内部不正対策に、アクセス管理体制の導入のポイント

組織の内部者が故意に情報を漏えいする内部不正について報道などで目にすることも増えてきました。IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2020(組織)」 でも「内部不正による情報漏えい」は2位となっており、企業におけるリスク管理として内部不正対策への関心は高まっています。本記事では、内部不正対策に有効なアクセス管理体制の導入ポイントとして、導入前の検討項目や手順・進め方、さらには具体的な実務を例に取り、これからアクセス管理体制を構築されるご担当者に役立つポイントやコツを分かりやすく解説します。

内部不正の手口とその対策

内部不正の手口としては、大きくわけて3つがあります。

• 付与されたアクセス権限の悪用
• 離職者が在職中に割り当てられたアカウントを悪用
• 情報の不正な持ち出し

これらの内部不正へ有効な対策として、従業員に付与するアクセス権限の制御やアカウントの管理、ログなどの追跡可能な履歴を残すことが重要となってきます。
そのため内部不正対策を行うにあたって、まずは従業員のアクセス状況を管理できる体制が必要となります。

アクセス管理体制の発足

社内でアクセス管理体制を構築するにあたって、IT部門のシステム管理者とは別に情報セキュリティ管理者を決定することが重要です。
人手が足りないからとシステム管理者と兼任していたり、専任の管理者を設定しない体制では自分で自分を管理する形になってしまい、実質的に機能しません。
また、特定の1人に権限が集中することは、内部不正の温床になりやすく、避けるべきです。

アクセス管理を有効なものにするためにも、

• 各システム管理者と情報セキュリティ管理者の職務分掌を明確にしていること
• 情報セキュリティ管理者の職務内容と権限を定義して社内へ周知すること
• 大規模な組織の場合は、ポリシー通りに運用されているかを定期的に確認するための内部監査責任者を設けること

が好ましいとされています。EUのGDPR(General Data Protection Regulation)では、データ保護責任者(DPO)の選任が義務付けられているなど、今後、日本国内でも個人情報をはじめとした重要な情報資産の管理者の必要性はますます高まって来るものと思われます。

セキュリティインシデントのエスカレーションフロー

管理体制の発足にあたって、セキュリティインシデント発生時に備えたエスカレーションフローを策定しておく必要があります。

セキュリティインシデントは、業務停止や納期の遅れなどのビジネスリスクに直結するため、その対応には技術的な知識だけでなく経営的な判断が求められます。
あらかじめ判断基準と責任者、業務時間外も含めた対応を検討しておくことが、インシデント発生時の対応をスムーズにし、被害を最小限に抑えることにつながります。

管理対象の棚卸し

アクセス管理には、制御、記録、点検の3つの側面があります。

1. 「誰が」「いつ」「どのシステムで」「何ができるか」の制御
2. 「誰が」「いつ」「どのシステムで」「何をしたのか」の記録
3. 記録されたログから「許可された以外の操作をしていないか」の点検

この3つの側面がスムーズに運用されるサイクルを構築するために、関係部署の責任者と担当者へのヒアリングによって、管理対象となるサーバー、各システムにアクセスできるユーザー、各ユーザーの職務に必要な最小限の権限、を整理します。

例えばデータベースへのアクセス経路はさまざまで、以下のようなパターンを考慮しながら権限を整理する必要があります。

• データベースのインストールされたOSにアクセスし、データファイルをコピーする
• アプリケーションサーバーなどデータベースに接続可能な機器にログインして、そこからアクセスする
• コンソール接続による物理的なアクセス
• 別に保管しているバックアップデータへのアクセス
• 監査ログへのアクセス（不正アクセスの証拠を消す改ざん行為）

また、実際に棚卸しを始めると、業務の役割分担が不明確な部分が顕になることも多いため、改めて各担当者の役割の整理から始めることが必要となる可能性もあります。
その際に、想定されるリスクと優先度、および新規登録/変更/削除などの運用に関する現状のプロセスについても整理をしておくと、次項の管理方法の検討のステップがスムーズに進められます。

特に、不要なユーザーが作られていたり、異動や退職した不稼動ユーザーが残っていたり、過剰な権限が付与されているといったことが目立つ場合、そのシステムを管理する組織の体制や担当者の意識の改善についても考慮が必要です。

アクセス管理の方法を検討

管理対象の棚卸しで調査した、現状のシステム、各ユーザーの役割と職務範囲、承認プロセスを元に、各部門のシステム管理者と相談しながら今後のアクセス管理方法を検討します。

