｢特権ID｣管理不足がもたらす企業の甚大な被害 事例に学ぶ､組織内外からの攻撃に備える方法

タカス / PIXTA

「特権」という言葉を耳にしたことはあっても、それ自体が何であるかは特別意識したことがない人も多いのではないでしょうか。デジタル大辞泉（小学館）には、特権とは、「特定の身分や地位の人がもつ、他に優越した権利」だと書いてあります。

【図で見る】組織外部の攻撃者は、ネットワーク内の資産に垂直・水平方向に移動して侵入や攻撃を行い、権限昇格を繰り返す

情報技術（IT）の世界で「特権ID」とは、システムを管理する者が利用するIDで、システムやユーザーアカウントの設定や、データの管理などを行うために利用されるものを指します。特権IDの代表例には、Windowsの「administrator」や、Unix系の「root」があります。

管理不足がサイバーレジリエンス低下にもつながる

こうした重要なIDを管理するうえでは、いくつかの課題があります。

従来の特権IDは、高い権限がつねに有効な状態で付与されており、かつ原則として共有型のため、複数のユーザーが共有利用します。特権IDには、一般的な個人IDと同様にパスワードが設定されていますが、そのパスワードも複数のユーザーの間で共有されているのです。

何らかの不手際などで、本来利用すべき人以外（社内外を問わず）に特権IDの情報が漏洩してしまうと、情報を知った誰もがシステムやデータの設定・変更を行うことができてしまいます。そして無断でのシステム設定・変更は、企業・組織のサイバーレジリエンスを低下させる恐れがあります。

こうしたリスクを防ぐには、どのような方法が有効なのでしょうか。

1つ目は、パスワードをローテーションさせることです。万が一パスワード情報を知られても、過去のパスワードであればアクセスできません。そこで例えば、定期的にパスワードを変更したり、怪しいふるまいを検知した場合に強制的にパスワードを変更するような設定にしておくのです。

2つ目は、特権IDの利用者を制限することです。例えば、指定された場所からのみ特権IDへのアクセスを可能にしたり、ワークフロー等を活用して、承認された利用者だけに特権IDへのアクセス権を払い出すなどです。後者の場合、Excelなどで特権IDの払い出し状況を台帳管理したり、または専用システムを活用して特権IDの払い出しをシステム化して、監査証跡を記録することができます。

特権IDとそのパスワード情報が「悪意を持った攻撃者」に渡ってしまった場合、企業・組織が保有する重要なシステムやデータに対して、攻撃者が高い権限でアクセスすることを許すことになります。これは、企業・組織に大きな被害をもたらす可能性があります。