1.今回の内容

前回、「特権」は「ITシステム」に対して、「特別な作業」を実行する権利で、その「特権」を管理者が「ITシステム」にアクセスして実行することが「特権アクセス」であるとお話ししました。その「特権アクセス」というのは、管理する必要があると言われていて、それを一般的に、「特権アクセス管理」と呼んでいます。

それでは、なぜ、「特権アクセス管理」が必要なのでしょうか？今回は、「特権アクセス管理」が必要な理由をお話しします。

2.特権アクセスのリスク

前回、「特権アクセス」で、「ITシステム」にとって重要な作業を実施することをお話ししました。逆に言えば、この作業は次のようなリスクを抱えているということが言えます。

• 外部からの攻撃による情報窃取、データの削除、サービス停止など
• 社員や関係者による内部不正(情報窃取やログの改ざんなどの悪意ある行為)
• 誤操作、作業ミスなどによる重大な障害の発生

3.最新の脅威の情報

次に、実際の社会の状況を例として見てみましょう。JPCERTが2024年6月25日に「Operation Blotless攻撃キャンペーンに関する注意喚起」という報告を公表しています。この文書では、最新の脅威の例とそれの対応としての特権アクセスの必要性に関することが記載されています。その報告内容から抜粋して概要をお話しします。

-----[以下、報告内容からの抜粋]-----

Operation Blotless攻撃キャンペーンは、2023年から日本の組織も狙う、主にVolt Typhoonによる攻撃活動ですが、現時点では精査しきれていません。現時点で国内外の専門組織が把握している範囲では、政府機関や重要インフラ企業への将来の再侵入に備えて、「侵入方法を開拓」することであり、基本的には認証情報の窃取（NTDSファイルの窃取など）がここまでの活動の中心です。

侵害有無調査が難しく、対処の基本コンセプトは、「仮に過去に侵害されていたとしても、将来の破壊的活動における再侵入をされないこと」を目指すことが推奨されます。

推奨調査項目（短期的な対応）:

• ドメインコントローラーでのログなどの調査
• Webサーバーやネットワーク機器などへのWebshell設置有無調査
• リバースプロキシツールの調査
• SSL-VPN機器などにおけるログ調査や管理者権限アカウントの調査

推奨対策（中長期的な対策）:

• 攻撃の侵入経路になり得るインターネットに接続されたアプライアンス（SSL-VPN等）の設定や運用の点検
• Active Directoryの各種ログ保存設定の見直し、侵害兆候に関するアラート設定等の導入
• 管理者権限の棚卸し

-----[抜粋はここまで]-----

この脅威の例で、実際に外部の攻撃者が管理者権限(特権)を悪用して、認証情報を窃取などを行っていることがわかります。

詳しくは下記のURLに説明されていますので、参照ください。

JPCERT/CCとは

https://www.jpcert.or.jp/about/

JPCERT-AT-2024-0013 : Operation Blotless攻撃キャンペーンに関する注意喚起

https://www.jpcert.or.jp/at/2024/at240013.html

4.まとめ

最新の脅威の例のように、実際に特権を悪用した攻撃が行われています。こうした状況下の現在、多くの業種における内部統制や監査基準で特権アクセス管理への対応が求められています。また、多くのセキュリティー基準では、特権アクセス管理が要件を満たすために必須となっています。

このような理由から特権アクセス管理が必要となっています。

次回は、特権アクセス管理で求められている機能に関して、お話しします。

連載インデックス

♯1: 特権アクセスとは

♯2: なぜ必要なのか [今回]

♯3: 求められる機能とは

♯4: 解決策としてのIBM Security Verify Privilege Vault

♯5: シークレット管理