法規制やガイドラインにおける特権ID管理の規定
サイバー攻撃の脅威や内部不正などリスクから企業のシステムや機密情報を保護するためには適切なアクセス管理が必要です。
本記事では、特権アカウントの管理について、法規制や業界のガイドラインではどのような規定になっているかを整理してみます。
情報セキュリティ管理基準(経済産業省)
経済産業省が発行する情報セキュリティ管理基準は、情報技術(IT)の産業全般への浸透に伴い、各事業者における情報セキュリティの確保のため、企業に求められる対策をまとめたガイドラインです。
ISMS/ISO27001の要求事項をもとにまとめられており、国内における情報セキュリティ基準のスタンダードになっています。
| 9.2.3 | 特権的アクセス権の割当て及び利用は、制限し、管理する。 |
| 9.2.3.1 | 特権的アクセス権の割当ては、関連するアクセス制御方針に従って、正式な認可プロセスによって管理する。 |
| 9.2.3.2 | 特権の割当ての正式な認可プロセスでは、各々のシステム又はプロセス(例えば、オペレーティングシステム、データベース管理システム、各アプリケーション)に関連した特権的アクセス権、及び特権的アクセス権を割り当てる必要がある利用者を特定する。 |
| 9.2.3.4 | 特権の割当ての正式な認可プロセスでは、割り当てた全ての特権の認可プロセス及び記録を維持する。 |
| 9.2.3.5 | 特権の割当ての正式な認可プロセスでは、特権的アクセス権は、認可プロセスが完了するまで許可しない。 |
| 9.2.3.6 | 特権の割当ての正式な認可プロセスでは、特権的アクセス権の終了に関する要求事項を定める。 |
| 9.2.3.7 | 特権の割当ての正式な認可プロセスでは、特権的アクセス権は、通常業務に用いている利用者ID とは別の利用者ID に割り当てる。特権を与えられたID からは、通常業務を行わない。 |
| 9.2.3.8 | 特権の割当ての正式な認可プロセスでは、特権的アクセス権を与えられた利用者の力量がその職務に見合っていることを検証するために、その力量を定期的にレビューする。 |
| 9.2.3.9 | 特権の割当ての正式な認可プロセスでは、汎用の実務管理者ID の認可されていない使用を避けるため、システムの構成管理機能に応じて、具体的な手順を確立及び維持する。 |
| 9.2.3.10 | 特権の割当ての正式な認可プロセスでは、汎用の実務管理者ID に関しては、共有する場合に秘密認証情報の機密性を維持する(例えば、頻繁にパスワードを変更する、特権を与えられた利用者が離職する又は職務を変更する場合はできるだけ早くパスワードを変更する、特権を与えられた利用者の間で適切な方法でパスワードを伝達する。)。 |
| 9.2.5 | 資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューする。 |
| 9.2.5.4 | 特権的アクセス権の認可は、利用者のアクセス権より頻繁な間隔でレビューする。 |
| 9.2.5.5 | 特権の割当てを定められた間隔で点検して、認可されていない特権が取得されていないことを確認する。 |
| 9.2.5.6 | 特権アカウントを変更する際は、定期的なレビューのために変更ログをとる。 |
| 12.4.3 | システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューする。 |
| 12.4.3.1 | 特権を与えられた利用者(システムの実務管理者及び運用担当者)に関する責任追跡性を維持するために、その作業を記録する。 |
| 12.4.3.2 | 特権を与えられた利用者(システムの実務管理者及び運用担当者)に関する責任追跡性を維持するために、その利用者の作業のログを保護する。 |
| 12.4.3.3 | 特権を与えられた利用者(システムの実務管理者及び運用担当者)に関する責任追跡性を維持するために、その作業のログを定期的にレビューする。 |
システム管理基準 追補版(財務報告に係る IT 統制ガイダンス)
改正金融商品取引法における上場企業の内部統制の整備及び運用状況の有効性の評価・報告が義務付けられた、いわゆる「JSOX対応」における「ITへの対応」の部分に関し、「システム管理基準等」のガイドラインとの関連性を示したものです。
実質的には上場企業におけるJSOX法対応の一環であるIT統制に対する標準的な指針として位置づけられています。
| (2)システムの運用・管理 ① 運用管理 c. 運用の実施記録、ログの採取と保管 |
3-(2)-①-ヘ 情報システムで発生した問題を識別するために、システム運用の作業ログ・障害の内容ログ及び原因ログを記録し、保管すること。取得されたログは、内容が改ざんされないように保管することが望ましい。 |
| (3)内外からのアクセス管理等のシステムの安全性の確保 ② アクセス管理等のセキュリティ対策 a. アクセス制御 |
3-(3)-②-ホ 特権IDの付与にあたっては、担当者や利用期間を限定し、そのIDに対応する業務にのみ利用していること |
| b. パスワードの管理 | 3-(3)-②-ヘ パスワードの割当ては、アクセス手順にしたがって付与されること |
