2013年1月31日8:00
通信暗号化の為に必須となる特権IDの管理とアクセス監視の強化及びその自動化(上)
ディアイティ
通信の暗号化によるセキュリティ向上に対応するソリューションが不足している場合、運用管理の負荷の増大だけでなく、セキュリティリスクを増加させることにもつながります。ディアイティでは、これらを自動化し通信暗号化の際に必要なIDの管理とアクセス監視を行うソリューションとしてSSH Communication Securityの「Universal SSH Key Manager」とCyber-Ark Softwareの「PIM Enterprise Suite」といった製品を展開しています。
クレデンシャルに関連するリスクが顕著に
特権アカウント検出やポリシー強制が必要
ディアイティは、安心・安全なネットワーク社会の実現をモットーに、製品・サービスの構築やコンサルティングを行っています。各種セキュリティ団体に会員・幹事会社として参画しており、そこでの知見を製品選択やソリューションの展開に役立てています。
弊社ではSSH Communication SecurityやCyber-Ark Softwareの製品を扱っていますが、通信の暗号化や特権IDの管理に関しては、世界的に見ても著名でユニークな製品を展開しています。
まず、通信暗号化のために必要となる特権IDのクレデンシャル管理の強化およびその自動化についての現状から説明します。通信をセキュアにするために、セグメント化や暗号化を実施している企業は多いと思いますが、それに伴いID、パスワード、公開鍵、秘密鍵等のクレデンシャルを保護・強化しなければなりません。その理由として、近年の多くの情報漏洩はID、パスワード、それに準じるクレデンシャルを盗まれたり、もしくは悪用されて発生しているからに他なりません。また、その管理は想像以上に難しいのが実情です。
ID管理における要求として、「IT Government Framework」である「COBIT」のDS5.3や5.4でIDのアカウントの管理が求められています。また、「COBIT」は、日本やアメリカで企業の内部ポリシーに使われるようなセキュリティの拠り所になる要件が記載されています。ISMSのベースとなるISO27001‐1のA12.3.2、14.2.Xなどでは、ID監視の重要性が求められています。また、政府および国家レベルのセキュリティポリシーでも要求されています。当然、ペイメントカードのセキュリティ基準である「PCI DSS」でも要件2、要件7、要件8で、ID管理について規定されています。
特権ID管理とは、高い権限を持つIDおよびそのパスワードをセキュアに管理することです。また、特権IDを利用する管理者の管理アクセス、重要なデータにアクセスできる要員もしくはアプリケーションはこれに準じ取り扱う必要があります。例えばこれは、クレジットカードデータの場合、重要なデータはプログラムが自動で送受信を行い、アプリケーションで何某かの処理を加えている場合が多いためです。クレジットカードデータにアクセスできる人の管理は常にセキュアに保つ必要があり、データに触れることができるクレデンシャルも特権IDに準じる必要があります。認証は、インタラクティブな認証と非インタラクティブな認証方式の大きく2つの方式に分けられます。インタラクティブな方式は人が介在する認証で、非インタラクティブな方式はプログラムなどにより自動で行われる認証が主になります。この2つを考慮に入れながらID、パスワードなどのクレデンシャルの保護を考える必要があります。
そのためには、まずID管理のポリシーが文書化されていることが重要です。それをベースに特権ユーザーおよびそのアクセスがポリシーにしたがい管理されていること、クレデンシャルは一意であることがコンプライアンスとして求められます。また、アクセス管理の承認手続きがポリシー通りに実行されていること、IDの追加・変更・削除・定期更新などが適切に行えることが大事になります。また、これらを中央で管理する必要があります。
管理されていないクレデンシャルには数多くのリスクがありますが、そのような問題を解決するためには、すべての特権アカウントを調べ上げる必要があります。いわゆる特権IDの棚卸です。また、集められた情報はセキュアに管理できるシステムを構築することや、ポリシーが適用できるようにしなければいけません。さらに、それらを整えたうえで監査を基に改善ができることが重要です。
特権IDを一元管理し、パスワードを自動変更
PIM Enterprise Suiteでパスワードポリシーの遵守
インタラクティブ方式のIDパスワード管理の問題点として、まず特権IDを複数のユーザーで共有していることが挙げられます。これはPCI DSSの要件でも禁止されています。なぜなら責任が不明確になるため何かが発生した場合に原因の判明が曖昧になる為です。又企業ネットワークの中には多くのサーバやネットワークデバイスがありますが、それぞれ特権IDがデフォルトの設定になっていることも多く見うけられます。これもPCI DSSの要件2で禁止事項となっています。それ以外に、IDとパスワードがプログラムやアプリケーションに組み込まれている場合は、これを容易には変更できないため長期にわたり同じIDとパスワードを使い続けることになります。企業にはたくさんのIT機器がありますので、それらをすべて管理しなければならないのは言うまでもありませんがこれらの問題も同時に解決する必要があります。
その管理方法ですが、基本的には社内に散在しているIDとパスワードを集約することが必要です。Cyber-Ark では、パスワードとIDを一カ所に集約し、自動化することが可能です。また、パスワードポリシーにしたがったパスワードの自動変更、手動による一括変更を行うことにより、各システムのばらつきを解消し、組織全体のセキュリティを向上することが可能です。
例えば、各特権ID所有者がそれぞれのサーバに特権IDを持っている場合、パスワードの定期的な変更は管理人が行います。その際に代理サーバを導入することで、通過する経路が一元化され、認証のレベルが上がります。
Cyber-Ark Software の「PIM Enterprise Suite」では、システム管理者が代理サーバにアクセスし、その下のデバイスは代理サーバが制御する仕組みを容易に構築することが可能です。具体的にはシステム管理者からは代理サーバ配下にあるサーバ群のIDやパスワードは分からず、代理サーバが管理下のサーバ群のアカウントのパスワードを自動的に変更する仕組みをつくります。この場合システム管理者はまず代理サーバにログインすることになりますが、中央で管理しているため、その代理サーバに指定されたIDとパスワードでログインした人にはどのサーバにアクセスできるかというリスト形式画面が表示されるようになっています。その中からログインしたいサーバを選択すれば、直接アクセスできる仕組みです。ID管理者は、デバイスのIDとパスワードをすべて中央の代理サーバで管理することができ、更にデバイスのIDとパスワードは自動的に定期的に変更されます。アクセス可能な各サーバがアクセスリストとして画面に一覧表示されますので、覚えるIDとパスワードは1つで済みます。ID管理者は数多くのIDとパスワードを記憶する必要がなくなり効率よくセキュアに作業を行うことです。
※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」の株式会社ディアイティ ネットワークソリューション事業部セキュリティプロダクト担当 部長 梶 一俊氏 (CISSP)の講演をベースに加筆を加え、紹介しています。
〒 135-0016
東京都江東区東陽三丁目23番21号
プレミア東陽町ビル
株式会社ディアイティ
URL: http://www.dit.co.jp/
TEL: 03-5634-7651