例として、以下のような方法が挙げられます。

• リモートアクセスでの操作に関してすべて動画で記録する
• クレジットカード情報など特に重要な情報へのアクセスには二要素認証を必須化する
• ユーザーの職務範囲ごとに権限を設定してアクセス許可する
• 不正アクセスと思われるセッションに対して、アラートを送信する
• 個人情報を大量に取得する操作を行った場合は、セッションを強制終了させる
• ワークフローで事前に作業予定日時のアクセス申請を行い、未承認だと作業ができないようにする

各ユーザーの役割と職務範囲に応じて、アクセス可能なリソース、それに対して実行できるアクションを一覧にしたアクセス制御リスト(ACL)を作成していきます。

また、事前に作業内容を申請し、複数の管理者による承認を受けた上で一時的にアクセスや操作を許可する、といったワークフローの構築も必要になります。
さらに、その制御が適切に機能しているかどうかをチェックするためのアクセスログ記録と、ACLとの照合や不明ユーザー/不正操作の検知をする機構が求められます。

それだけではありません。
人事異動や退職、組織改正や役割変更など、組織は時間とともに変わっていくものですので、そうした変化に合わせた適切な見直しをするフローも準備しておく必要があります。
せっかくACLや承認のワークフローを整備しても、組織の実態とズレていては実効性がなくなります。
セキュリティ対策は一度構築すれば終わりというものではありません。計画を継続的に見直し、再構築していくPDCAサイクルを備えてはじめて効力を発揮するものです。

また、煩雑な管理業務を効率化するために、システムやユーザーをグループ単位で登録したり、大量のサーバーやデータベースのユーザーとアクセス権を一元管理したり、ACLに違反したアクセスや操作が発生したら自動的に検知する、といった機能を備えたソリューションをオススメします。
アクセス管理ソリューション

アクセス管理サービスを選定するポイント

検討した管理方法の実現に必要な機能をリストアップし、それらを網羅する製品を購入するか、自社あるいは外部委託で開発を行うかを決定します。
製品を購入する場合は、複数のベンダーに対して製品資料やデモ、見積を依頼し、運用のしやすさ、コスト面も考慮した上で条件に合うものを選定します。

その際に考慮すべきポイントとしては、以下のものがあります。

• 共有している特権IDの利用者を特定できるか
• 取得可能なログの範囲(OSへのアクセス、コンソール接続)
• ログの統合管理・一元管理ができるか
• 監視対象サーバーの負荷やパフォーマンスへの影響
• パスワードの自動変更や隠蔽による安全性の確保
• クライアント/サーバーへのエージェント導入の有無
• 自社の組織や職務に合ったワークフロー設定が可能か
• ログ改ざんを防止する仕組みがあるか
• ネットワーク構成や作業者の接続ツールを変更する必要があるか
• 管理者に求められる専門性や業務負荷
• 予算と費用対効果
• 製品のライセンス体系(特にユーザー数、サーバー数など変動費の部分)
• 導入から本稼動までの期間

まず候補となる製品のベンダーに対してRFI(情報提供依頼書)を提示し、製品資料や導入実績など概ね条件に合うかどうかを判断するための情報を集めます。
続いて、絞られたベンダーに対して現行システムの情報を加えたRFP(提案依頼書)を提示します。
それに対する回答を元に選定サービスを絞り、実際の運用の流れをテストできる環境で要件への適合性を検証した上で製品を決定する、というのが一般的な製品選定の流れです。

アクセス管理で必要な環境の設定

アクセス管理サービスの選定ができたら、管理サーバーを設置後、管理者アカウントの作成、各種アラートの送信先メールアドレスの指定など、アクセス管理業務を開始するにあたって必要な環境設定を行います。

管理者設定

アクセス権の設定やログを参照できる管理者アカウントの権限を設定します。

メール設定

アラートやワークフローの承認など各種の通知を受けるために必須の設定で、どの通知をどのアドレスに送信するか設定します。
通知専用アドレスを用意しておくと、メーラーでの振り分け登録がしやすく便利です。

パスワード設定

セキュリティ強化のため、パスワードの有効期限、複雑性、連続失敗時のロックの設定を行います。

ログのバックアップ設定

運用を開始すると、日々のユーザーのアクセスログが管理サーバーに蓄積されていくため、定期的にバックアップを取る必要があります。
動画形式で保存する場合はファイルサイズも大きくなるため、特に注意が必要です。
また、バックアップを実施するスケジュールを設定し、万が一に備えることをおすすめします。

時刻同期

記録されたログの時刻の正当性を担保するために、管理サーバーの時刻をNTPサーバと同期させます。

アクセスを管理するサービス/ユーザーの登録

 

