{{search ? '閉じる':'検索'}}

特権IDの"使い回し"はNGって言われても…

対策強化の近道を解説

Related Videos


「セキュリティ事故」と聞くとどんな原因を思い浮かべるだろうか?

最近では標的型攻撃を挙げる人も多いかもしれない。確かにそれも大きなリスクだが、実はより気をつけるべきなのは“内部犯行”。標的型攻撃と内部犯行の被害件数を比較すると8対2で標的型攻撃が多いのに対し、被害額では逆転するというハナシもある。1度のインシデントの被害規模がケタ違いに大きくなるのが内部犯行なのだ。

そしてこの内部犯行で悪用されがちなのが「特権ID」である。同じIDを共有し、使い回している…といった状況はあまりに危険である。

ではどう対策するのか、といったところで密かに注目を集めているのが「PCI DSS」だ。クレジットカード情報を扱う企業を対象としたセキュリティ基準ながら一般企業でも“使える”と、もっぱらのウワサだという。

マイナンバー対策としても有効な、セキュリティ統制への“近道”を解説しよう。

特権IDに潜む大きすぎるリスクと、「PCI DSS」を活用した対策

内部犯行で悪用される「特権ID」の管理は不可欠!

以前はセキュリティ事故というと通り魔的な攻撃による被害が多かったが、近年特定の企業を狙った標的型攻撃が増加しているのはニュースなどで報じられているとおり。更にここ2年ほどで目立ってきたのが、特権IDの管理ミスや悪用による情報漏洩である。

特権IDとは、ご存知の方も多いと思うが、システム管理などで利用する非常に高い権限を持つIDのこと。システムの起動停止やアプリケーションのインストール、設定変更のほか、全データへのアクセスなどあらゆる操作が可能なIDだ。これが悪用されると大規模な情報漏洩につながることは想像に難くない。以前あった内部犯行による大事件を覚えている人も多いだろう。

もし今でも1つの特権ID・パスワードを担当者間で使い回しているなら、そこには大きなリスクが潜んでいることを覚悟すべきだ。申請ベースで利用させる、特権IDであってもアクセスできる範囲を必要最小限に制限するなどの管理を強く勧める。



導入企業が増加中!セキュリティ統制に効果的な「PCI DSS」

PCI DSSはそもそもクレジットカード情報を扱う企業向けに定められたセキュリティ基準であり、12の要件、300の項目で行うべき対策が細かく決まっている。

…と聞くとなんだか大変そうに思えるのだが、逆にここまで具体的に決められているからこそ、指示通りに対応すれば確実なセキュリティ統制を実現できるというワケだ。もちろん監査対応としても有効であり、特権IDを業務で利用する担当者に覚えのない疑惑がかかるのを防ぐ効果を期待する企業もある。

金融業界やECサービスなどで早々に導入が済んでいるのは当然だが、そのほかの企業においても今、“PCI DSSは使える”と導入が進んでいるのだ。

企業のセキュリティを網羅的に扱うPCI DSSだが、特権IDに関しては要件7「カード会員データへのアクセスを、業務上必要な範囲内に制限する」、要件8「カード会員データへのアクセスを許可する前に、すべてのユーザに一意のIDを割り当てる」が該当する。具体的にどう実現するのか、次章で解説しよう。



マイナンバー対策もPCI DSSでクリアできる!

2016年1月からついに始まるマイナンバー制度。従業員のマイナンバーという特定機密情報を預かるからには、セキュリティ対策強化、セキュリティ統制の徹底は必須だ。

対策にあたって参考にすべきマイナンバー取扱いの“ガイドライン”が公開されているのだが、実はその内容はPCI DSSの要件と根本的なところは酷似している。よって、PCI DSSに対応しておけばマイナンバー対策としても問題ないと言えるだろう。

また「マイナンバー開始にあたってセキュリティ監査はどう変わるのか」という懸念もあるが、こちらもPCI DSSに対応していればそうそう指摘は入らないと思われる。

 

 


PCI DSS対応の特権ID管理はどう実現するのか?

特権ID管理は「パスワード管理」と「アクセスコントロール」の2段階で考える!

