特権IDを強固に保護-CyberArk:Privilege Access Managerとは
昨今特権IDを悪用した内部不正や、不正アクセスのインシデント事例をよく耳にします。IPAのガイドライン*1でも特権ID管理の要件が含まれており、特権ID管理の重要性は広く知られているかと思います。
一方で実際には特権IDの管理をどこまで出来ていますでしょうか?社内ルールで利用を制限する、管理ソリューションを導入して管理を行う、といった方法が考えられますが、厳格に運用出来ているケースはまだまだ少ないのではないかと思います。
本記事では弊社取り扱いの特権ID管理ソリューション「CyberArk:Privilege Access Manager」という製品のご紹介を行いながら、特権ID管理はどうあるべきかをご案内します。
1.なぜ特権ID管理が必要?
製品をご紹介する前に、そもそもなぜ特権ID管理が必要なのかをおさらいします。
特権IDとはWindowsのAdministrator、UNIX/Linuxのrootに代表される、システムに対するすべての操作権限を持った管理者用アカウントです。管理者として何でもできる権限を持つため、盗難や悪用された場合の影響が最も大きい資格情報です。攻撃者側からすると特権を得なければ攻撃目標にアクセスできないため、最終的には必ず狙われる情報です。加えて一度特権をとられてしまうと、不正の検知は極めて困難になるということもリスクとなります。
また、外部攻撃だけでなく内部不正でも特権IDが悪用されます。重要情報へのアクセスには特権IDが必要になるため、適切に管理できていないと社内の誰でも重要情報にアクセスできてしまいます。その結果、重要情報に対して、どのような作業や操作をしているかも把握できないといった事態が起こりえます。
某電子部品メーカーでは再委託先の社員が従業員の個人情報にアクセスできる権限を持っており、これらの情報を外部クラウドサービスにアップロードしたというインシデントが発生しました。このように不必要な権限をユーザに割り当ててしまい、操作内容を管理できないことで、内部不正による情報漏洩のリスクが高くなってしまうことが分かります。
2.なぜ特権ID管理ができていないのか
特権ID管理の必要性については既に広く知られていますが、実際に適切な管理が行えている組織はあまり多くないのではないでしょうか。
ISO27002やPCIDSSでも述べられているように特権ID管理で必要な事項は大きく3つあります。
・特権IDは許可されたユーザだけが利用できるように制限、管理する
・特権IDの不正な利用を防ぐためにパスワード変更を実施する
・特権IDの利用状況を監査する
これらの事項を実施することが求められますが、人力で行おうとすると様々な課題があります。
まず特権IDの利用者を制限する場合、利用時の申請/承認のフローが必要となり、このようなフローを整備するコストが発生します。
また、承認されたユーザのみが利用できるようにパスワードを定期的に変更する必要があります。各システムに登録されているアカウントだけでなく、スクリプト等にハードコーディングで埋め込まれた特権ID/パスワードも変更が必要となり、管理の手間が非常に大きくかかります。加えて申請/承認毎にユーザへのパスワード払出作業の運用負荷もあります。
許可した利用者だけが特権IDを利用できるようになった場合でも、そのユーザが特権IDを利用してどのような作業をしているかを可視化、監査する必要があります。そのためには、作業内容(実行コマンド等)を記録し、監査できる仕組みを別途構築するコストが発生してきます。
抜け漏れなく特権IDの管理を行うためには、定期的に全システムの特権IDの棚卸を行う必要があります。昨今、特権の存在はオンプレのシステムだけでなく、AWSやAzure、各種SaaS等のクラウドサービスまで広がっており、管理や運用がさらに困難になっています。
このような課題が存在するため、特権ID管理の必要性を認識しながらも多くの組織で適切な管理ができていないという現状があります。
「CyberArk:Privilege Access Manager」はこのような課題を解決し、特権IDを適切に管理し強固に保護できるソリューションとなります。
3.特権ID管理ソリューション「CyberArk:Privilege Access Manager」とは
「CyberArk:Privilege Access Manager」(以下CyberArk:PAM)は特権IDに関して、発見⇒管理⇒リスク監視をトータルで提供できるソリューションです。
特権アカウントとパスワードを一元的に管理する仕組みに加え、利用確認(いつ誰がどのように利用しているか)や、異常アクセス時のリアルタイム警告により、外部攻撃から特権アカウントを守ります。
①幅広い対象機器を一元管理
各種機器(OS、NW機器、DB、AWS等のクラウドサービス)の特権IDすべてを一元管理します。対象となるサーバや機器にはエージェントを導入する必要がなく、現行システムへの影響を与えることなく利用することが可能となっています。
また、特権IDはVaultサーバと呼ばれる金庫サーバで強固に保管され、定期的なパスワードローテーションを行い、外部攻撃からも特権IDを守ります。パスワード更新の対象はサーバ、DB等だけではなく、スクリプト等に埋め込まれたパスワードも含まれています。
その他にも利用時の申請/承認ワークフローの機能を備えており、特権IDの利用を特定のユーザだけに限定することができます。利用者はCyberArk経由で対象システムにアクセスするため、ユーザ自身がパスワードを知る必要がなく管理者のパスワード払出作業もなくなります。
これらの機能により特権IDを保護し、適切なユーザのみが特権IDを利用できるようになります。
②不正な特権利用の監視とリアルタイム検知
全ての特権IDの利用を可視化/監視します。CyberArk:PAMではログイン、ログアウトだけでなく、どのような操作が行われたかを記録/監視します(実行コマンド、表示ウィンドウ、動画での録画)。この操作記録をレポートで取り出し、キーボードや動画内容の検索を行い、不正な操作を特定することが可能です。
またCyberArk管理情報やログ情報と突き合わせ、不審な利用を検知し管理者に通知したり、設定によっては管理者がログインセッションの切断/一時停止等の対応を即時行うことも可能となっています。
<CyberArk:PAM利用イメージ>
4.特権ID管理のあるべき姿
特権IDのあるべき姿とは、項番2で述べたとおり以下の3つが実現できている状態を指します。
・特権IDは許可されたユーザだけが利用できるように制限、管理する
・特権IDの不正な利用を防ぐために パスワード変更を実施する
・特権IDの利用状況を監査する
この"あるべき姿"をシステム的に実現する為には「CyberArk:PAM」が最適なソリューションとなります。
本製品は「どのシステムに対して」「どの特権IDを」「誰に使わせるか」を定義するとともに、申請/承認フローを経ることで許可されたユーザだけが特権IDを利用できるように制限し、管理します。
また、パスワードを定期的に自動で変更し外部/内部ともに特権IDの不正な利用を防ぎます。
利用申請の承認結果や利用状況はログに記録されるため監査対応にも役立ち、不正な特権ID利用を検知し、管理者へアラート通知を実施することも可能となります。
このように本製品は特権ID管理の"あるべき姿"を実現するために特権IDの利用を適切に制限するとともに、ワークフローやアラート通知機能により運用性も考慮したアイデンティティセキュリティソリューションとなります。
内部不正対策、外部攻撃対策の両面で特権IDの管理は必要不可欠です。本製品は幅広い範囲の特権IDに対して特権アクセスを管理、制限することが可能となります。
自社の特権ID管理にお悩みの方はぜひお問合せください。
