昨今の情報セキュリティリスクと被害の増加からか、本年より米国政府は組織のセキュリティ対策ガイドとして「バッドプラクティス」リストを公表し始めました。
これは、従来AWSやAzureといったクラウドサービスプロバイダー側で公開されている「ベストプラクティス」といったセキュリティ対策の推奨法とあわせ、改めて別観点からもセキュリティ上の問題点を見直して欲しいという背景から公開されたものになります。
本記事では、8月に米国政府が バッドプラクティスリストへ追加したシステムへのリモートアクセスに関する認証プロセスの注意点についてお伝えします。
また、認証プロセスへの必要な対策だけではなく、昨今のゼロトラスト環境下におけるリモートアクセスそのものへのセキュリティ対策に関しましても、どのような改善策を検討していくべきかについて解説します。
見直すべきバッドプラクティス
認証は、ユーザーのIDが本物であることを確認するために必要なプロセスとなります。
例えばシステムへリモートアクセスする際には、この認証というプロセスを通過、つまりシステム側から許可を得る必要があります。
ユーザー側がシステムへIDの証明を求める際、システムは以下3つの認証要素を検証に使用し、情報が一致したと判断した場合に認証をしてシステムへのアクセスを許可します。
・Something you know(知っていること)
例:パスワードやパスフレーズ、PIN番号等
・Something you have(持っているもの)
例:スマートカードやトークン、ワンタイムパスワード等
・Something you are(身体的な特徴)
例:指紋や虹彩、身分証明書の顔写真等
これら要素を単体で組み合わせる認証を単一認証と呼び、代表例としてはユーザー名とパスワードの組み合わせがあります。
この組み合わせは一見2つの情報の組み合わせにも見えますが、同じ要素(知っていること)の組み合わせを利用するため、単一の認証として分類されます。
ブルートフォース、パスワードスプレー、フィッシング、キーロガーやマルウェア、ダンプスターダイビング、ショルダーハック…
これら様々な攻撃手法により、単なるデータであるパスワードは、簡単に盗まれ不正に認証を突破されてしまう可能性が高くなります。
例えば、生年月日をパスワードに設定しているユーザーの個人情報を把握した第三者によるなりすましアクセスを想像していただく通り、単一認証は セキュリティの低い認証方法と見なされており、バッドプラクティスとして認証プロセスの見直しが推奨されています。
2020年振り返り
データベース・セキュリティ・コンソーシアム (DBSC)での講演資料をもとに、最新動向をベースにセキュリティ対策をご紹介
推奨セキュリティ対策と環境により変化するリスク要素
単一認証から強化された認証プロセスとして、システムにアクセスするために2つ以上の要素を組み合わせた多要素認証(MFA:Multi-Factor Authentication)があります。
MFAは例えば、銀行のATMを利用する際、キャッシュカード(持っているもの)とパスワード(知っていること)、場合によっては身体的な特徴も組み合わせるといったように、多数の要素を利用することでよりセキュアな認証を実現します。
このようにMFAは、2つ以上の認証要素を使用することから2要素認証もしくは、2FAともよばれ、バッドプラクティスにリストされた認証の課題解消法としても推奨されている認証方式となっています。
また、MFAの実装により企業組織のシステムに対するサイバー上の 脅威を大幅に低減することが確認 されていることからも、トークンやスマートフォンを使ったワンタイムパスワード等、リモートアクセス環境にMFAは必要な認証強化策といえます。
しかしながらMFAの実装による認証強化策にも、リモートアクセス時のセキュリティ対策としては課題が残ります。
昨今リモートワークの広がりとともに、急速にゼロトラスト環境下におけるリモートアクセスのセキュリティ対策を検討する必要がでてきました。
ゼロトラスト環境では、ユーザーアカウントを信用しないという前提があるため、システムで行われるMFAとは、やや別の視点からの認証強化策を考える必要があります。
また、rootやadministratorといったIDを従業員が共有してしまっている場合に、アクセス元の個人識別や制御をどのように行うかといった、認証とは別の対策も求められます。
ゼロトラスト環境におけるリモートアクセスのセキュリティ
ゼロトラスト促進といった流れの中、環境とともに変化するリスク要素に対して、検討できるセキュリティ対策を整理していきます。
場所に依存しないMFA
リモートアクセスが増加する昨今ではMFAの実装は必須といえるのかもしれません。
また、情報システムをパブリッククラウド環境へ移行する企業組織では、移行先のクラ
ウドと残るオンプレミス両環境のMFAを1システムで実装することで、一元管理によ
る運用負荷軽減や、環境の変化に対する柔軟な対応も可能となります。
特権アクセスの識別
前述のrootやadministratorといったIDの使いまわし、所謂特権アクセス元の個人識別
といった課題に対し、監査ログの記録やアクセス制御、制限による一時アクセスといっ
た実装策が必要と考えられます。
最小特権の原則を実装
ユーザーアカウントを信用しない前提では、ユーザー自身がパスワードを知らない状態での
認証フロー(パスワードの隠匿)によるアクセス承認も検討することができます。
ワークフロー等の承認制によるアクセス許可により、業務担当者と承認者を分ける「職
務の分離」を実現することが可能です。
ひとたび悪意ある第三者に特権IDを使ったシステムアクセスを許してしまった場合、攻撃者は対象ネットワーク全体または、複数のシステム内で昇格されたアクセス権限を許可されてしまいます。
MFAの実装は勿論の事、特権アクセスの個人識別と記録や制御、認証方式そのものを別視点から見直したセキュリティ対策を検討する時期に来ているのかもしれません。
このような認証強化策や、特権IDの識別や監査といった課題に対するソリューションをお探しの際には、是非ともNHNテコラスまで お問い合わせください。
低コストでガバナンスを強化し、情報漏えいを根本から防ぐ
アクセス管理・データベース監査 Aegis Wall
特権IDユーザーのアクセス管理を効率化し、個人認証したログ記録やアクセス制御などの内部統制に必要な機能を完備