開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

NRIセキュアテクノロジーズ株式会社提供コンテンツ

  • スペシャル
  • 会員限定
  • 2015/03/31

約4割の企業で不十分な特権ID管理に求められる2つの視点

権限を持つ人の犯行を防ぐには?

社員が顧客データを不正に持ち出す情報漏えい事件が多発している。内部犯による不正問題は、いまに始まったことではないが、なぜ変わらずに続くのか。NRIセキュアテクノロジーズ 上級セキュリティコンサルタント マネージャーの岸謙介氏は、その背景には「権限を持った人の内部犯行を防止する難しさがある」と指摘する。実際、業務上の理由から、強力な「特権ID」を使わなければならないケースは必ずあるが、それを監視・管理したり、不正行為を防ぐ仕組みを備えていない企業が数多く存在しているのだ。

約4割の企業が特権IDを利用した不正の追跡ができないという実情

 最近、内部セキュリティ対策において、監査の視点から特に多くの指摘を受けるようになったのが「特権ID」の問題だ。特権IDとは、すべてのシステムに備わっている「何でもできる強力な権限を有するID」のこと。たとえば、Windowsならば「Administrator」、UNIX/Linuxならば「root」などが該当する。何でもできるという点から明らかなように、もし特権IDが悪用されてしまえば、機密情報の漏えいやそれに伴う深刻な被害を及ぼすことになる。ひとたび大規模な情報漏えい事件が起きてしまえば、数百億円単位の賠償金を支払うことにもなりかねない。

 特権ID自体は、システムの開発・運用・保守などを行うにあたって、必ず利用する必要のあるものだ。しかし、特権IDを複数人で共有してしまうと、いつ、どこで、何をしたのか、個人の特定も困難になってしまう。そこで、紙ベースで事前申請を実施するような運用を行う場合もあるが、監査の際に各サーバの操作ログと申請内容を突合せする負荷がかかってくる。ましてやサーバ台数や関係者が増えてくると、とても管理しきれるものではない。

 こうした特権IDの問題に対して、企業側の対応は遅れている。NRIセキュアが毎年実施している『企業における情報セキュリティ実勢調査』において、「特権IDの管理状況」に関連する項目を聞いた結果は以下の通りだ。

画像
重要情報へのアクセスログ取得とモニタリングの実態
画像
本番アクセスの申請・承認運用、特権IDの定期的なパスワード変更の対応状況

「調査対象のうち、4割強の企業でそもそも重要情報のアクセスログすら取得できていないことが分かりました。また重要情報へのアクセスログをモニタリングしていない企業は7割にのぼっています。さらに6割強の企業で、本番環境へのアクセスを監視できておらず、5割弱の企業は特権IDのパスワードを定期的に変更することすらできていませんでした」(岸氏)

 これでは、もし特権IDを持つユーザーが何かしらの不正を働こうとした場合、社内ではまったく把握できずに、情報漏えい事件が起きたあとに不正が発覚するということになりかねない。

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!