1.今回の内容
これまでに特権アクセスとは何か、特権アクセス管理がなぜ必要なのかをお話してきました。今回は、特権アクセス管理に求められる機能に関して、お話いたします。
2.特権アクセス管理で必須な機能
まず、特権アクセスを管理するために、必須となる機能に関してお話しします。
特権アクセス管理の対象システムにアクセスする時に、特定のサーバーを経由しないとアクセス出来ないようにすることで、特権アクセスを一元管理します。例えば、対象システムにログインする時のユーザーIDとパスワード(認証情報)を特定のサーバーに保管しておき、そのサーバーにアクセスしないと認証情報がわからない状態にすることで、事前に必ず、その特定のサーバーにアクセスしなければ、対象システムにアクセス出来ないようにすることが出来ます。または、ネットワークを制御して、同様に特定のシステムを経由しないと対象システムアクセス出来ないようにすることも出来ます。
特権アクセス管理の対象のシステムで実際に作業した記録を残すことも必要になります。対象のシステム上で実行したコマンドや作業などがログとして記録できる場合には、そのログを収集して、監視や記録しておくことが出来ます。ただし、GUIの作業などはログに残らない可能性があります。その場合には、作業を実施している画面を録画して保存しておくことも1つの方法になります。
特権アクセス管理の対象のシステムを利用するには、必ず、ユーザーの認証をする必要があります。その際に利用する認証情報は、一般的にはユーザーIDとパスワードになります。特権アクセス管理としては、その認証情報を一元管理することが必要になります。そして、その認証情報を参照する場合には、必ず、ユーザー認証を必要とするようにします。その認証情報は暗号化された状態で保存し、利用する際に復号された(平文になった)認証情報がユーザーにはわからないように利用出来る状態とすることが望ましいです。また、認証されたユーザー毎に実施可能な特権アクセスを認可することが必要になります。
3.特権アクセス管理に必要なその他の機能
上記の必須な機能の他に、必要になる機能のお話しします。
特権アクセス管理の対象のシステムには、特権アカウント(特権ID)でログインして作業をします。対象のシステムに必要以上に特権アカウントがある必要はありません。使われていない特権アカウントがあると攻撃者に悪用される可能性が高くなります。従って、使われていない特権アカウントは削除する必要があります。そのためには、定期的に特権アカウントを検出(ディスカバリー)し、その利用の有無を確認した後に、不要であればシステムから削除出来るような機能が必要になります。
認証情報が漏洩し、悪用されるリスクを軽減するために、一般的に、システムのパスワードは一定の期間で変更して利用することが推奨されます。皆さんも公私で色々なシステムのパスワードの変更を定期に行っていると思います。特権アカウントのパスワードも同様です。特権アクセス管理システムによって、自動的にパスワードをローテーション(定期的な変更)することが推奨されます。また、変更する期間の合間に、パスワードが変更されていないことを確認する(ハードビート機能)ことが出来ると、よりリスクを低減することが出来ます。
内部監査やセキュリティーの認証を取得するために、特権アクセス管理のレポートを提出する場合があります。特権アクセス管理を正しく実施し、問題がないことを証明する、または、何か問題があった時の証跡として、レポートを作成することが必要になります。そのために、監査レポートに活用できるようなレポートが出力出来ることが求められます。
4.次回
今回、一般的に特権アクセス管理に求められる機能のお話しをしました。次回は、それを実装したソリューションであるIBM Security Verify Privilege Vaultによって、具体的にどのように特権アクセスを管理することが出来るかをお話しします。
連載インデックス
♯1: 特権アクセスとは
♯2: なぜ特権アクセス管理が必要なのか
♯3: 特権アクセス管理に求められる機能とは[今回]
♯4: 解決策としてのIBM Security Verify Privilege Vault
♯5: シークレット管理