侵入されても特権IDは死守?システム乗っ取りを防ぐ“2重ロック+多要素認証”の実力
- ありがとうございます!
- いいね!した記事一覧をみる
狙われる認証情報、特に「特権ID」が標的となる理由
この対策の「勘所」とは、ずばり「侵入された後の対策」を講じることである。「侵入を100%防ぐことは不可能」という前提に立つならば、被害を最小化するための焦点は「システム内部での攻撃者の活動をどう防ぐか」に移る。そこで最も重要になるのが「認証情報」だ。攻撃者はシステムを掌握するため真っ先にこれを狙ってくるが、奪われれば致命的な被害を引き起こす引き金となってしまう。
さらに厄介なことに、いったん認証情報が攻撃者に渡り、システムに正規にログインされてしまうと、企業側が不正なアクセスを見分けることは非常に難しい。だからこそ、認証情報の中でも特に強大な権限を持つ「特権ID」の保護が急務となる。
アクセスできる領域が制限されている一般従業員のIDとは異なり、特権IDはシステムの設定を自由に変えられる"何でもできるID"である。仮に特権IDが攻撃者に渡れば、対象のシステムが掌握されるだけでなく、権限によっては企業の重要システムやネットワークインフラ全体が乗っ取られてしまうリスクを孕んでいるのである。
ところが、特権IDの管理が不十分な企業は少なくない。その実態を、エンカレッジ・テクノロジ 取締役 サービス統括部長の日置喜晴氏は次のように説明する。
取締役
サービス統括部長
日置 喜晴氏
「特権IDのパスワードに強度の低いものを設定していたり、複数のシステムで共通のパスワードを使い回したりしているケースは少なくありません。そうした共通パスワードが奪われると、すべてのシステムに万能の権限で侵入される危険がありますが、いまだにそうした状況のまま運用している企業は一定数存在します」(日置氏)
一方で、セキュリティ意識の高い企業では、業界内のガイドラインに従って20桁以上の複雑なパスワード設定を課すケースもある。しかし、そうした厳格すぎるルールは運用現場に過剰な負荷を強い、セキュリティ部門と現場部門の間で摩擦を生む原因にもなっているようだ。
もちろん、特権ID管理のためのシステムをすでに導入している企業も少なくない。特に大手企業においては、従来、J-SOX対応などの内部統制の観点からシステムを導入した企業が多かった。しかし、社内ネットワーク(オンプレミス)を守る前提の古いシステムを使い続けている企業では、近年のクラウドやSaaSなど多様化するIT環境を管理しきれない。それでも足りない機能を人海戦術でカバーするなど無理な運用を続けようとした結果、現場が疲弊して破綻してしまうケースもよく見受けられるという。
こうした「手作業によるずさんな管理」や「古いシステムによる運用破綻」といった弱点を抱えたままでは、巧妙化するサイバー攻撃から特権IDを守り抜くことはできない。侵入を100%防ぐことができなくなった現在、システムを守る“最後の砦”として特権ID保護の重要性はかつてなく高まっているのだ。
ここからは、現場の運用を止めることなく特権IDをいかにして守ればよいのか、その具体的な対策について見ていきたい。
特権ID管理を保護・監視・管理するPAM製品、導入成功のポイントは?
