2026年 最低限これだけは実施すべきランサムウェア対策 (4)
昨今、被害が急増するランサムウェア攻撃。2026年は、ランサムウェアなどサイバー攻撃に対する耐性を高め、安心してITを利用できるようにすることが重要な年にしていくために、講じるべき対策・具体的な運用方法について、連載形式でお届けしています。
最終回となる今回は、特権アカウントのログ点検について触れてまいります。
これまでのおさらい
これまでの連載記事では、ランサムウェア攻撃から防御の秘訣として、主に特権アカウントの管理・運用の在り方についてご説明してまいりました。具体的には以下について説明してまいりました。
(1) 一般権限との分離、常用をさけること
(2) 管理の複雑化を招かないようにする方法
(3) 多要素認証の設定のポイント
(4) 個人の識別と特権アカウントによるサーバー認証の役割
前回までの記事
特権アカウントのログ点検の必要性
どのようなセキュリティ対策においても、リスクを完全になくすことは難しいのが現実です。そのため、予防的な取り組みだけではなく、点検などの発見的な取り組みを合わせて実施することが重要です。
特に特権アカウントは、その権限の高さ故、仮にアカウントが奪取されてしまった場合、予防的な仕組みが無効化されてしまうことも想定しなければなりません。
先日発生したランサムウェア被害では、エンドポイントに導入されていたEDRが無効化され、端末におけるマルウェア感染の検知が行えなかったことが明らかになっています。
発見的な取り組みの中で最も有効なものが、システムのアクセスログを確認し、不審なアクセスがなかったかどうかを点検すること、すなわちログ点検を行うこととなります。
ログ点検は、予防的な対策を何らかの形ですり抜けた不正アクセスを発見するためだけではなく、整備した予防的な取り組みが有効に機能していることを確認するという意味で、必要性が高い対策です。
特権アカウントのログ点検の検討課題
特権アカウントのログ点検を実行する上で、考慮しなければならない検討課題がいくつかあります。
- 正常なアクセスと不正アクセスとの識別方法
これまでの被害事例でも判明しているのは、攻撃者は特権アカウントを奪取すると、システム運用管理を行う正規作業者と同じアクセス方法を使って重要システムへの侵入を試みます。具体的にはWindows系のシステムに対しては、リモートデスクトップ(RDP)と呼ばれるサーバーのデスクトップにリモートで接続する仕組みやPowerShellというコマンド操作のインターフェイス、LinuxにおいてはSSHというリモートコマンドの通信などです。
つまり、利用するプロトコルなどでは識別が難しい前提において、どのように不正アクセスがあったかを識別する方法を検討する必要があります。 - ログは証拠隠滅のため消去の可能性を考慮
攻撃者が特権アカウントを奪ってシステムに不正侵入した場合、その行為を隠し不正発見を遅らせるために、システムに記録されるログ自体を消去してしまう可能性があります。
奪ったアカウントが高権限であることから、そういった行為も可能になってしまうため、点検のためのログが保全される仕組みを検討する必要があります。 - 大量のシステムに散在するログを集約して点検
ランサムウェア攻撃から守るべきシステムが大量に存在する場合、点検対象のログが各システム内に分散して保存されると、ログが漏れなく収集できているか・網羅的に収集できているかを確認する作業自体が大きな負担となります。
つまり、散在するログを如何に網羅的に収集できるかが3つの目の検討課題です。
特権アカウントログ点検のベストプラクティス
上記のような課題を考慮しつつ、特権アカウントのログ点検のベストな方法は以下の通りです。
- ログは各システム内で保持するのではなく集約して保持する仕組みを検討する
アクセスログを各システム内に保持しておくと、そのログは攻撃者によって消去されるリスクが高まるとともに集約することのオーバーヘッド及び抜け漏れ発生のリスクが高まります。
したがって、アクセスログは各システム内に保持するのではなく、対象システムが侵害されても影響しない別のシステム等に集約して保持することを検討します。
- 正規アクセスの経路、実施履歴をもとにそれに当てはまらないものを不正と識別する
接続プロトコルなどでは不正アクセスかどうか識別できないため、以下のような条件を用いて不正かどうかの判定を行います。
(1) 正規アクセスの経路との比較
正規の特権アクセスの経路が限定できれば、それ以外の経路でのアクセスは通常行われないことになるため、不審なアクセスとして識別することが可能です。
(2)正規利用履歴(日時)との比較
正規アクセスの履歴を保持し、その履歴とシステム側の履歴とを比較することで、不審なアクセスを識別する方法です。
つまり、不正アクセスのログ点検を可能にするには、正規アクセスを正しく識別しその履歴を把握しておくことが重要です。言い換えれば、内部者の特権アカウントの利用に関して特段のルールがない状態では、不正アクセスを招きやすく、かつ不正アクセスの識別が難しいということになります。
最後に
さて、今回の記事で、「2026年 最低限これだけは実施すべきランサムウェア対策」の連載は終了となります。少しでも皆様のセキュリティ対策にお役立ていただけますと幸いです。
本サイト「認証・アクセス管理ガイド」では、今後もシステムの認証やアクセス管理を中心にセキュリティのトレンドやお役立ち記事、セミナー情報などを掲載してまいりますので、是非ご確認ください。
<<資料ご案内>>ランサムウェアからシステムを守るために今すぐ行うべき15の対策
エンカレッジ・テクノロジでは、「ランサムウェアからシステムを守るために今すぐ行うべき15の対策」をセルフチェックできる資料を配布中です。
本資料で今すぐ自社システムの対策状況をチェックし、被害を招かないよう最善を尽くしましょう!
特権ID管理ツールならESS AdminONE
弊社エンカレッジ・テクノロジでは、特権ID管理ツール「ESS AdminONE(イーエスエス アドミンワン)」を開発・販売しています。
ESS AdminONEは、特権ID管理に求められる申請/承認ベースのID貸与、アクセス制御、ログの保存・点検といった基本機能を網羅しているだけでなく、DX時代に必要な機能・特長を押さえた次世代型の特権ID管理製品です。
本製品1つで、特権IDのあるべき管理プロセスの実現し、内外のセキュリティ脅威からシステムを保護します。
