特権ID入門

特権IDとは?

そもそも特権IDとは、何でしょうか?
サーバのメンテナンスなどで利用されるrootやAdministratorなどのID、データベースの管理、ユーザ・アカウント管理、アプリケーション・データ管理などを行うためのシステムID、ネットワーク機器の設定変更などを行うための権限を持ったIDのことを示します。
権限が強くかつ、関係者で共有して利用することの多いIDのため、取扱いには厳格な管理が求められます。

特権IDは、どんなとき使うのでしょうか?
システムの起動や停止、システム変更(プログラムのインストールや変更)、マスターデータの変更など、システム管理者がシステム運用を行う際に利用します。 外部のベンダーに一時的に貸し出すこともあります。

特権ID、放置するとどうなる?

何でもできてしまう強い権限の特権ID。
過去には特権IDを悪用し個人情報が漏えいしてしまう事件も起こるなど、管理を一歩間違えると非常に大きな問題に発展してしまいます。

また、情報漏えいだけではなく、せっかく担当者が正しく財務データを入力しても、特権IDを得た方が、悪意をもって最後にデータを改ざんすることも可能なため、監査において企業情報の正当性も証明できなくなってしまいます。
特権IDは強権限であるために、ずさんな管理をしていると企業は多くのリスクにさらされます。

リスク1 情報漏洩リスク
作業者による個人情報管理のデータベースへの不正アクセスや、個人情報の漏えいの恐れが。

リスク2 膨大な管理負荷
数十、数百のサーバを操作するための特権IDを、作業者や外部のベンダーに貸し出す作業や、作業終了後のパスワード変更など管理負荷は膨大です。 システムが増えるごとに負担が増す恐れが。

リスク3 不要IDの放置
異動/退職者などの特権IDが削除されないまま放置されることで、悪用され情報漏洩の恐れが。

リスク4 情報システム部門への過度な負担
情報システム部門が日々の特権ID貸出しや管理に追われ、業務のシステム化という本来の仕事に注力できない恐れが。

リスク5 監査不備の恐れ
手運用での管理には限界があるため、監査法人から重大な問題あり、と指摘される恐れが。

監査法人からの指摘で多いのは?

指摘内容1 特権IDを利用するための申請、承認手続きの不備
「不正利用、改ざん、情報漏えいの原因」
管理者が承認を受けなくても特権IDを使えてしまうケースが問題になります。

指摘内容2 特権IDの定期的なパスワード変更の不備
「過去に利用したことがある人が不正利用できる原因」
パスワードを定期的に変更していないケースが問題になります。

指摘内容3 特権IDのユーザ、アカウントの棚卸しの不備
「サーバ上に不正にIDを作られ、裏口として不正使用されるリスク」
ID管理台帳とサーバとの照合や突合せ確認ができていないケースが問題になります。

指摘内容4 特権IDの利用者特定の不備
「何かあったときに利用者の特定・追跡ができないリスク」
特権IDを、いつ、だれが、使ったか特定できないケースが問題になります。

指摘内容5 特権IDを利用した本番サーバのアクセス制限の不備
「不正利用、改ざん、情報漏えいのリスクの原因」
許可されていないサーバにアクセスできてしまうケースが問題になります。

指摘内容6 特権IDのアクセスログのモニタリングの不備
「不正に対する発見が遅れ、問題が大きくなるリスク」
ログは取得していても内容までチェックしていないケースが問題になります。

今こそ、特権ID管理が必要です

特権IDの不正利用は、システム全体を危機にさらし、事件・事故の内容によっては企業の信頼性 に致命傷を与えかねません。
特権IDの管理を行う場合、さまざまな管理業務が必要になります。
では、特権ID管理の本来あるべき姿とはどのようなものでしょうか?

申請と承認
特権IDは申請と承認に基づき利用が許可されることで、許可のない不正アクセスを防ぐことができます。
誰が、いつ、何のために、特権IDを利用するのか。管理者は常に把握する必要があります。

ID管理
特権IDの不正利用を防ぐために、IDの厳格な管理が必要です。
ルールに従ったIDの追加、変更、削除だけではなく、不正アクセス防止のためのパスワードの定期的な変更、IDの棚卸などといった業務を行い、常にID情報が正しいものである必要があります。

アクセス制御
不正なアクセスを防止するためにもアクセス制御は重要です。
管理者は、あらかじめ個人またはグループ単位で設定したアクセス権限を特権IDの利用者に適用させ、決められたサーバと決められた期間以外のアクセスができないようにする必要があります。

監査ログ
内部統制の監査では、特権IDの利用者を特定して申請どおりに作業が行われていることを証明する必要があります。
そのため申請情報とアクセスログを照合できる仕組みを整えておかねばなりません。
これによって、何かが起こった時に原因を速やかに追求し、被害を最小限に抑えることができます。

膨大な数のサーバ、IDを手運用で管理するのは・・・

出来てますか?特権ID管理

ひとつでもNOにチェックがあった場合、特権IDを管理していく上で重大な弱点が潜んでいる可能性があります。
Q.1 特権IDの利用・管理にルールが策定されている
Q.2申請と承認に基づいて特権IDが管理されている
Q.3 特権IDのパスワードを定期的に変更している
Q.4 特権IDのアカウント監査(棚卸)を実施している
Q.5 特権IDを「いつ・誰が」利用したが特定できる
Q.6 特権ID利用時の操作制御を実施している
Q.7 ない舞踏性や監査に必要なログを取得している
Q.8 収集したログをモニタリングしている

特権ID管理ソリューション、導入すると「なに」が「どう」変わる?

申請書承認イメージ
ID管理イメージ
アクセス制御イメージ
監査ログイメージ

idoperation CSLGuard×ActCenter

ソリューション・製品一覧へ