押さえておきたい、DX時代ならではの特権ID管理の要件
DX(デジタルトランスフォーメーション)時代に突入した今、特権ID管理に求められる要件がどのように変わってくるか、3回に分けて解説してまいりました。今回は、総まとめです。
これまでのコラムはこちらから⇒ 「DXがもたらした特権ID管理の3つの変化 ~クラウド編~」
「DXがもたらした特権ID管理の3つの変化 ~セキュリティ脅威編~」
「DXがもたらした特権ID管理の3つの変化 ~システム数の増加編~」
DXがもたらしたシステム環境の変化
下表は、前回までに解説したシステム環境の変化について内容をまとめたものとなります。
| 比較項目 | これまでのシステム環境 | DX時代のシステム環境 |
| セキュリティリスク要因 | ・内部不正対策 | ⇒内部不正対策 ⇒外部からのサイバーセキュリティ対策 |
| 対策を講じる目的 | ・法の要請、認証取得など | ⇒法の要請・認証取得に加え、セキュリティ侵害による実害の阻止 |
| 対象システムの範囲 | ・法の要請や認証取得で規定されたシステム ・オンプレミス上の基幹システムが中心 |
⇒システムの重要性によって対象とすべきシステムが決まる クラウド・SaaS・ネットワーク機器・IoT機器なども対象 |
| システム稼働環境 | ・オンプレミス上のシステムがほとんど | ⇒クラウド・オンプレなど様々な稼働環境にまたがったハイブリッドな環境 |
| システムを利用するユーザー | ・人 | ⇒システム連携やRPAが特権を使用するケースも想定される |
DX時代に求められる特権ID管理の要件
このような環境変化に伴い、特権ID管理に対する要件は変化が生じてきています。
これまで一定の対策を講じてきたお客様においても、再度以下にあげる観点での対応状況の見直しを検討されることを推奨いたします。
ゼロトラスト環境を前提とした考え方に基づくアクセス制御の仕組みになっていること
特権IDを取り巻く脅威は内部不正だけではなく、外部からのサイバー攻撃に対する内部対策としての必要性が高まっています。攻撃手法が非常に巧妙化したことにより、侵入を完全に防ぐことが困難になっているからです。
また、対象のシステムがクラウド上に置かれていたり、システム管理業務のアクセス環境も社内・リモート(在宅含む)と多様化しています。
これらを踏まえると、ファイアウォールのような境界線での防御策を施し、その内部からのアクセスであれば安全で信頼できるアクセスであるという判断は難しい状況です。様々な要因を総合的に判断して正規アクセスであること確認する、いわゆる「ゼロトラスト」を前提としたアクセス制御の考え方に基づく必要があります。
チェックポイント
- サイバー攻撃によって特権IDを不正使用されている前提で、その兆候を検知したり、ログを検査していたりしていますか?
- 逆に特権IDは社内の規定場所からしか使用できない仕組み・ルールとなっており、テレワークなどシステム管理部員の働き方の柔軟性に制約をきたしていませんか?
管理対象のシステムは、従来型の対象システムに加え、クラウド・SaaS・ネットワーク機器・IoT機器なども含まれること
従来の特権ID管理の対象は、システムが稼働するオペレーティングシステムや、データを格納しているデータベースのアカウントが中心の考え方でした。しかしシステムを取り巻く環境が変化し、クラウドサービスやアプリケーションレイヤーの管理者権限についても、管理不備のリスク要因を考える上では、管理が必要となっています。
クラウドサービス(IaaS)を利用する場合には、「クラウド基盤の管理者権限」という新しい管理レイヤーが存在することになります。この管理不備がシステムの基盤に多大な影響をおよぼすことから管理の必要性が高まっています。
また、ネットワーク機器やIoT機器の管理者IDのパスワードを出荷時のものからすべて変更し、かつ変更されたパスワードを安全に保管するためのしくみも求められています。
チェックポイント
- システム更改・新規採用システムに合わせて管理が必要となる特権IDの見直しを適切に行っていますか?
- 仮想基盤、クラウド(IaaS)管理、IoT機器など、OSやDB以外にも管理者アカウントが存在しその管理不備がリスクになる点を踏まえ必要な対策を講じていますか?
人による特権ID使用だけではなく、ロボット(RPA)やシステム連携の際に利用される特権の管理ができること
DX時代のシステム管理は、人による作業だけではなく、RPAやシステム間連携によって自動化されていきます。
そのため特権ID管理に求められる要件としては、特権IDを人に貸与することだけではなく、RPAやシステム間連携によって自動化されるシステム管理処理において必要な特権IDを安全に管理できることが要件として望まれます。
チェックポイント
- RPAやシステム監視ツールなどに、管理対象・操作対象システムの資格情報(ID・パスワード)を直接埋め込んで使用していませんか?
- 埋め込んだ資格情報は、不正に使用されないよう難読化処理するなどして、安全性の対処を施していますか?埋め込みアカウントが目的外に不正に使用されていないか、ログ検査などで確認していますか?
特権ID管理ツールならESS AdminONE
弊社エンカレッジ・テクノロジでは、特権ID管理ツール「ESS AdminONE(イーエスエス アドミンワン)」を開発・販売しています。
ESS AdminONEは、特権ID管理に求められる申請/承認ベースのID貸与、アクセス制御、ログの保存・点検といった基本機能を網羅しているだけでなく、DX時代に必要な機能・特長を押さえた次世代型の特権ID管理製品です。
本製品1つで、特権IDのあるべき管理プロセスの実現し、内外のセキュリティ脅威からシステムを保護します。
