重要なシステムやデータを保護するためには、確実なアクセス管理が不可欠です。サーバーやデータベースにアクセスするユーザーに対して、業務遂行に必要な最小限の権限を与える――それによって内部不正を予防し、100%防ぐことは難しいと言われるサイバー攻撃によって侵入された後の被害を極小化することが可能になります。
これからアクセス管理を始める方のために、各種法令やガイドラインの要件に沿ったアクセス管理の要点を説明します。
ユーザーを一意に識別する
「一意に」というのは、「誰が」アクセスするか/しているか、その個人を正確に把握することです。
中でも最上位権限の特権アカウントについては、サーバーやデータベースそのものの機能で管理しようとしても、自分で自分を管理するようなもので現実的には困難です。
また、特権アカウントを複数人で共用していることも多いため、外部からその権限を管理することができて、共用していても「誰なのか」を特定可能な仕組みを導入するのが有効とされています。
特権アカウントの使用を申請書による許可制にして、使用後にパスワードを変更するなどの運用で個人を特定することも不可能ではないですが、管理者の負荷や人為ミス・内部不正のリスクは高くなります。
「誰なのか」を特定していることで、内部不正や外部からの不正侵入による「なりすまし」のリスクと被害を最小限に抑えられ、もしも情報漏洩などのインシデントが発生した際には、内部関係者の潔白の証明や、外部からの侵入形跡の調査に活用することができます。
一方、ユーザーを識別する情報がデータベースのユーザーIDやアクセス元のIPアドレスのみであったり、誰なのかを特定できない形でログを記録しても想定していた効果を得ることはできないため、既存の製品を導入する場合も自社で開発する場合も、対策の検討時に十分に注意する必要があります。
認証の精度を高める手段
認証の精度をより高める手段として、個人特定に使用可能な情報を複数組み合わせたり、多要素認証など追加の認証基盤を導入することで、なりすましのリスクを更に下げることも可能です。
個人特定に使用可能な情報
- アクセス元IPアドレス
- 機器ID
- PCの端末名・ユーザー名
- Active Directoryのアカウント
追加の認証情報
- アクセス管理製品で設定したユーザーID/パスワード
- トークンなどのワンタイムパスワード
- 指紋認証、虹彩認証など
C-Chorusの提供するAegis Wallでは、クライアント側での追加認証やワークフロー、自動パスワード変更、ワンタイムパスワードによる二段階認証などの機能もサポートしていますので、お客様の求める認証強度に応じた柔軟な対応が可能です。
ログの適切な記録と監視をする
個人を一意に識別した形で、ログを記録してモニタリングすることで、正当な業務なのか、不審なアクセスなのかを区別し、インシデント発生のリスクに対して早期から対応できるようになります。
また、悪事は発覚すると知らしめる環境を作ることで、サイバー攻撃や内部不正に対するけん制効果も期待できます。
ログ管理の要点には以下の5つがありますが、いずれも対策を検討される際には欠かせないポイントです。
正確に記録できること
ログは何かインシデントが発生した際に、その原因と実行者を特定できなければ、コストをかけて大量のログデータを保存していても意味を成しません。 そのため、前項でご説明していた精度の高い個人特定に加えて、「いつ」「誰が」「どこで」「どうした」という項目ごとに正確に記録し、分類された形でログを保管することが重要です。
時刻、操作内容、結果値まで正確であってこそ、インシデント発生時のフォレンジック調査と復旧にかかる莫大なコストを削減することが可能になります。
あらゆるアクセス方法を網羅すること
リモートアクセス、WEBサーバー/アプリケーションサーバーを経由したアクセス、コンソール接続、とデータベースへのアクセスには、抜け道になりがちなものも含めて様々なルートが存在します。 たとえデータベースの全操作を記録していても、データベースのログイン情報と操作内容のログのみでは誰が操作したのかを判別できず、なりすましを特定するには不十分です。
リアルタイムで取得できること
