｢特権ID｣管理不足がもたらす企業の甚大な被害 事例に学ぶ､組織内外からの攻撃に備える方法

クッキーには、Webアプリの認証無しでWebアプリへのアクセスを可能にする「セッショントークン」が含まれており、この情報を搾取することで、Webアプリ上で管理されている企業・組織の重要な情報資産にアクセスすることができます。昨年には、ID管理システムを提供する外資系大手事業者の顧客向けサポートシステムが侵害され、悪意を持った攻撃者が、顧客がアップロードした通信ログからクッキー情報を盗用し、顧客のネットワークやシステムへのアクセスを試みるというインシデントもありました。

企業が知るべき「特権IDの管理」に有効な方法とは

もし組織内で、特権IDの運用ポリシーや管理ポリシー自体が確立されていない場合は、そのポリシーを策定することが最初のステップとなります。システム等を導入する前であっても、特権IDの運用と管理に関わるポリシーを定義して利用者にその遵守を要求し、定期的に監査を実施することで、利用者に「監視されている」と意識づけすることができます。これにより、内部からの不正アクセスを予防する効果が期待できます。

ポリシーに盛り込む内容には、以下のような項目が考えられます。

• 特権ID利用者の範囲
• 特権IDのパスワード管理方法
• 特権ID・パスワードの利用手続き
• 特権IDを利用した操作履歴の保存期間と監査
• 特権ID利用者の定期的な棚卸し、など

ポリシー策定に加え、そのポリシーをシステム化して特権ID・アクセスを守るために「特権アクセス管理システム」という専用ツールを利用することも有効です。人の性善説に依存していた運用をシステム化することで、攻撃者が特権IDを悪用して攻撃するのを未然に防ぎ、企業・組織のセキュリティー体制を高度化することができます。

特権アクセス管理システムはいくつか種類があり、サポートしている機能にも違いや特徴があります。検討の際は、自社が求める要件に対して、各社のシステムやサービスの機能が十分かどうか精査する必要があります。

また、究極の手段として特権IDを利用しない運用を考える方もいるかもしれません。最近は、時限的（「ジャストインタイム」）かつ最低限必要な権限（「最小特権」）だけを割り当てる「ゼロスタンディング特権（Zero Standing Privilege : ZSP）」で、特権IDの利用を固定化せずに、より安全に必要なシステムにアクセスする方法も出てきました。

現代ではシステムがオンプレミスからクラウドにシフトしており、管理対象が増加するほどに高権限のIDやアクセスも増大します。これらのシステム・サービスの上に存在する高権限IDの適切な管理体制の構築は、企業・組織のサイバーレジリエンス強化に直結する重要な課題だといえるでしょう。

佐野 龍也：CyberArk Software ソリューションズ・エンジニアリング本部長