はじめに
第1回では、ミラクル・リナックス株式会社の石井さんに、個人情報保護法について説明していただきました。そして、従来のOSでは解決できない問題を紹介していただき、ご理解いただけたかと思います。
今回は、従来のOSの問題点、セキュアOSの基本やしくみ、個人情報保護に対する効果について、さらに詳しく説明したいと思います。
従来のOSの問題
前回ご紹介いただいたように、「2. 個人データへのアクセス制御」を徹底する上で、従来のOSでは解決できないのが特権ユーザの問題です。
特権ユーザの強力すぎる権限
特権ユーザには、システム上のすべての権限が集中しています。ファイルを含めたすべてのリ ソースに対し、無制限にアクセスすることができます。Windows系のOSの場合では、セキュリティポリシーによってある程度の権限を設定することが可 能です。しかし、特権ユーザであれば、このセキュリティポリシー自体の変更が可能なため、実質的には制限がかけられないのと同じです。
個人情報保護法においては、個人情報へのアクセス権限は必要最小限の権限を与えることが望まれています。そのため、特権ユーザのような無制限な権限が存在すること自体、個人情報保護法の考え方と相反するものです。
システム管理者と特権ユーザ
ほとんどのシステムでは、システム管理者は特権ユーザとなっているでしょう。たとえ個人情報の入ったファイルに対して、アプリケーションレベルやOSレベルでアクセス権限設定を施したとしても、システム管理者には無意味です。
本来システム管理という役割を考えれば、個人情報などのデータを格納しているファイルに対して、中身の参照や変更が可能である必要はありません。必 要なアクセスがあるとすれば、バックアップとリストアのみのはずです。ですから、個人情報保護法の考え方にしたがえば、バックアップやリストアを行う役割 の人のみに、必要な権限のみを与えるべきです。
特権ユーザのリスク
特権ユーザというシステムの存在によって、様々なリスクが生まれます。
1つは、特権ユーザであるシステム管理者が不正を行うリスクです。前回の話にもありましたが、システム管理者を絶対的なものとして信頼することにはリスクがあります。
もう1つのリスクは、特権ユーザ権限を奪った攻撃者による不正です。システム管理者については、信頼できる人に権限を与えるため、不正のリスクが小 さいと考えることも可能です。しかし、攻撃者は不正を行う目的で権限を奪うのですから、よりリスクが大きいといえるでしょう。
さらに、特権ユーザ権限ではログの改ざんや消去が可能です。このため、システム管理者の不正や、特権ユーザ権限を奪った攻撃者の不正を監査するためにログを利用することはできません。
従来のOSと特権ユーザ
このように、特権ユーザの存在自体に問題がありますし、システム管理者に特権ユーザ権限を与えることにも問題があります。
しかし、従来のOSは特権ユーザの存在を前提として構築されています。したがって、特権ユーザを消してしまうことはできません。また、特権ユーザで なければできない操作や処理が数多く存在します。システム管理に必要な権限の中には、特権ユーザしか持っていない権限も多いため、従来のOSではシステム 管理者に特権ユーザの権限を与えるしかありません。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
