特権IDとパスワードの効果的な運用

2010年11月4日(木)
セキュリティプロダクトチーム

1. 企業が説明責任を求められる時代

企業は現在、情報セキュリティだけでなく、内部統制や会計監査において、証跡による説明責任を求められています。具体的には、J-SOXやPCI DSSなどの基準への準拠や会計監査の場面で、従来の紙ベースの証跡に加えて、情報システムの証跡の提出が要求されています。

しかも、これらのセキュリティ要求を、情報システム管理者の負担を大きく増大させることなく、また、ネットワークを再構築することなく満たすことが求められています。

本連載では、こうした状況を踏まえ、現状のネットワークを利用しながら安全にデータを保全するための方法や、確固たるアクセス証跡やトランザクション証跡を取得するための製品サービスについて解説します。連載全4回の構成は、以下の通りです。

  • 第1回: 特権IDとパスワードの効果的な運用
  • 第2回: 暗号化された管理者アクセスの監査
  • 第3回: 組織ネットワーク間通信の記録
  • 第4回: ネットワーク上の通信を完全保存

これらを実現する製品サービスを導入することにより、監査時の迅速な調査が可能になり、同時に、不正アクセスや情報漏えいの抑止効果になると考えています。

2. パスワード管理の重要性と特権ID

現在では、銀行などの金融機関のサービスをインターネット経由で利用するのが当たり前になりました。では、実際にこれらのサービスを利用する際に、Webのログイン・ページに使われるパスワードを定期的に変更しているでしょうか。

パスワードを変更していない人は、その人が管理している会社のサーバーにおいても、似たような、ひょっとしたら同じパスワードを設定しているかも知れません。

システムを利用する際の認証方式として、最も普及しており、かつ基本的な方法は、パスワードです。実は、最近のセキュリティ事故の大半は、パスワードの漏えいによるものだということが分かっており、さまざまな調査機関の調査結果からも、それは明らかです。これらの事故のほとんどは、パスワードをきちんと変更していれば防げたかも知れません。

また、退職者や異動したユーザーのIDとパスワードが不正に利用されるケースもあります。この場合、不正に利用されたIDやパスワード自体は、正規のものです。このため、IDとパスワードが利用されても、内部の者か外部の者かといった区別は、サーバー・システムには分かりません。

以下は、特にパスワードについて、利用者が講ずべき措置として挙げられているものです。

  • パスワードを定期的に変更する
  • 自己のIDの一時利用を他人に認めた時は、その利用が終了したらパスワードを即座に変更する
  • パスワードはIDと同じにしない
  • IDの一部を使ったパスワードは使わない
  • パスワードの推測が容易なものは避ける
  • 複数のサイトで同じパスワードを使用しない

ご存じのとおり、セキュリティを強固にすることと、利便性の向上は、相反します。一般利用者のパスワードを保護し、パスワードの管理を容易にする製品サービスは、これまでも数多く存在してきました。では、システムの管理者アカウントとパスワードについては、どうでしょうか。

ここまで語ってきたパスワードは、いわゆる一般ユーザーを対象としたものです。これらを管理するための統合型のID管理製品は、既に多く存在します。実際、皆さんが日ごろ利用しているパソコンのパスワードは、定期的に変更するように通知されたり、文字数の条件があったりするなど、システムによって設定されていることでしょう。では、システムの管理者アカウントのパスワードは、誰が所有しており、パスワードはどのように変えられているのでしょうか。

Windowsには、Administratorと呼ばれる名称の管理者が、デフォルトで存在します。UNIXには、rootアカウントが存在します。これらは、特権IDです。管理者アカウントと呼び変えてもいいでしょう。これまでも、特権IDを管理することの重要性は認識されていましたが、次のような理由から、長い間放置されていました。

  • "Administrator"や"root"など、ベンダーによってID名が固定されている
  • 自分だけが利用しているのではなく、複数の人によって共有されている
  • 一時的に外部の人間に利用を許可しているかも知れない
  • アプリケーションの中に認証情報が入っているかもしれない
  • 要(かなめ)のアカウントなので、いったんセットアップした後は安易に変更できない

特権IDは、スーパーユーザーとしての権限があるので、一般ユーザーを管理・監督できます。では、特権IDそのものは、誰が管理するのでしょうか。

このような疑問から、重要な権限をもつ特権IDを管理する必要性が叫ばれるようになりました。ここでは、特権ID管理のことを、英語で「Privileged Identity Management」、略してPIMと呼びます。次ページ以降では、PIMを可能にする製品サービスを、実際のイメージとともに紹介します。

著者
セキュリティプロダクトチーム
株式会社ディアイティ

ディアイティでは、ネットワークおよびセキュリティにおける幅広いソリューションを提供しています。IT環境の変化に対応するため、技術チームはそれぞれが担当する分野の研究、検証を行っており、先進的な製品開発と柔軟なサービスの提供に努めています。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています