疑うべきは内部犯行――セキュリティレベルを一段上げる「特権ID管理」の最前線

「セキュリティ対策」というと外部からの攻撃に備える施策が思い浮かぶが、実は多くのインシデントは内部犯行によって起きている。特に情報漏えいなどで大きな被害を引き起こすのがデータベースや基幹系システムなどの「特権ID」の悪用だ。データベースやシステムを自在に操作できる特権IDをどう管理し、内部犯行を防ぐのか。セキュリティ対策のレベルアップを望む読者に対して、参考となるホワイトペーパーを紹介する。

「技術」と「人」への対策が特権IDの管理レベルを格段に引き上げる

 知的財産などの機密情報が競争力を大きく左右する現状にあって、「特権ID」にまつわるリスクは増す一方だ。悪意のある内部関係者の手に特権IDが渡った場合、データの不正持ち出しなどによる企業価値の損失を招きかねない。しかも、攻撃手法はデータの書き換えによる詐欺、システムへの攻撃、産業スパイなど多岐にわたる。これらの被害をなくすためにも、「内部攻撃」への対策が急務となっているのだ。

 ただ、課題は、内部攻撃による犯行では兆候や被害を検出しにくいことだ。事実、被害の発見までに一般に数カ月を要しているとの報告もある。本ホワイトペーパーでは、被害の実態や内部脅威への効果的な対策、「技術」と「人」の双方へのバランスの取れた対応などを分かりやすく解説。企業に最適な特権IDの運用法を提唱する。

増え続ける「外部脅威」にも対策するために押さえておくべき4つの方法

 特権IDにまつわる不正といえば、これまで「内部不正」に目が行きがちだった。一方で、標的型攻撃の増加を背景に、悪意を持つ第三者に特権IDを奪われることに起因する「外部攻撃」のリスクも深刻さを増している。

 では、それらに対して、どう対策を図るべきなのか。そこで柱となるのが「予防」と「検出」の2つである。内部不正であれ外部攻撃であれ、アクセスログから不正・攻撃を検出することに変わりはない。そこで、特権IDのログを基に不正を監視するとともに、万一、不正や攻撃を受けた際には、早期に検出するための仕組み作りが情報漏えい対策で重要になっているのだ。

 ただし、内部不正は正規に許可された管理者が行うだけに、不正を防ぎにくいのも確かだ。だからこそ、現在実施中の対策の有効性をあらためて再確認し、改善するサイクルを回すことの重要性がより高まっているのである。本ホワイトペーパーは、特権IDに関するリスクを「内部脅威」と「外部脅威」に分け、それぞれの脅威から特権IDを守るために最低限考えておきたい4つの対策を中心に解説する。

特権ID管理は、内部不正や標的型攻撃などセキュリティ対策としてはもちろん、IT全般の統制、マイナンバーなど各種ガイドラインへの適応として欠かせない対策となっている。そこで、特権ID管理を厳格かつ効率的に行うために欠かせない5つの機能と活用事例を紹介する。

「不正のトライアングル」理論から導き出す内部犯行対策とは

 内部犯行は外部攻撃と同様にセキュリティ攻撃の一種といえる。だが、前者は後者と比べ、発覚が遅れがちなために、経済的な被害も大きくなるケースが多い。それはなぜか。理由の1つに挙げられるのは、内部犯行への対策は社員の良心頼りの、いわば「性善説に基づく対策」であったことだ。ただし、リスクの大きさを考えれば、対策のさらなる強化が不可欠なことは説明するまでもないだろう。

 着目すべきは、機会の存在が不正を後押ししているという米国の「不正のトライアングル理論」である。本ホワイトペーパーでは、人が不正を行う3つの要素である「機会」「動機」「正当化」のうち、「機会」に注目。システムへの自由なアクセスを許す特権IDは、不正を起こす機会を与えるものと指摘する。その上で、内部犯行を踏みとどまらせる有効策として、特権IDの監視やログ取得の重要性を説明。特権IDによる内部犯行を防ぐ対策として具体的な内容を解説している。

「特権ID」の適切な保護は標的型攻撃対策にも重要、現場の対策を考える

 外部からの攻撃ばかりが警戒される標的型攻撃だが、実は内部における「特権ID」の適切な保護も、被害を食い止める上では重要な内部対策となる。仮に外部から攻撃を受けてシステムに侵入された場合、特権IDが奪われてしまうと被害の拡大を止めることが難しくなるからだ。

 本ホワイトペーパーではこのような特権IDの保護に関して具体的な対策を説明する。例えば、執務端末とシステム管理端末の分離や、特権ID権限の分散、特権IDの承認プロセスの設定、作業ログの保存などを提言する。

 企業のセキュリティ担当者は、内部不正対策と同様に標的型攻撃にも対策が求められている。特権IDの保護を通じて内部不正と標的型攻撃の両方を対策したいと考える読者に最適なホワイトペーパーだ。

提供:CA Technologies/エヌ・ティ・ティ・ソフトウェア株式会社/楽天コミュニケーションズ株式会社/エンカレッジ・テクノロジ株式会社
アイティメディア営業企画/制作:TechTarget編集部/掲載内容有効期限:2016年9月30日

Copyright© 2017 ITmedia, Inc. All Rights Reserved.