標的型攻撃やランサムウェアなどの被害が後を絶たないなか、いま注目を浴びているのが「多層防御」だ。そうしたなか、「改めてセキュリティのマネジメントを見直す時 複雑化する脅威、ボーダレス化する対策とは? ~『多層防御』によるセキュリティ対策セミナー~」と題するイベントが、7月12日、JR新宿ミライナタワーにて開催された。同イベントには、NTTテクノクロス エンタープライズ事業部 アシスタントマネージャーの小川 暁央氏が登壇。「セキュリティガバナンスを確立するために、最低限実施しておきたい4つの対策」と題して講演を行った。
内部脅威・外部脅威ともに狙われやすい「特権ID」
標的型サイバー攻撃の内部対策、特権ID管理関連の法令・ガイドラインへの対応として、特権ID管理を見直したいという企業が増えているという。しかし、いざ見直しに取り組むとなると、どのような管理レベルで管理すべきかわからない、または、そもそも計画段階で頓挫するといったケースも多い。そうした背景を受けて小川氏のセッションでは、内部・外部脅威による情報漏えい対策として、「特権ID管理」の観点から最低限考えておきたい「4つの対策」を中心に解説が行われた。
IPAが発表した、組織における2017年の情報セキュリティ10大脅威によると、1位が標的型攻撃による情報流出であり、5位に内部不正による情報漏えいとそれに伴う業務停止がランクインしている。前者は外部脅威であり、後者は内部脅威だが、いずれも特権IDが関連する脅威だ。またVerizonによる調査からは、内部不正のうち、特権の不正使用による不正行為の割合が55%にも及ぶことが明らかになっている。一方の外部脅威についても、情報通信研究機構(NICT)によると、2015年の官公庁・企業に対するサイバー攻撃関連通信総数は、実に約545億件を数えるという。
こうした状況を受けて小川氏は、「内部にせよ外部にせよ脅威は確実に増大している」と強調した。
外部脅威から特権IDを守るための「予防」と「検出」のアプローチ
ここで小川氏はまず、外部脅威を知り、対策(予防・検出)するためのアプローチに言及した。外部脅威の傾向としては、大きく標的型サイバー攻撃と、外部委託先による特権アクセスに分けられる。国内において特権IDが狙われた標的型サイバー攻撃の代表例が、日本年金機構の個人情報流出事件だ。一方の外部委託先による特権アクセスに起因した情報漏えい事件を代表するのが、ベネッセにおける情報漏えい事件だ。
小川氏は言う。「標的型サイバー攻撃と特権ID管理というのは、互いにあまり関係がないと思われがちだが、実は大いにあります。攻撃者による管理者情報窃取に対する最後の砦となる対策こそが、特権ID管理だからです」
IPAでは、標的型サイバー攻撃が行われる際のシナリオを7段階に分けているが、このうち特権IDが関わるのは5番目の「内部侵入・調査」のステージである。
現在、標的型サイバー攻撃は多層防御で対策するのが基本となっているが、その際には弱点を作らないようにバランスよく行うことが重要となる。ここでもポイントとなるのが特権ID管理だ。2014年12月にはJPCERTより、Active Directoryのドメイン管理者アカウントが具体的なターゲットとして狙われており、対策として「特権IDの管理」「ログの定期的な確認」などが推奨される、という企業に対する注意喚起がなされた。しかしその翌年の2015年5月、日本年金機構の個人情報流出事件が発生してしまうことになる。
内閣サイバーセキュリティセンター(NISC)によるこの事件の原因究明結果を見ると、まず不正プログラムがドメイン管理者権限を奪取し、その後にローカル管理者権限を奪取したと考えられている。
「このように特権管理者権限を奪ってしまうと、配下にある権限はすべて掌握できてしまうので、攻撃する側にとっても効率的な手段なのでしょう」と小川氏はコメントした。
では、標的型サイバー攻撃から特権IDを守るには、どのような対策が必要なのだろうか。小川氏は、大きく2つのアプローチを示した。1つは、外部の攻撃者から特権を奪われない、もしくは奪われにくくするための「予防」であり、もう1つはもし特権を奪われて侵入を許してしまったとしても、その事実を早く見つけることができるような「検出」である。
予防では、入口を突破されても特権を奪われない対策を施すことになる。例えば、複数で使用する管理者パスワードの場合、わりと簡単な文字列が使われているケースが珍しくない。そこで、パスワードを強固にし、定期的に変更するとともに、全体での使い回しを避けるだけでも、かなり特権IDが奪われにくくなる。またサーバの運用管理業務を、通常のインターネット閲覧やメール受信に使用するユーザー端末で行っている管理者も意外と多い。
「そこで、高い権限が必要なサーバ運用のための端末と、普段の業務で使用する端末を分けることも予防として有効になります」(小川氏)
続いて、入口を突破されても早期に侵入を見つける、検出のための対策としては、アクセスログの記録と点検が高い効果を発揮する。しかしながら、経済産業省の調査によると、定期的なアクセスログの分析を実施している企業の割合は、全体の3割に満たないのだ。
小川氏は、「ログの分析は、経験・スキルが必要かつ、手間・工数がかかるため、企業の間になかなか浸透していないのではないか」との見解を示した。
