情報漏洩は身内から 特権IDをちゃんと管理するべき

情報漏洩は身内から発生する確率が高いと言われている。ファイアーウォールなどを回避して外部からアクセスしても本当に重要なデーターがどこにあるかを知ることは難しいからだ。ファイアーウォールの内側に侵入したところでどこのサーバーのどこのディレクトリーに重要な情報があるかを知る必要があるし、盗んだデーターの価値は外部の人間にはわからない可能性が高い。

内部であれば重要なデーターがどこにあるか、またそのデーターの重要性が理解できる。

ではなぜ内部から情報が流出するのだろうか?

内部から情報が流出するのは当然

パスワードの管理をしっかりする必要があることは以前「あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。」で書いたとおりであるが、そもそもなぜパスワードが流出するのだろうか?

Webアプリケーションではユーザー情報をデーターベースに格納しているが、プログラムを作成するときにどうしてもそのサーバーにアクセスするためのIDとパスワードが何らかの形で保管されているはずである。

db-web-server

そのWebアプリケーションが少人数で運営されているのであれば、何か問題があっても原因はすぐにわかるので、インシデントが発生する可能性はそれなりに計算ができる。ただそのアプリケーションが大人数で開発されていると、多くの人がデーターベースにアクセスするためのID/パスワードを知る可能性が高くなるだろう。

問題は特権IDを複数の人間で回しているから

特権IDとは上の例のように管理や運用をするためのIDである。WindowsではAdministrator、Unixではrootが管理者IDとしてよく知られているが、それだけでなく上の例のようにデーターベースにアクセスするためのIDなどシステムで使うIDも含まれている。

小規模な組織では複数の人間が特権IDを利用することはないが、ある規模以上の会社などでは特権IDは複数の人間が管理していることだろう。

複数の人間が管理していると中には悪いことと知りながらそのデーターを悪用したり、故意ではない事故が発生する確率は高くなるだろう。

複数の人間でそのような管理をする場合リスクが高くなることは意識するべきだろう。

ではどうしていたのか?

一昔前の海外の金融機関では特権IDを管理するために金庫を利用していた。

safe-admin-shounin

特権IDを利用する作業者は作業内容について承認者に申請をする。重要度が高いほど承認者の数は増える。

承認がなされればパスワードが入った封筒を作業者は受け取り、封をきって特権IDを使用し、作業が終わったらそのことをしかるべき人に報告する。

利用したパスワードはそのままだと管理者に悪用される可能性があるので特権IDをパスワードを変更し、変更したパスワードはまた封筒にいれて金庫に保管される。

実際にこのくらい厳しく管理していたようだが、すべての業務に対して行っていたわけではなく厳密に管理が必要とされる重要なものに対して行っていた。

インターネット時代はさまざまなシステムで特権ID管理が必要になる。

インターネットが普及していない時代はシステムのアクセスすること自体が非常に難しかった。

しかし今はインターネットが普及し、重要なシステムもインターネットに接続されているので昔以上に特権IDを厳密に管理する必要がある。

ある程度の規模があるシステムであれば特権IDをちゃんと管理することが必要となるだろう。

これらの問題を扱うのに特権ID管理ソリューションがある。

また、エンタープライズシングルサインオン AccessMatrix™ USO を利用することで作業者にはパスワードを見せることなく運用が可能になる。この点についてはまた別に説明をしたい。

また特権ID管理についてはBeyondTrust製品の導入を検討ください。

この仕組みを入れるメリット

弊社ではいろいろなセキュリティ製品を扱っているが、どのような製品を使っても100%セキュリティを担保することはできない。

なぜなら、システム管理者の責任者が悪いことをしようと思えばできないことはないからだ。というのもシステムにおいてAdministratorは絶対的な存在であるため悪いことをした後、その証跡を消すことができるからだ。

このソリューションを導入すると、作業者は作業前に必ず他の人間に承認するために相談するので思いつきでなにか悪いことは出来ないようになっている。

日本でも金融機関のように高いセキュリティレベルが必要とされるところはここで紹介したようなソリューションはすでに導入されている。

インターネット時代では情報が盗まれ拡散されたら取り返しがつかないような個人情報を扱っている企業にはこれから必ず導入を検討しなければいけない時代に来ている。

そのため今まで以上に特権ID管理という言葉を聞くようになるだろう。

追記

この文章はアイディネットワークス株式会社が特権アカウント製品を取り扱う前に書いた文章です。

10年前に書いた文章ですが、いまだに定着しているとは言えないですが、ランサムウェア対策にはとても有用なソリューションといえるので、だんだんと普及すると思います。

BeyondTrust関連ページ

特権アカウントとは、

リスクの高い特権アカウントの管理特権アカウント 申請と承認
特権アカウントのパスワード管理に必要なこと危険なパスワードを見せない ~ 特権アカウントシングルサインオン
テレワーク時代のITサポート

BeyondTrust 導入検討    BeyondTrust 製品評価方法について

製品

Password SafePrivileged Remote Access
Remote SupportPrivilege Management for Windows and Mac
Privilege Management for Unix & LinuxActive Directory(AD) Bridge

特権アクセス管理ソリューション

クラウド対応したセキュアな特権アクセス管理ITコンプライアンス
サイバー保険に対応する特権アクセス管理デジタルトランスフォーメーション
エンドポイントセキュリティクラウドインフラストラクチャへのアクセス
ゼロトラストを実現する特権アクセス管理効率的なサービスデスク
Workforce Password運用テクノロジー OT セキュリティ ソリューション
ランサムウェア保護: ID、アクセス、エンドポイントの保護ランサムウェア 関連資料
ランサムウェアに関するよくある質問 (FAQ)

業界別のソリューション

金融サービス連邦政府、州政府、地方自治体ヘルスケア IT
法執行機関製造業教育テクノロジー

特権アカウント管理(BeyondTrust製品)用語説明

無料のセキュリティツール  - Privileged Access Discovery Application

BeyondTrustの製品比較ガイド

特権アクセス管理(PAM)ソリューション比較リモート サポート ソフトウェア比較CyberArk vs BeyondTrust
Delinea vs BeyondTrustTeamViewer vs. BeyondTrustLogMeIn Rescue vs BeyondTrust
GoTo Resolve vs. BeyondTrustSplashtop vs. BeyondTrust

旧ページ

BeyondTrust Password Safe (旧)BeyondTrust Remote Support (旧ページ)
BeyondTrust Privileged Remote Access (PRA) (旧)Privilege Management for Windows and Mac (旧)
BeyondTrust Privileged Identity

BeyondTrustLeostreamPromoni-Sprint AxMXブログ(旧)

コメント