金融機関におけるコンピュータシステムの安全管理基準(FISC)
金融情報システムセンター(FISC)が業界自主基準として昭和60年に策定以来、改定を重ねてきた金融業界におけるITシステムの運用およびセキュリティ基準。金融庁におけるIT検査においても参照されており、実質的に金融機関におけるITシステムに対するガイドラインとして機能しています。
2022年12月に改訂された第10版では、27の統制基準、149の実務基準、136の設備基準、1の監査基準の全313の小項目で構成されています。
特に実務基準において特権IDの管理に関する内容が規定されています。
| 基準番号 | 基準中項目 | 基準小項目 | 内容 |
| 実1 | データ保護 | 他人に暗証番号・パスワード等を知られないための対策を講ずること。 | 暗証番号・パスワード等の漏洩防止のため、非表示、非印字等の必要な対策を講ずること。 |
| 実5 | データ保護 | ファイルに対するアクセス制御機能を設けること。 | 不正アクセス等からデータを保護するため、プログラムとファイル間のアクセス権限チェック機能等を設けること。 |
| 実8 | 不正使用防止 | 本人確認機能を設けること。 | 不正使用防止のため、業務内容、接続方法等に応じ、接続相手先が本人もしくは正当な端末であることを確認すること。 |
| 実9 | 不正使用防止 | ID の不正使用防止機能を設けること。 | 不正使用防止のため、システム、データ等へのアクセスに用いるID の不正使用防止機能を設けること。 |
| 実10 | 不正使用防止 | アクセス履歴を管理すること。 | アクセス状況を管理するため、システム及びデータへのアクセス履歴を取得し、監査証跡として必要期間保管するとともに定期的にチェックすること。 |
| 実14 | 外部ネットワークからの不正アクセス防止 | 外部ネットワークからの不正侵入防止策を講ずること。 | 不正侵入を防止するため、重要なデータ及びプログラムを扱うシステムについては、外部ネットワーク(オープンネットワーク、リモートアクセス等)と内部ネットワークの接続部分に適切な不正侵入防止策を講ずること。 |
| 実15 | 外部ネットワークからの不正アクセス防止 | 外部ネットワークからアクセス可能な接続機器は必要最小限にすること。 | 不正アクセスによるコンピュータシステムへの侵入を防ぐため、外部からアクセス可能な通信経路、通信関連機器等は最小限とし、不必要な機器は接続しないこと。 |
| 実16 | 不正検知策 | 不正アクセスの監視機能を設けること。 | 不正アクセスを早期に発見するため、アクセスの失敗及び不正アクセスを監視する機能を設けること。 |
| 実19 | 不正発生時の対応策 | 不正アクセスの発生に備えて対応策、復旧策を講じておくこと。 | 不正アクセスの拡大防止のため、対応策、復旧手順を明確にするとともに、不正アクセスが発生した場合は、原因を分析後、再発防止策を講ずること。 |
| 実25 | アクセス権限の管理 | 各種資源、システムへのアクセス権限を明確にすること。 | 無資格者によるアクセスを防止するため、コンピュータシステムと、システムの運用上及び業務上重要なファイルは、アクセス権限所有者を特定すること。 |
| 実26 | アクセス権限の管理 | パスワードが他人に知られないための措置を講じておくこと。 | パスワード等の漏洩防止のため、他人に知られないための注意喚起等の措置を講じておくこと。 |
| 実27 | アクセス権限の管理 | 各種資源、システムへのアクセス権限の付与、見直し手続きを明確にすること。 |
各種資源、システムへのアクセスを管理するため、アクセス権限を与えるにあたってその手続きを明確に定めること。さらに、アクセス権限を適切に保つため、見直しの手続きを明確にすること。 |
| 実38 | オペレーション管理 | オペレーションの記録、確認を行うこと。 | オペレーションの正当性を検証するため、オペレーションの記録、確認を行うこと。 |
| 実42 | ネットワーク設定情報管理 | ネットワークの設定情報の管理を行うこと。 | 3.ルータ等へのアクセスについては、ID・パスワード等による保護、アクセス履歴を管理するなどの不正アクセス対策が必要である。 |
| 実146 | テレワーク | テレワークにおける利用者認証及びアクセス制御に関する対策を講ずること。 | 不正なアクセスを防止するため、テレワークにおいても、情報システムにアクセスするためのアカウント管理や認証、認可に関する対策を講ずること。 |
PCI DSS(クレジットカード 業界セキュリティ基準)
PCI DSS は、 国際カードブランド団体(PCI SSC) によって定められた、カード会員データを保護するためのシステムインフラのセキュリティ対策基準であり、以下の12の要件によって構成されています。 国内では、日本クレジット協会が、加盟するカード会社や加盟店に対し、本基準を準拠する自主期限を設定し、安全なクレジットカードの利用環境の普及に努めています。
また、2022年4月に約8年ぶりのメジャーバージョンアップとなるv4.0が発表され、よりセキュアな対応が求められることになりました。