より対策が困難な内部脅威、特権ID所有者の心理に目を向けよ
続いて小川氏は、「内部脅威は外部脅威よりも対策が難しい」としたうえで、内部脅威を知り、対策(予防・検出)するためのアプローチを紹介した。
「内部不正に関する事件は公表されないことが多く、報道された事件は氷山の一角といえる。そのため他組織のインシデントを参考に対策がしにくい。また、犯人は高い権限を有している可能性があるため、外部脅威に比べると不正が見つけにくいという側面もある」と小川氏は語った。
では、そんな内部脅威から特権IDを守るための対策は、どのように行えばいいのだろうか。ここでもポイントは「予防」と「検出」だ。まず予防では、システム管理者に操作ログが記録されていることを通知することで、不正を抑止する。検出については、アクセス履歴や、操作履歴を記録し、システム管理者以外のものが定期的に点検するのである。
不正行為に対する予防で有効なのが、「機会」「動機」「正当化」の3つから成る「不正のトライアングル」のコントロールだ。
「特権ユーザーによる内部不正を防止するためには、不正を行う『機会』のコントロールと、自身の行為を『正当化』する理由の排除が有効だ。トライアングルの1つでも欠けさせるような工夫を考えてほしい」と小川氏は訴えた。
次に検出では、外部脅威と同様にアクセスログの記録と点検が有効になる。IPAの調査によると、内部不正への気持ちが低下する対策の1位は「社内システムで操作の証拠が残る」ことであり、回答の割合は54.2%にもなる。続く2位は、「顧客情報などの重要な情報にアクセスした人が監視される」で、こちらも37.5%と高い数値を示している。
小川氏は言う。「日ごろから操作内容などを記録し、監視しているのだと周知することが、抑止効果につながるのだ」
特権ID管理に必要なすべての対策を可能にするソリューション
講演の後半で小川氏は、NTTテクノクロスが提供する特権ID管理ソリューション「iDoperation」を活用した、外部脅威・内部脅威双方の対策の具体的な方法を紹介した。前述したように、特権ID管理における外部脅威対策では、特権IDのパスワードをしっかりと管理するのが「予防」であり、また内部脅威対策では、承認に基づき特権IDを貸し出すことが「予防」、操作ログを記録して定期的に点検することは「予防」と「点検」双方につながる。そしていずれの対策でも「検出」に当たるのが、アクセスログを記録して定期的に点検することだ。
「iDoperationを使うことで、これらすべての対策が実現できる」と小川氏は力説した。
上記の対策を運用に当てはめると、「承認に基づき特権IDを貸し出す」→「アクセスログと操作ログを記録して、定期的に点検する」→「特権IDのパスワードをしっかりと管理する」というフローになる。
iDoperationは、特権IDを利用した作業のための申請・承認ワークフロー機能を備えており、承認プロセスを職務分掌に沿って実施し、承認からID管理(貸出・回収)、アクセス制御(パスワードの貸出実施)を申請ステータスに基づいてシームレスに連動させることで、運用の効率化を実現する。
「誰がいつ特権IDを使ったのか、日ごろからしっかり記録しておき、いつでもログの点検ができるようにすることが重要です」(小川氏)
また、「iDoperation AC」を使ったサーバへのリモートログオンは、共有IDを使ったアクセスであっても、特権IDの利用者特定が可能となっている。そしてすべてのアクセスログは自動収集・保管され、一元管理することができる。収集したアクセスログは、ブラウザで閲覧・検索が可能だ。さらに「iDoperation」では、作業申請とアクセスログを突き合わせて点検し、申請に基づいた利用の確認と、未承認で使用された特権アクセスの発見ができ、その内容は週に1回など任意のタイミングで利用監査レポートとして提供される。
そして「iDoperation」は、特権ユーザーによる操作内容をビデオ映像として記録し保存する機能も備えている。しかもアクセスログ点検と連動した操作ログ点検により、利用監査レポートから未承認利用の操作記録だけを絞り込むなど、効率的な点検も行えるようになる。
証跡にビデオを用いる理由について小川氏はこう説明する。「操作ログの取得漏れをなくすにはビデオが有効だからです。ほかにも操作内容を記録する機能にはさまざまなものがあるが、肝心のユーザーがどのような流れで何をやったのかまではわからない。例えば不正なアクセスが判明した場合、どのような操作が行われたのかを、あとからビデオで確認できるようにしておけば、情報漏えいの有無や、システム変更の有無なども一目瞭然です。このように、不正がどのように行われたのかをしっかりと検知できる仕組み作りが肝要になるのです」
ほかにも、iDoperationが備える「特権ID管理者が実施する管理作業を自動化する機能」などにも触れた小川氏は、「特権ID管理に関わるさまざまな課題に対し、いま企業に求められている対策のすべてをiDoperationは実現できる。もし特権ID管理が充分でないと感じているなら、ぜひ導入を検討していただきたい」と会場に語りかけて講演を締めくくった。
[PR]提供:NTTテクノクロス