内部不正も外部からの不正侵入も、システムに致命的なダメージを与えるような誤操作も、いかに早く検知するかが被害を抑えるためのポイントになります。
たとえログを記録していても、管理サーバーへの転送は1日1回などの一定間隔の周期で行われているようでは、せっかくログを記録していてもインシデント対応は後手に回ってしまいます。
管理ポイントを定めて効率化すること
ログの監視をするにあたっては、重要なログが不要なログに埋もれないよう仕分けすることも重要です。
毎回、膨大な量のすべての操作を記録したログから検索しようとすると、いくらハードウェアのスペックを高くしてもキリがありません。アプリケーション経由のアクセスは、定型の何度も繰り返される操作以外はアラートを上げる、開発やチューニングなど一回限りの操作は全て記録する、など業務の性質ごとに管理するポイントを定めて効率化を図ることが肝要です。
ログ改ざんの予防策を設けること
せっかく正確なログを記録しても、不正操作でログを改ざんされてしまっては意味がありません。 記録したログへのアクセス権を制限し、そのログにアクセスしたログを記録する、さらにログの管理者をサーバーの管理者と権限を分けるなど、ログを改ざんから守るための策を講じることも重要です。
職務に応じた権限設定をする
アクセス権限は、各ユーザーの職務に必要な最小限の権限を付与するのが理想です。
各ユーザーのアカウントがアクセス可能なサーバー、操作可能なコマンド、閲覧可能なデータをできる限り制限することで、内部不正や外部からの侵入者による権限奪取の被害を極小化することができます。
権限の制約方法には以下のようなパターンがあります。
- 特権IDによるログインを禁止する
- データベースの特定のテーブルへのアクセスを禁止する
- ポイントなど金銭的価値を持つデータを書き換えるコマンドの使用を禁止する
- 個人情報やクレジットカード情報などの重要データをマスキングする
- 作業内容を申請して承認を受けた時間帯のみアクセスを許可する
各アカウントの権限を必要最小限に抑え、権限を複数のアカウントに分散させればさせるほど、侵入者や内部犯行者が重要なデータの搾取や改ざんといった不正行為を実行しづらくなります。
以下のようなアクセス管理に関する様々なガイドラインでも、重要データへのアクセスを業務上必要な範囲内に制限すること、前項の「ログの適切な記録と監視をする」でご説明した「ログの記録と監視」は、どちらも重要なポイントとして定義されています。
- 要件7: カード会員データへのアクセスを業務上必要な範囲内に制限する
- 要件8: システムコンポーネントへのアクセスを識別・認証する
- 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
4.技術的対策
- 個人データへのアクセスにおける識別と認証
- 個人データへのアクセス制御
- 個人データへのアクセス権限の管理
- 個人データのアクセスの記録
- 9.2 利用者アクセスの管理
- 9.4 システム及びアプリケーションのアクセス制御
- 12.4 ログ取得及び監視
A.9 アクセス制御
- アクセス制御に対する業務上の要求事項
- 利用者アクセスの管理
- 利用者の責任
- システム及びアプリケーションのアクセス制御
とはいえ、権限を制限・分散しすぎて日常の業務に支障をきたすようでは本末転倒になりますので、業務効率とのバランスを見ながら落とし所を探していく必要があります。
その際、重要データの保管されたサーバー/データベースにアクセスする担当者に、アクセス管理の重要性とインシデント発生時の証拠保全の必要性について理解を求めることも重要です。
これらの証拠は担当者にとっては自らの潔白を証明する証拠にもなるため、そのメリットを伝えることも関係者の理解・協力を得るためには有効です。
アクセス管理について課題をお持ちの場合は、お気軽にNHN テコラスまでご相談ください。
アクセス管理にオススメ!
Aegis Wall
Aegis Wallは、低コストで手軽に導入ができる内部不正対策に有効な特権IDユーザーのアクセス管理・データベース監査ソフトウェアです。