PCI DSSでも2つの要件に分けられている通り、特権ID管理は2つの段階に分けることができる。最初の段階が、要件8に該当する「パスワード管理」。申請・許可をベースにIDと期間限定パスワードを払い出すとともに、該当IDでできる操作を指定することで特権IDをコントロールする。特権ID管理の基本となる部分だが、これだけで終わってはいけない。なぜなら、DBなどに直接アクセスできるIDなどを開発者が持っていたりすると、そこに抜け穴ができてしまうからだ。

そこで2段階目としてこの“抜け穴”をふさぐのが、要件7に該当する「アクセスコントロール」である。誰が、どのデータに、どこからアクセスできるのかを細かく制御することで、特権IDを厳格に管理できるようになる。

この2段階をビルの入館管理に例えよう。申請に基づいてビルへの入館カードを発行するのがパスワード管理。ただし、それだけではビル内のどこにでも行けてしまうので問題がある。そこで、何階のどの部屋で何をするのかまで定めておくのがアクセスコントロール、というワケだ。



「パスワード管理」と「アクセスコントロール」を1つのツールで実現できるのは『CA PIM』

当然だが、上記のような管理を手作業で行うのは現実的ではなく、監査対応なども手間ばかりかかってしまう。ツールを導入し、自動化しておくのが賢明だ。

そして数あるツールの中でも、特にオススメなのが『CA Privileged Identity Manager(以下、CA PIM)』。以前はCA AccessControl、CA ControlMinderという名称で展開されていた製品なのだが、こちらの名称に聞き覚えがある方もいるだろう。特権ID管理と言えばコレ、と高く評価されてきた製品である。

なんといっても「パスワード管理」だけでなく、細かな「アクセスコントロール」まで1つで対応しているのはCA PIMだけであり、大きなアドバンテージとなっているのだ(2015年12月 CA Technologies調べ)。



特権IDの効率的かつ厳格な管理を実現し、監査対応の負荷も軽減

CA PIMでは、特権IDの利用申請・承認に基づいた“パスワード貸し出し”のフローを自動化。「パスワード貸し出し期間終了後、無効化(パスワード変更)するのを忘れてしまった」などのミスをなくし、情報漏洩のリスクを最小限に抑える。

またアクセスコントロールでは、TCP/IPでのアクセス禁止から強制終了・起動禁止、アクセス可能端末の指定までかなり細かく設定できる。これにより「このPCからTelnetでつないだ場合のみDBにアクセスできる」など厳格な運用が可能になる。内部犯行への対策とともに、外部からの不正ログインへの対策としても高い効果を発揮する。

もちろんすべての操作ログを取得・保管しているため、監査にも手間をかけずに対応できる点も忘れずに挙げておきたい。



PCI DSSの要件にはすべて対応!官公庁・金融機関への導入実績も多数

PCI DSSへの対応もCA PIMならば問題なく、要件7・8に定められた項目をすべてクリアしている。官公庁や金融機関などそもそもPCI DSS準拠が求められる組織や企業への導入実績も多く、「どのようなプロセスで進めればよいのか」などのノウハウも豊富だ。

セキュリティ統制をイチから自分たちで実現するとなると、ハードルは高い。このような基準やツールをうまく活用しながら、セキュリティを強化していくのが、賢い方法と言えるだろう。

※この記事はキーマンズネットに掲載(2015.12.25)のコンテンツを一部再編集したものです。

特権IDの"使い回し"はNGって言われても…

対策強化の近道を解説


TEL
0120-702-600
お問い合せ

Chat with CA

Just give us some brief information and we'll connect you to the right CA ExpertCA sales representative.

Our hours of availability are 8AM - 5PM CST.

All Fields Required

connecting

We're matching your request.

Unfortunately, we can't connect you to an agent. If you are not automatically redirected please click here.

  • {{message.agentProfile.name}} will be helping you today.

    View Profile


  • Transfered to {{message.agentProfile.name}}

    {{message.agentProfile.name}} joined the conversation

    {{message.agentProfile.name}} left the conversation

  • Your chat with {{$storage.chatSession.messages[$index - 1].agentProfile.name}} has ended.
    Thank you for your interest in CA.


    Rate Your Chat Experience.

    {{chat.statusMsg}}

agent is typing