特権IDとは
特権IDとは、クラウドサービスやサーバー上に存在する「root」や「Administrator」、アプリケーションの管理者ID(管理者アカウント)などの、一般的なIDでは操作ができないユーザー作成・削除などの特別な業務を行う、システムにおける最上位またはそれに準ずる権限を持つアカウントを指します。特権アカウントと呼ぶ場合もあります。
クラウドサービスの普及により、この特権IDを狙ったサイバー攻撃などの事件は増加傾向にあります。ひとたび特権IDが不正アクセスされてしまった場合には、情報漏えいに留まらず、システム停止を含むさまざまな操作を攻撃者が可能となり、企業に甚大な被害が生じる可能性があります。
特権ID管理の必要性
特権IDを適切かつ厳密に管理することで、攻撃者による不正アクセスを防ぐセキュリティ対策のみならず、内部統制や監査の観点においても、特権IDを「誰が」「何を(どのシステム・サービスを)」「いつ」使うのかを管理する「特権ID管理」がとても重要です。
これはFISC安全対策基準などでも提唱されており、管理する上でも「申請・承認」「アクセス制限」「有効期間の設定」「作業ログの保存」の4つの観点は欠かせない項目となっています。
01
不正アクセスの脅威からアカウントを守る
本人確認精度の高い認証と厳密なアクセス管理、特権アカウント情報の隠蔽で攻撃者から特権IDを保護
特権IDはその操作権限の強さから不正利用された場合に企業に与える被害は甚大です。不正アクセスを防ぐため、特権ID権限を持つユーザー自身による精度の高い認証とアクセス管理が必要不可欠です。従来のような脆弱性のあるパスワードによる認証ではなく、本人確認作業をより正確に行うことができる多要素認証(MFA)や、決められた範囲・期間・経路以外からのアクセスを制限することでセキュリティを高め、悪意のある攻撃者による特権IDへの不正アクセスを防ぎます。
また、特権IDを付与されたユーザーは専用ポータル画面からアクセスでき、管理者はユーザーに特権IDのアカウント情報を知られること無く権限付与が可能になります。クラウドサービスに対する特権ID情報を隠蔽し、利用ユーザーは許可された回数、時間帯のみ利用できるよう制御します。
対象システム/サービスへのアクセス制御の方法
「対象システム/サービス」へのアクセス制御は以下の方法があります。
・管理者によるアクセス可否を事前に設定
・「対象システム/サービス」ごとにアクセス回数(1回のみ/指定期間)を設定
・ワークフローによる「承認/拒否」による制御
・「対象システム/サービス」ごとに認証方式を設定可能(多要素認証)
02
ガバナンスの強化
アクセスログや操作記録で特権アカウントを適切に管理
特権アカウント(特権ID)を適切に管理することで企業のガバナンスを強化します。アクセスログなどのログ管理は、平常時は特権IDの適切な利用を監視し、非常時には事故の究明のために機能します。外部の攻撃者だけではなく、悪意のある内部関係者による不正抑止としても効果的です。
SeciossLinkの特権ID管理機能では「いつ」「誰が」「何のサービス」を利用したか確認できます。また、Window ServerやRedHatなどのサーバーへの操作をGatewayサーバー※で操作動画の記録も可能です。
※別途構築が必要が必要です。
◆対応サーバー
・Windows Server 2012 R2 以降
・RedHat EL7 以降
・Oracle / PostgreSQL / MySQL
(Linux 環境でコマンドライン操作を記録)
SeciossLink製品資料
プロダクトガイド