特権IDとは?それは絶対に守るべき重要アカウント
特権IDとは、サーバーやネットワーク機器、OSなどのITシステムを操作・管理できるアカウントの中で、最も権限が高いアカウントのことを指します。特権IDにはさまざまな種類があり、例えばWindows OSの特権IDはadministrator、Linux OS の特権IDはrootと呼びます。
その権限の高さから、特権IDは頻繁にサイバー攻撃者の攻撃対象になります。そして、特権IDは悪用された場合のリスクが大きいことから、セキュリティ管理者が守らなければいけない重要アカウントです。また、特権IDへの攻撃や悪用を防ぐための運用を、一般的に特権ID管理と呼びます。
特権IDの不適切な管理によるリスク
特権IDが適切に管理されていない場合、悪意のある攻撃者による不正利用のリスクが非常に高くなります。不正利用と聞くと、一般的には悪意を持った部外者による不正利用を想定される方が多いと思います。しかし、実は社内にいる社員に悪意を持った攻撃者がいる可能性もあります。
そのため、内部・外部問わず、悪意を持った攻撃者を意識した管理が必要です。
万が一特権IDが悪用された場合は、個人情報などの機密性が高い情報が外部へ漏れたり、システム設定の故意な変更によるシステムダウンなどのリスクがあります。このような事象が発生した場合、金銭的な損失の他に組織の信用問題にも影響します。
しっかりと特権IDを管理し、出来る限りセキュリティインシデントが起こらないように運用していくことが必要です。
不適切な管理例
例えば、特権ID管理の不適切な例は以下のような管理状態を指します。あくまでも一例ですが、現在の管理状況と比較しながら確認してみてください。
- 不必要に高い権限を付与してしまっている
- 特権IDの利用者が不特定多数いる
- 複数のシステムで同じパスワードが使いまわされている
- 特権IDでシステムにアクセスできる端末が不特定多数存在する
- 特権IDのパスワードを長期間変更していない
3選!管理者が最低限行うべき対策
特権IDは適切な運用管理していく必要があることは理解いただけたかと思います。しかし、会社によって対策にかけられる人的リソースや予算はさまざまです。ここでは、これから特権ID管理を始められる方に「これだけは行った方が良い」という対策を3つ紹介します。
①特権IDの一元管理とパスワードポリシーの適用
- アカウントの棚卸
- 承認に基づいた権限付与
- パスワードの定期変更
上記の対策で特権IDの一元管理とパスワードポリシーの適用を行うことで、利用者ごとの業務に適切な権限を持った特権アカウントを付与と、利用できるシステムへの制御が可能になります。また、管理者の想定外の利用を防ぐことができます。また、パスワードを定期的に変更することで、特権アカウント自体をよりセキュアにできます。
②申請/承認フローによる特権ID利用の徹底
- 利用者の申請に応じたアカウントの付与と利用承認
- 利用申請と承認の履歴を記録
上記の対策で特権IDの利用をフロー化することで、特権IDの使い回しを抑制できます。
また、申請/承認の履歴を記録することで、「誰が申請」を行い「誰が承認」したかというデータをいつでも確認できるため、疑わしい利用がないかを過去にさかのぼって分析することもできます。
また、特権IDを利用する際は決められたフローで申請を行うルールを徹底することで、特権IDの利用ルートを制限できます。これにより、特権IDの利用をよりセキュアにできます。
③利用履歴の取得
- 操作画面の録画
- 操作ログの保管
操作画面の録画や操作ログの保管は、セキュリティインシデントが発生した場合の調査に利用できます。犯人の特定やインシデントの影響範囲を調査するために不可欠な対策です。
さらに、PCI-DSSやJ-SOXなどの監査でも、上記のような利用履歴の取得が求められます。
外部監査への準拠を視野に入れている企業には、必須の対策になります。
低予算で始めれる特権ID管理ツール
ここまでで紹介した対策をすべて手動で行ったり、対策を行うためのシステムを自社開発したりして行うことも可能です。しかし、工数の観点からベストな選択肢ではありません。そこで活用したいのが、特権ID管理ツールです。
特権ID管理ツールは、当ページで紹介した運用や対策を実現し、セキュアな特権ID管理を支援するシステムです。ManageEngineでも、低価格な特権ID管理ツールを提供しています。特権IDのセキュアな運用に必要最低限の機能を提供しており、金融企業や製造業、公官庁や地方自治体などで広く採用されています。