アクセス管理方法の検討時に整理した監視対象のシステム(＝サービス)とユーザーを登録します。
これにより、システムやユーザーの棚卸しの際に、

• IPアドレス、通信で使用するポート番号など登録に必要な情報を整理してリスト化する
• システムは拠点や用途、ユーザーは部門や役割でグループ分けをする

といった整理を事前に行うことで、管理ツールの設定や変更の手間を軽減することができます。

部門ごとの権限制御の例

どのグループに対してどのような制御を行うか、職務範囲に応じてどのような権限を付与するかを考慮した上でグループを設計しておくと、次項のセキュリティポリシー設定がスムーズです。

• アプリケーション部門 　アプリケーションサーバーへのフルアクセス
• インフラ管理部門 　全てのサーバーへのアクセス
• データベース運用部門 　データベースへのアクセス
• オペレーション部門 　アプリケーション経由でのアクセスのみ

なお、現状の運用体制とアクセス管理導入後の運用体制について、各システムの管理部門と1つ1つ確認しておかないと、後で抜け漏れが発覚して業務に支障をきたしたり、各種ガイドラインに準拠するためのアクセス管理体制構築の遅延につながるので、注意が必要です。

また、ユーザーの部署異動、担当変更、退職などの対応についても予め取り決めをしておかないと、不稼動ユーザーが放置されたままになり、侵入者や内部不正の格好のターゲットになりかねません。

ユーザーが少ない場合は手動で登録・変更することも可能ですが、ユーザー数が多くなると、CSVファイルなどにまとめてインポートするか、Active Directoryなどのユーザー管理システムのデータと自動連携する方法が効率的です。

C-Chorusの提供しているアクセス管理ソフトウェア Aegis Wall はどちらの方法にも対応しており、登録や設定変更の効率化をサポートします。

アクセス管理のためのポリシー設定

サービスとユーザーの登録が完了したら、ポリシーを設定します。検討した管理方法を元に設定を行います。以下は、Aegis Wallで設定可能な制御の例です。

• アラート設定：特定のシステムへのアクセス、コマンド操作が行われた場合に、メールでアラート通知を行う設定です。
• ワークフロー制御：ユーザーが事前に申請し、承認者の許可を得ない限り、特定のシステムへのアクセス、コマンド操作ができないようにするための設定です。
• アクセス制御：特定のシステムへのアクセスの許可/禁止を設定します。
• 権限制御：ユーザーの職務に応じて、アクセス許可されたシステム内で実行可能な権限を制限します。SELECT文で大量の個人情報データを取得するなど、コマンドの実行結果を見て制御することも可能です。

データマスキング

データーベースの操作時に個人情報などの重要情報を含む結果値を取得する場合に、特定のカラムやパターンのデータを*(アスタリスク)に置換するマスキングを行えます。
アクセス/コマンド制御に関しては、各システム管理部門で発生頻度の少ない業務の洗い出しができておらず、いきなり制御を実施すると業務に支障をきたす恐れがありますので、初期はアラートのみで慣らし運転をしたうえで、段階的に制御へ移行することを推奨します。

また、Aegis Wallのセキュリティポリシーはファイアーウォールなどのセキュリティ機器と同様に、ポリシーの優先順位の高い順にポリシーの条件に適合するかどうかをチェックし、適合した時点でそれ以下のポリシーのチェックは行われないため、条件の包含関係と優先順位に注意が必要です。

(例)
1. IPアドレス(192.168.1.0～192.168.1.255)からのアクセスを許可する
2. IPアドレス(192.168.1.100)からのアクセスを禁止する

というように、1で許可されるものを2で禁止していても、優先順位の高い1のみが適用されます。2を適用するためには、2を1より上位に設定しておく必要があります。

アクセス管理業務の整理

運用を開始するにあたって、管理者の業務を整理します。
監視対象のシステムが多い場合は、管理者を複数役割分担の検討も必要になります。

アクセス分析

• アラート通知の内容の確認と調査
• 不明なIPや、ログイン連続失敗などの不審なアクセスログが無いかのチェック
• アクセス数のレポートを週1回出力して傾向を定期的に分析する

ユーザー管理

• 新規ユーザーの登録
• 異動者と退職者のアカウント削除
• 毎月、不稼動システムとユーザーの棚卸しを行い、担当部門と確認して無効化する

ポリシー管理

• セキュリティポリシーの設定と見直し

ストレージ管理

• ストレージ使用状況のレポートを週1回出力して傾向を定期的に分析する
• ログデータのバックアップが毎日自動実行されていることを確認する
• ログの改ざんが無いことを週に1回確認する

インシデント対応

• インシデント発生時のアクセスログの調査と分析

このようにアクセス管理体制を整えたあと、運用を行っていきます。
本記事では、内部不正対策に有効なアクセス管理体制の導入・運用についてポイントを簡単にお伝えしましたが、内部不正に対する対策について課題をお持ちの場合は、お気軽にNHN テコラスまでご相談ください。