| 安全なネットワークとシステムの構築と維持 | 1. ネットワークのセキュリティコントロールを導入し、維持します。 2. すべてのシステムコンポーネントに安全な設定を適用します。 |
| アカウントデータの保護 | 3. 保存されたアカウントデータを保護します。 4. オープンな公共ネットワークでカード会員データを伝送する場合、強力な暗号化技術でカード会員データを保護します。 脆弱性管理プログラムの維持 5. すべてのシステムとネットワークを悪意のあるソフトウェアから保護します。 6. 安全性の高いシステムおよびソフトウェアを開発し、保守します。 |
| 強力なアクセス制御手法の導入 | 7. システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲に制限します。 8. ユーザを識別し、システムコンポーネントへのアクセスを認証します。 9. カード会員データへの物理的なアクセスを制限します。 |
| ネットワークの定期的な監視およびテスト | 10. システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し、監視します。 11. システムおよびネットワークのセキュリティを定期的にテストします。 |
| 情報セキュリティポリシーの整備 | 12. 事業体のポリシーとプログラムにより、情報セキュリティを維持します。 |
特権IDについては、要件7、8といったアクセス制御、アクセス者の識別といった基準において一般のアカウントとは別に厳しい管理方法が規定されているとともに、要件10のアクセス内容の追跡・監視についても対象となっています。
| 7.1 | 業務上知る必要のあるシステムコンポーネントおよびカード会員データへのアクセスを制限するためのプロセスおよびメカニズムが定義され、理解されている。 |
| 7.2 | システムコンポーネントやデータへのアクセスが適切に定義され、割り当てられている。 |
| 7.3 | システムコンポーネントおよびデータへの論理的なアクセスは、アクセス制御システムを介して管理される。 |
| 8.1 | ユーザを識別し、システムコンポーネントへのアクセスを認証するためのプロセスおよびメカニズムが定義され、理解されている。 |
| 8.2 | ユーザおよび管理者のユーザ識別および関連するアカウントは、アカウントのライフサイクルを通じて厳密に管理されている。 |
| 8.3 | 利用者および管理者の強力な認証が確立され、管理されている。 |
| 8.4 | カード会員データ環境(CDE)へのアクセスを保護するために、多要素認証(MFA)を導入している。 |
| 8.5 | 多要素認証(MFA)システムが、悪用を防ぐために設定されている。 |
| 8.6 | アプリケーションおよびシステムアカウントの使用および関連する認証要素は厳重に管理されている。 |
| 10.1 | システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視するためのプロセスおよびメカニズムが定義され、文書化されている。 |
| 10.2 | 異常や疑わしい活動の検出および、イベントのフォレンジック分析をサポートするために、監査ログが実装されている。 |
| 10.3 | 監査ログは、破壊や不正な改ざんから保護されている。 |
| 10.4 | 監査ログは、異常または疑わしい活動を特定するためにレビューされる。 |
| 10.5 | 監査ログの履歴は保持され、分析に利用できる。 |
| 10.6 | 時間同期メカニズムが、すべてのシステムで一貫した時間設定をサポートしている。 |
| 10.7 | 重要なセキュリティ管理システムの障害を迅速に検知し、報告し、対応する。 |
こちらの記事では認証にかかわる要件8を中心に、影響の大きい変更点とv4.0の移行スケジュールについて解説しています。
ぜひご参考ください。
まとめ
以上のように、様々なガイドライン・業界基準で特権ID管理の具体的な内容が規定されており、特権IDの性質上、その管理不備によるリスク要因の大きさを認識いただけることと思います。総じて規定されている内容には、大きく以下の4つのポイントが盛り込まれていることがわかります。
- 利用機会や使用する権限の最小化
- 利用者の識別
- アクセスログや利用内容の証跡確保
- 定期的な点検
しかし、これらの管理プロセスを実運用に当てはめる場合、様々な問題に直面します。
こちらの記事ではガイドラインや業界基準を見ただけではわからない特権ID管理のポイントや、実運用を考慮した上でのベストプラクティスを解説しています。ぜひご参考ください。
特権ID管理ツールならESS AdminONE
弊社エンカレッジ・テクノロジでは、特権ID管理ツール「ESS AdminONE(イーエスエス アドミンワン)」を開発・販売しています。
ESS AdminONEは、特権ID管理に求められる申請/承認ベースのID貸与、アクセス制御、ログの保存・点検といった基本機能を網羅しているだけでなく、DX時代に必要な機能・特長を押さえた次世代型の特権ID管理製品です。
本製品1つで、特権IDのあるべき管理プロセスの実現し、内外のセキュリティ脅威からシステムを保護します。
