セキュリティの中心であり続ける「IDおよびアクセス管理」の徹底対策3選：セキュリティの基本はいつでも変わらない

セキュリティ対策の難点の一つは、さまざまな製品があるためにどれが本当に必要な対策なのかが分かりくくなってしまうことだ。セキュリティの軸になるIAMの基本とは。

[Stephen Withers，TechTarget]

　攻撃がますます巧妙化することを受けて、それに対抗するためのセキュリティ製品が続々と登場している。製品が多様化すればさまざまな対策が打てるようにはなるものの、現実には「本当に必要な対策が分からない」「コストがかさむ」といった悩みをセキュリティ担当者は抱えがちだ。

　セキュリティ対策の軸としてユーザー企業は何を重視すべきなのか。セキュリティベンダーBeyondTrustのチーフセキュリティストラテジストであるクリストファー・ヒルズ氏は、まず重要なものとして「アイデンティティーおよびアクセス管理」（IAM）を挙げる。その理由と、IAMを徹底するための基本とは何か。

「IDおよびアクセス管理」を徹底する“3つの基本”はこれだ

併せて読みたいお薦め記事

そもそも「IAM」とは？

• いまさら聞けない「IAM」が「クラウド利用」に欠かせない理由
• AWS、Azure、Google Cloudの「クラウドIAM」を迷わず選ぶ方法

　ヒルズ氏は、多様なセキュリティ対策が求められるようになる中でもIAMが中心であることは変わらないと説明する。IDやパスワードといった認証情報が流出すれば、ランサムウェア（身代金要求型マルウェア）をはじめとした攻撃の入り口を生んでしまう。システムやデータへのアクセスを適切に制御することも、セキュリティインシデントを抑止するためには重要になる。「システムへの侵入や情報漏えいを防ぐには、IDおよびアクセスの適切な管理が欠かせない」（同氏）

　IAMを徹底するための対策として、ヒルズ氏が推奨する取り組みは次の通りだ。

従業員向けセキュリティ教育

　セキュリティ教育やトレーニングによって、従業員のセキュリティに対する意識を向上させることが重要だ。攻撃者は「ソーシャルエンジニアリング」（人の心理を操る詐欺手法）を使って標的の認証情報を狙う。例えば米国では「学校で無差別銃撃事件が起きている」といった内容のメールを送信し、不正なリンクをクリックさせる手口が見られる。「フィッシングメールの“わな”にはまらないようにするためには、自分自身がフィッシングメールの標的になり得ることを肝に銘じる必要がある」（ヒルズ氏）

パスワード管理

　課題になりがちなのがパスワード管理だ。特にパスワードを再利用したり、複数のシステムに同じパスワードを使用したりすることが、攻撃を受けるリスクの増大につながる恐れがある。Webブラウザにパスワードを保存するのではなく、パスワード管理ツールを使うことも重要だとヒルズは説明する。不正アクセスのリスクを抑制するためには、多要素認証（MFA）ツールを使うことも有効だ。

　顔や指紋による生体認証も有効だとヒルズ氏は説明する。ただし、生体認証でも安全とは言い切れない。ソーシャルエンジニアリングによってエンドユーザーに顔をスキャンさせて生体認証を回避する「Gold Pickaxe」といったマルウェアが登場しているからだ。生体認証は比較的安全性が高いとはいえ、それによって攻撃を完全に防げると考えてはいけない。

アクセス制御

　アクセス制御に関して重要なのは、社内だけではなく、社外からのアクセスも管理することだ。「SaaS」（Software as a Service）を使用する場合は、複数のサードパーティーベンダーのシステムと連携している場合があることに注意する必要がある。そうした連携がある場合は、サードパーティーベンダーのシステムにもリスクがある可能性を前提にして、不適切なアクセスがないかどうかを管理することが欠かせない。

　アクセス制御の基本は、エンドユーザーに“必要な権限のみ”を“必要な時間だけ”付与することだとヒルズ氏は強調する。例えば、オンプレミスシステムからクラウドサービスに移行する場合は、直接そのプロジェクトに携わっている人のみに必要な権限を与え、プロジェクトが終われば、権限を無効にするといった具合だ。

サイバー保険を利用するときの注意点とは

　ユーザー企業は、攻撃を受ける事態を想定してサイバー保険に加入していることがある。ヒルズ氏によると、近年になって攻撃が活発化したことを受けて、保険会社はユーザー企業により厳しい補償の要件を課すようになっている。例えば、MFAを導入しているユーザー企業が攻撃を受けたとする。侵害されたアカウントがMFAで保護されていなかった場合、契約内容によっては保険会社は保険金の請求を拒否できる。

　脆弱（ぜいじゃく）性管理やパッチ（修正プログラム）適用についても注意が必要だ。サイバー保険によっては、パッチ適用に90日の猶予期間が認められている場合がある。しかしそのシステムがパッチ適用の対象として見落とされていたり、パッチ提供が止まっていたりするシステムの場合、保険会社は保険金の請求を拒否できることがあるという。

　サイバー保険に加入する場合、インシデント対処の計画策定と定期的なテストも重要だ。インシデント対処の計画がないとサイバー保険に加入できないことがある。インシデント対処の計画を策定しておけば、攻撃を受けた際に冷静に行動して被害を最小限に抑えられるようになる。サイバー保険に入るかどうかにかかわらず、インシデント対処の計画は策定しておくべきだ。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。