1.はじめに
これから5回シリーズで特権アクセス管理に関して、知識がない方を対象に、基本的なことを理解できるように、特権アクセス管理の説明します。これまでに、特権アクセス管理という言葉は聞いたことあるけど何をすれば良いのかわからない、具体的な対応を検討されようとしている、そのような方は、ご一読いただけば幸いです。
♯1では、「特権」と「特権アクセス」とは何かというお話をします。
2.特権と特権アクセス
そもそも「特権」、そして、「特権アクセス」って、何でしょうか?この言葉の認識が違っていると、この後の話がブレてしまうので、ここで言う特権とは何かを明確にしておきましょう。
「ITシステム」に対する作業は、「一般的な作業」と「特別な作業」に分けることが出来ます。通常、「一般的な作業」は、一般ユーザーが実行し、「特別な作業」は、管理者が実行します。この管理者に与えられる「特別な作業」を実行する権利を「特権」と呼びます。
そして、この「特権」が必要な「特別な作業」を実行するために、管理者が「ITシステム」にアクセスすることを「特権アクセス」と呼びます。多くの「特別な作業」は「ITシステム」の管理のための作業になります。「ITシステム」とは、サーバー、データベース、ネットワーク機器、アプケーション、SaaSなど、ITサービスを提供する様々な機器やソフトウェアが該当します。
3.特権アクセスの例
具体例を上げて、もう少し具体的な「特権」と「特権アクセス」を紹介します。
【Linuxサーバー管理者】
Linuxサーバーの管理者は、一般に「rootアカウント」と呼ばれるアカウントを利用し、Linuxサーバーのシステム管理や運用を行います。システム上のすべての操作が可能なアカウントになります。
Linuxサーバー管理者の主な権限(特権)
-
ユーザー管理(作成・削除・パスワード変更など)
-
ソフトウェア管理(インストール、アップデート)
-
システム設定(ネットワーク、ファイアウォールなど)
-
セキュリティー対策(パッチ適用、アクセス制御など)
-
バックアップとリストア
【データベースの管理者】
データベースは、設計、運用、そして、削除とそのライフタイムを通じてデータベースの管理者によって、管理されます。データベースの一般ユーザーは、許可された操作だけを実行できますが、データベース管理者はすべての操作を実行する事が出来ます。その役割上、そのほとんどの作業が「特権アクセス」になります。具体的には、以下のような権限(特権)があります。
データベース管理者の主な権限(特権)
-
データベースの設計
-
データベースの構築・設定
-
すべてのデータへのアクセス
-
バックアップとリストア
-
システム設定の変更
-
セキュリティー対策の実施
-
ユーザーとその権限の管理
Linuxサーバーの管理者とデータベースの管理者は、いずれもそれぞれのシステムに対して、非常に重要な権限(「特権」)を持っており、その「特権アクセス」がそれぞれのシステムに対して大きな影響がある事がわかります。具体的な例を上げると、このアカウントが乗っ取られる場合には、データの盗難や改ざん、このサーバーを踏み台にした攻撃の実施、マルウェア感染やスパム・メールの配信など、色々なことに悪用される可能性があるということになります。
4.次回
今回のお話で、「特権」と「特権アクセス」に関して、共通認識が持てたと思います。
それでは、なぜ、特権アクセスは管理する必要があるのでしょうか? 次回の♯2では、そのお話をします。
連載インデックス
♯1: 特権アクセスとは [今回]
♯2: なぜ特権アクセス管理が必要なのか
♯3: 特権アクセス管理に求められる機能とは
♯4: 解決策としてのIBM Security Verify Privilege Vault
♯5: シークレット管理
#Verify