2013年2月1日8:00
通信暗号化の為に必須となる特権IDの管理とアクセス監視の強化及びその自動化(下)
ディアイティ
非インタラクティブ方式の問題点を解決する
SSHの「Universal SSH key manager」
非インタラクティブな方式ではクレデンシャルとしてパスワードの代わりに例えば公開/秘密鍵を使用し、ユーザーのIDを証明します。この方式は手動プロセスおよびほとんどの自動化プロセスで使用され、自動化プロセスの場合アプリケーションの認証に利用されます。さらに、秘密鍵はパスフレーズで保護することができ、これにより二要素認証を行うことが可能です。
公開鍵方式のメリットとしては、認証を公開秘密鍵で行いますので、クレデンシャルとしてのセキュリティーレベルがパスワードと比較して高く又ユーザーはIDとパスワードを覚える必要がないということが言えます。しかし、特権ID保持者が公開鍵を他の機器にコピーして、そこから重要なサーバにアクセスするという問題が残ります。更に、非インタラクティブ方式を利用するシステムの場合はファイルの転送も多く発生しますのでトラフィックが大きくなります。
公開鍵認証方式は便利でセキュアでありながら、どこに誰がアクセスできるかという可視性を失うという問題が発生しやすく、又トラフィックが大きく帯域の問題が発生する為、インタラクティブ方式の様に一か所にゲートを設け必ずそこを通過するという方法をとれないという問題が挙げられます。なぜこのような問題が発生するかというと、本方式はメッシュ形式で各コンピューターが接続されるため鍵及び信頼関係の棚卸が困難でかつ新たな鍵および信頼関係を作成する手順が複雑でありかつ手作業だからです。また、鍵の更新と削除はさらに複雑で時間がかかります。なぜなら不用意に鍵を削除更新した場合、一連の業務がストップしてしまう可能性が高い為です。さらに、移動や合併などで環境が変われば、さらなる鍵の運用の要求が高まります。
例えば、海外の大手金融機関にインタビューしたところ3社は400万ドルにも及ぶコストがかかっているとの回答を得ています。
対策として、同社の「Universal SSH key manager」を使うことで、そういった鍵を既存環境の設定変更なしで自動的に集約(棚卸)でき、それを管理できる形でリスト化できます。本製品は環境内の全ての公開秘密鍵をスキャンしまた、スキャンした鍵を承認ルールにマップし、未承認鍵は自動的に失効または削除できます。さらに、どのユーザーが最終的にどのサーバにアクセス可能かの信頼関係を作成し、可視化できます。なおかつ、ポリシーが強制できます。環境内のすべての鍵をスキャンし、鍵のユーザー等や信頼関係の情報も併せてリスト化できます。また、遷移的であっても定期的にスキャンがかかりますので、リストはいつでも更新が可能です。複雑な設定は収集した情報を基に鍵管理システムが実行し、公開鍵の作成から管理まで中央で一元管理できるのです。これにより、承認ポリシーも簡単に強制することができます。
ID管理をポリシーにしたがい実施するには?
労働集約的な管理の自動化でセキュリティを向上
まとめとして、ID管理をポリシーにしたがい実施するためには、いずれにせよ企業ポリシーをどれだけ厳格に適用できるかが重要となります。ID管理は労働集約的であり人手がかかるためこれを解決するにはまず、「すべての特権IDを可視化する」、「各自に一意のIDを割り当てる」、「アクセス権管理とその強制」、「クレデンシャルのタイムリーな付与、削除」、「充分セキュリティが維持できる期間でのクレデンシャルの更新」、「監査のための最新資料の提供」といったことを中央で行えるようにしなければなりません。なおかつ、これを間違いなく、より速やかに、より少ない人員で実行するには、自動化が重要です。これを実現することにより、セキュアな特権ID管理が実現できるでしょう。
※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」の株式会社ディアイティ ネットワークソリューション事業部セキュリティプロダクト担当 部長 梶 一俊氏 (CISSP)の講演をベースに加筆を加え、紹介しています。
■お問い合わせ先〒 135-0016
東京都江東区東陽三丁目23番21号
プレミア東陽町ビル
株式会社ディアイティ
URL: http://www.dit.co.jp/
TEL: 03-5634-7651
