通信暗号化の為に必須となる特権IDの管理とアクセス監視の強化及びその自動化(下)

2013年2月1日8:00

通信暗号化の為に必須となる特権IDの管理とアクセス監視の強化及びその自動化(下)

ディアイティ

非インタラクティブ方式の問題点を解決する
SSHの「Universal SSH key manager」

非インタラクティブな方式ではクレデンシャルとしてパスワードの代わりに例えば公開/秘密鍵を使用し、ユーザーのIDを証明します。この方式は手動プロセスおよびほとんどの自動化プロセスで使用され、自動化プロセスの場合アプリケーションの認証に利用されます。さらに、秘密鍵はパスフレーズで保護することができ、これにより二要素認証を行うことが可能です。

公開鍵方式のメリットとしては、認証を公開秘密鍵で行いますので、クレデンシャルとしてのセキュリティーレベルがパスワードと比較して高く又ユーザーはIDとパスワードを覚える必要がないということが言えます。しかし、特権ID保持者が公開鍵を他の機器にコピーして、そこから重要なサーバにアクセスするという問題が残ります。更に、非インタラクティブ方式を利用するシステムの場合はファイルの転送も多く発生しますのでトラフィックが大きくなります。

Universal SSH key manager製品仕様

公開鍵認証方式は便利でセキュアでありながら、どこに誰がアクセスできるかという可視性を失うという問題が発生しやすく、又トラフィックが大きく帯域の問題が発生する為、インタラクティブ方式の様に一か所にゲートを設け必ずそこを通過するという方法をとれないという問題が挙げられます。なぜこのような問題が発生するかというと、本方式はメッシュ形式で各コンピューターが接続されるため鍵及び信頼関係の棚卸が困難でかつ新たな鍵および信頼関係を作成する手順が複雑でありかつ手作業だからです。また、鍵の更新と削除はさらに複雑で時間がかかります。なぜなら不用意に鍵を削除更新した場合、一連の業務がストップしてしまう可能性が高い為です。さらに、移動や合併などで環境が変われば、さらなる鍵の運用の要求が高まります。

例えば、海外の大手金融機関にインタビューしたところ3社は400万ドルにも及ぶコストがかかっているとの回答を得ています。

対策として、同社の「Universal SSH key manager」を使うことで、そういった鍵を既存環境の設定変更なしで自動的に集約(棚卸)でき、それを管理できる形でリスト化できます。本製品は環境内の全ての公開秘密鍵をスキャンしまた、スキャンした鍵を承認ルールにマップし、未承認鍵は自動的に失効または削除できます。さらに、どのユーザーが最終的にどのサーバにアクセス可能かの信頼関係を作成し、可視化できます。なおかつ、ポリシーが強制できます。環境内のすべての鍵をスキャンし、鍵のユーザー等や信頼関係の情報も併せてリスト化できます。また、遷移的であっても定期的にスキャンがかかりますので、リストはいつでも更新が可能です。複雑な設定は収集した情報を基に鍵管理システムが実行し、公開鍵の作成から管理まで中央で一元管理できるのです。これにより、承認ポリシーも簡単に強制することができます。

ID管理をポリシーにしたがい実施するには?
労働集約的な管理の自動化でセキュリティを向上

Dit特権ID管理ソリューション

まとめとして、ID管理をポリシーにしたがい実施するためには、いずれにせよ企業ポリシーをどれだけ厳格に適用できるかが重要となります。ID管理は労働集約的であり人手がかかるためこれを解決するにはまず、「すべての特権IDを可視化する」、「各自に一意のIDを割り当てる」、「アクセス権管理とその強制」、「クレデンシャルのタイムリーな付与、削除」、「充分セキュリティが維持できる期間でのクレデンシャルの更新」、「監査のための最新資料の提供」といったことを中央で行えるようにしなければなりません。なおかつ、これを間違いなく、より速やかに、より少ない人員で実行するには、自動化が重要です。これを実現することにより、セキュアな特権ID管理が実現できるでしょう。

※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」の株式会社ディアイティ ネットワークソリューション事業部セキュリティプロダクト担当 部長 梶 一俊氏 (CISSP)の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
〒 135-0016
東京都江東区東陽三丁目23番21号
プレミア東陽町ビル
株式会社ディアイティ
URL: http://www.dit.co.jp/
TEL: 03-5634-7651

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP