セキュリティ事故が発生してしまった際の対応を指す「インシデントレスポンス」をテーマとしたセミナー「インシデント経験企業に学ぶ!事故対応の勘所セミナー」が、3月16日、新宿ミライナタワーのマイナビルームにて開催された。同イベントには、NTTテクノクロスの小川暁央氏が登壇。「外部攻撃・内部不正で狙われる特権ID!企業が実施しておきたい情報漏洩対策の現実解とは」と題してセッションを行った。

  • NTTテクノクロス エンタープライズ事業部 アシスタントマネージャー 小川暁央氏

外部脅威・内部不正のいずれの対策でも要となる「特権ID管理」

特権IDを狙った標的型サイバー攻撃や、内部関係者・外部委託ベンダーの不正による情報漏えい事故が多発している。しかし、いくらコストや労力をかけても、完璧に情報漏えいを防御することは困難であり、適切な管理レベルでの対策と運用が必要となる。従来主流だった予防的対策から、最近は発見的対策へとシフトしているのもそうした理由による。同セッションでは、セキュリティ対策のポイントとなる「特権ID」の最適な守り方と、効率的なログ点検のアプローチについて分かりやすく解説がされた。

特権IDとは、システムのメンテナンスなどで使用する高権限のIDを指し、WindowsのAdministratorなどがよく知られている。この特権IDを有する人間が悪意を持った場合や、悪意を持った人間に特権IDが奪われた場合に、システム上の各種防御策が無効となる可能性が高いため、厳格な管理が求められるのである。そして特権ID管理とは、「特権IDがどれで」「誰が」「どう使うのか」を管理することであり、フルコントロールの権限を持った共有の特権IDを、必要な時に一時的に使わせるようにすることだ。

「情報漏えいをはじめとしたインシデントの発生を予め想定し、事後対応を見据えた事前準備が重要です。そして、事後対応をしっかりやるためには、どれだけ早いタイミングで気づけるか、気づいた後にどれだけすばやく事実確認ができるかがポイントとなります。そのカギを握るのが特権ID管理なのです」と小川氏は強調した。

2018年の組織における情報セキュリティの10大脅威では、1位に標的型攻撃による情報流出、5位に内部不正による情報漏えいとそれに伴う業務停止がランクインしている。それぞれ外部脅威と内部脅威に分類されるが、いずれも特権IDが大きく関係する脅威だ。

まず外部脅威の傾向としては、穴のあることが多い境界防御から、弱点をつくらないようバランスを配慮した多層防御へと考え方が移りつつある。そうしたなか、標的型攻撃対策における特権IDの管理は、境界を突破された後に狙われる管理者情報を守る対策となる。

狙われやすい具体的なターゲットとしては、WindowsのActive Directoryのドメイン管理アカウントが挙げられる。攻撃者からすれば、ドメインコントローラーのドメイン管理者権限さえ取れてしまえば、配下のPCへのアクセスなどはたとえ何千台だろうと自由になるため、落とすのは一箇所でいいということになるのだ。

「つまり、標的型攻撃シナリオにおいて特権IDは、最後の砦といえます。特権IDを奪われないようにするのはもちろん大事ですが、昨今の侵入者はどんなに守りを固めていてもだいたい破ってしまうのが現実です。そこで、万が一特権IDを奪われて侵入されたとしても、それをすばやく見つけることが重要になってきます」(小川氏)

そして、多層防御では防御が難しいのが、内部不正・内部犯行に起因する内部脅威だ。しかも内部不正に関する事件は公表されない事が多く、報道された事件は氷山の一角といえる。そのためほかの組織のインシデントを参考とした対策がしにくい。また、犯人は高い権限を有した特権ユーザーであるため、外部脅威に比べると不正が見つけにくいという側面もある。

こうした特権ユーザーによる内部不正に対する予防で効果を発揮するのが、「機会」「動機」「正当化」の3つからなる「不正のトライアングル」のコントロールだ。ここでは、不正を行う「機会」のコントロールと、自身の行為を「正当化」する理由の排除が有効になる。

「システム管理者による内部不正のケースを見ていて圧倒的に多いと感じるのが『ばれないと思った』という犯行後のコメントです。システム管理者による不正は、どうやってログを取っているかなど裏の仕組みも知っているので、発覚しないと思っていることが多いようです。そこを踏まえたシステム管理者による不正行為への対策では、特権は許可にもとづく時のみ使わせること、アクセス履歴や操作履歴を記録しシステム管理者以外が定期的に点検することが重要になります」と小川氏は説明した。

特権ID管理の課題をオールインワンで解決

では、適切な特権ID管理とはどのようなものだろうか。これにはレベルが3つある。まずレベル1が、特権IDを誰が使えるのかしっかりと管理することで、レベル2は、承認に基づき特権IDを貸し出すこと、そしてレベル3は、アクセスログと操作ログを記録して定期的に点検することである。

「1から3の流れで実施するのが基本となるが、これが意外とできていない」と小川氏は注意を促す。

ログの記録と点検でよくある課題として、人手で行うとどうしても抜け漏れがおきてしまうということがある。こうした課題を解決するのが、NTTテクノクロスが提供する特権ID管理ソリューション「iDoperation」だ。4年連続シェアNo.1を誇る同ソリューションは、特権IDの管理作業のうちのほとんどを自動化可能であり、人手が必要となるのは、特権ID利用の申請と承認、そして不正発見後の対策のみとなる。これまで多くの企業で導入されており、管理の自動化により平均70%以上の工数削減に成功している。

「iDoperationは、特権IDの適正な貸し出しから問題発見までを自動化することで、安全・安心で効率的なIT運用環境を実現します」と小川氏は強調した。

セッションでは、iDoperationにより特権ユーザーの認証と特権IDの貸し出しを実施するデモが披露された。実演により示されたiDoperationのメリットは、個人のIDで認証することで、共有の特権IDであっても誰に貸し出したのか記録できる点である。また、特権IDを貸し出しても、ユーザーにパスワードは知られないため、サーバーに直接アクセスできないようにすることも可能だ。

また、iDoperationは、特権ユーザーによるアクセスのログを収集し自動点検する機能も備えている。利用点検レポートと操作ログが連携されるため、効率的な点検が実現できるのだ。さらに、特権ユーザーによる画面操作を動画で録画し証拠として保存する機能も有しており、アクセスログ管理機能と連携することで、点検レポートから未承認利用時の画面操作に絞って頭出し再生することも可能だ。

「iDoperationを使えば、膨大なアクセスログから不正なアクセスを自動発見することができるようになります。あわせて動画で操作ログもすべて記録するため、迅速な事実確認が可能であり、高い不正の抑止効果があるのです。セキュリティ対策のポイントとなる特権IDを守るために、効率的なログ点検を行うことは企業にとって重要です」──小川氏はこう力説してセッションを締めくくった。

[PR]提供:NTTテクノクロス