管理者)
- Linux / Unixの場合:root
- Oracleの場合:sys
- SQL Serverの場合:sa
特権アカウントでできること
特権アカウントは、システムに非常に大きな影響を与えるアカウントです。例えば、システムの停止や起動・パラメータの設定変更・ユーザーの更新(新規作成・変更)・アプリケーションのインストールなどが行えます。このため、特権アカウントの使用が許可されるのは、通常、システム管理者のみです。
一方、標準アカウントには、このようなシステムに大きな影響を及ぼす処理を行う権限は付与されません。システム上のあらゆる処理・作業が可能な高い権限が与えられているのが特権アカウントです。
特権アカウントのセキュリティリスク
特権アカウントの管理を誤ると、情報漏洩などの大きな事故を引き起こす可能性があります。
情報漏洩リスク
特権アカウントを利用すれば企業内のあらゆるリソースにアクセスできるため、顧客情報や機密情報を容易に取得できます。また、特権アカウントで機密情報を盗み取ったあとにシステムのログを改ざんして、情報を持ち出した痕跡を消すことも可能です。
NPO日本ネットワークセキュリティ協会による、「2018年情報セキュリティインシデントに関する調査結果」では、発生した情報漏洩事件の原因を分析しています。
紛失や置き忘れが第1位、誤操作(ケアレスミス)が第2位と、情報漏洩した理由の上位を人為的ミスが占める一方、特権アカウントの悪用が疑われる、不正アクセスによる情報漏洩が20.3%と第3位です。また、同調査では、情報漏洩事件を発生させてしまった場合、一件当たりの平均想定損害賠償額は6億3,767万円にも上ることも明らかになっています。
・「参考サイト」
情報漏洩事件を引き起こした企業は、巨額の損害賠償を終えてもなお、ガバナンスレベルが低い企業として認知されるため、企業ブランドが著しく低下してしまう恐れもあります。
システム誤作動のリスク
特権アカウントには、システムの停止やパラメータの設定変更、システム内のあらゆるファイルの消去などが可能な強力な権限があります。このため、万が一、システム管理者が特権アカウントの操作を誤ると、企業全体でのシステム誤動作・不具合が発生しかねません。
また、意図せず重要な情報を消去してしまったり、システムを破損させてしまったりと、修復不可能な状態に陥る可能性もあります。
利用者特定ができない
特権アカウントの管理ミスや悪用が発覚した場合、非常にやっかいな点は、問題を起こした人物の特定が難しいことです。標準アカウントの場合は、1つのIDに対し、1人のユーザー名が付与されるため、そのアカウントの利用者は容易に特定できます。一方、特権アカウントでは、1つのIDをシステム管理担当者間で共有するため、アカウントを利用した個人の特定が困難です。
特権アカウント管理のポイント
特権アカウントを管理するときのポイントを3つ紹介します。
特権アカウントの利用申請・承認フローの導入
特権アカウントにおいて利用した個人の特定が困難であるという課題を克服するために考えられたのが、特権アカウントの利用者を承認制にするという方法です。特権アカウントを利用する必要がある者は、利用目的を示した上で申請します。承認者から許可を得てから、特権アカウントを利用します。
この申請・承認のプロセスを導入することで、パスワードの悪用に対する抑止力になるとされています。ただ、申請・承認のフローを導入するためには、システム運用の流れ、責任者の任命、システム管理に関わるメンバーについて権限の範囲をあらかじめ明確にしておく必要があることは言うまでもありません。
ワンタイムパスワードの利用
特権アカウントの悪用を防止するために、ワンタイムパスワードの導入も一つの選択肢です。ワンタイムパスワードとは、ごく短い時間だけ使用できる使い捨てパスワードのことです。ワンタイムパスワードは、一定時間ごとに自動で更新されるため、定められた時間が経過したパスワードは利用できなくなります。
変更が煩雑であるなどの理由で特権アカウントのパスワードを長期間変更しなかった場合、専用の解析ツールなどを使って、パスワードを見破られてしまう可能性があります。万が一、特権アカウントが盗まれてしまったとしても、ワンタイムパスワードであれば、システムから企業リソースを流出させてしまうという最悪の事態は免れます。
利用時の作業を記録
申請・承認制を経て特権アカウントを利用許可した場合でも、アカウントを利用して作業したときの記録を残すことが重要です。具体的には、いつ・誰が・どのような作業・処理をしたのかをログに記録します。操作を録画するという記録方法もあります。
記録を残すことで、万が一、トラブルが発生したときの原因究明のためにログを活用できるだけでなく、記録を残しているという事実を社内に告知することで、特権アカウントの悪用に対する強い抑止力になります。
One Identity Managerで特権アカウントのガバナンス強化
特権アカウントのガバナンスを強化するために、申請・承認フローの導入やワンタイムパスワードの利用、作業の記録などが重要であることを紹介してきました。しかし、これらを企業で独自に行おうとすると非常に手間と時間がかかります。
そこで、特権アカウントと標準アカウントの両方を一元的に管理し、アカウント管理業務を大幅に効率化するツールが注目されています。
その一つが、ユーザーID・アクセス権限・セキュリティポリシーの管理を簡略化する、「One Identity Manager」です。
「One Identity Manager」は、すべての標準アカウントと特権アカウントのポリシーを統合して一元管理します。また、アカウントの統合管理だけではなくガバナンスのニーズを満たすために、次のような様々な機能を含んでいます。
- 企業リソースへのアクセスが必要な従業員・取引先・顧客などに対し、必要十分なアクセスを付与する「Access done right」
- 監査役に対し、リアルタイムかつ詳細なガバナンスレポートを提供する「Governance 360」
- セキュリティに関する情報とポリシーを統合して部門間の壁を取り払い、セキュリティに関する企業としての意思決定を支援する「Risk reducer」
- 企業内のデータの制御と可視化を行う「Data Governance」
- 企業のアプリケーションへの二要素認証機能を提供する「Multi-factor now」
まとめ
アカウントが悪用された場合や、制御をミスした場合、企業のシステム全体に影響を及ぼすのが特権アカウントです。実際に特権アカウントの管理不備が疑われる情報漏洩事件も多数発生しています。「One Identity Manager」など、企業が効率的にアカウントを一元管理するツールの導入を検討する時期だといえるでしょう。