しかし、せっかく製品を導入しても、うまく機能していない企業が多いようだ。
日置氏は、「失敗の典型例は、セキュリティ推進部門が現場の意見を十分に吸い上げず、トップダウンで製品を押し付けてしまうケースです。運用現場では、多段の承認プロセスなど、セキュリティ担当者が把握していない独自の運用が行われていることが多々あります。そうした現場の実態を無視してツールを導入しても、現場の猛反発を招いて業務が回らなくなるばかりか、結局ツールが使われずに形骸化し、本来の目的であるセキュリティ強化すら果たせなくなってしまいます」と語る。
現場の実態を無視した乱暴なセキュリティ対策はほかにもある。たとえば、不正アクセスに悪用されやすいからといって、リモートデスクトップ接続(RDP)を全面禁止してしまうようなケースだ。
「たしかにRDPを止めれば、RDPを悪用した不正アクセスは防げます。しかし、現場の担当者は使い慣れたRDPが使えなくなるため、不便を強いられることになります。こうした"分かりやすいけれど少し乱暴な対策"がとられることは珍しくないのです」(日置氏)
このように課題は多い中でも、セキュリティ強化と運用の利便性は、さまざまな工夫によって両立させることは可能だ。それを追求したPAM製品が、エンカレッジ・テクノロジの「ESS AdminONE」である。
もともとエンカレッジ・テクノロジは、2011年に特権ID管理の製品を初リリースして市場参入を果たした。そして、従来の製品を大幅に改良した「ESS AdminONE」を2021年にリリース。2026年7月には、最新のバージョン1.5をリリースしたばかりである。
現場の運用負荷を低減しつつ、多様なシステムの特権IDを管理
DX推進やクラウド利用、テレワークの拡大によって複雑化する現在のIT環境において、ゼロトラストを前提とした強固なアクセス制御と詳細な証跡監査を組み合わせることで、特権IDの不正使用や権限濫用を確実に防止する。高いセキュリティレベルの確保と、現場の運用効率化を同時に支援する製品だ。
このESS AdminONEが持つ大きな特徴として、日置氏はまず、汎用インターフェースを採用した「オープンな設計」を挙げる。ここで言う「オープン」とは、オンプレミスのサーバーやクラウド、独自の業務アプリケーションなど、あらゆるシステムを簡単に「管理対象として組み込める(連携できる)」ことを意味する。
もちろん、主要なシステムについては管理対象に組み込むための仕組みが事前に提供されているため、新たに構築する必要はない。特筆すべきは、新たなクラウドサービスなどを管理対象に追加したい場合でも、ESS AdminONEの管理サーバー本体をバージョンアップすることなく、対象のモジュールを追加するだけで拡張できる点だ。
さらに、標準対応していない自社独自のシステムであっても、公開されているインターフェース仕様に沿ってプログラムを開発すれば、特権IDの管理対象に含めることが可能となっている。これにより、既存の運用を止めることなく、多様化するIT環境へ柔軟に対応することができるのだ。
また、サーバー数台の小規模環境から数千台の大規模環境まで柔軟に対応できる点や、UI(ユーザーインターフェース)も現場の担当者が直感的に操作できる使い勝手の良さを実現している点も大きな強みだ。
他方、機能面に目を向けると、まず特権IDを保護する基本コンセプトを、日置氏は「特権IDのパスワードを安全に保存する保管庫」と表現する。
「基本的な考え方は、特権IDのパスワードの管理を『人』から『システム』に移行することです。システムにログインするときは、ESS AdminONEが人に代わってパスワードを入力する『パスワードレスアクセス』を行います。これにより、特権IDのパスワードが人の目に触れることがなくなり、パスワードが漏れるリスクをなくすことができます」(日置氏)
システムが代行して入力するため、人間が覚えきれないような複雑なパスワードであっても、作業者はそれを一切意識することなく安全にアクセスすることが可能になる。作業者自身は特権IDではなく個人のアカウントでログインし、そこから先はシステムが自動で対象システムへ接続する仕組みだ。なお、個人のアカウントへのログイン時には多要素認証(MFA)を求めることで、入り口のセキュリティも強固に保護されている。
「また、不正な動きを監視する仕組みとして、アクセス履歴と比較・突合する機能も用意されています。これにより、不正な操作やシステムが把握していない不審なアクセスを抽出することができます」(日置氏)
さらに、セキュリティを強化しつつも“現場の運用負荷を下げる”ための工夫として、日本の企業文化に合わせた柔軟なワークフローを定義する機能も用意されている。
「ワークフローを利用すれば、申請・承認された期間のみ限定して特権IDを利用許可することが可能です。その際の承認プロセスは、現場の主任のあとに課長、部長というように多段になっている承認プロセスに対応したり、複数のアカウントを選択することも可能です」(日置氏)
そして、より高度なセキュリティ要件が求められる企業に向けて、16年連続で市場シェアNo.1を獲得しているシステム証跡監査ツール「ESS REC」と組み合わせることも可能だ。これにより「誰がアクセスしたか」という入り口の制御にとどまらず、「システム内で具体的にどんな操作をしたか」をテキスト・動画(映像)として一気通貫で記録・可視化し、システム操作に関わる課題・リスクをさらに低減する強力な仕組みを構築することも可能となっている。
パスワード管理・ネットワーク制御の2重制御+MFAの実力
・エージェント型エージェント型は対象システムにエージェントを配置し、エージェントによって特権IDを管理・保護するタイプだ。しかし、SaaSアプリケーションにはエージェントを配置できないため、SaaSアプリケーションが主流となった現在は時代遅れとなっている。
・ゲートウェイ型
・パスワード管理型
ゲートウェイ型は、操作元と特権を管理する対象システムの間に"関所"を設けるタイプで、主にネットワークのプロトコルを制御して特権IDを管理・保護する。
パスワード管理型は、特権IDのパスワードを管理するタイプであり、ESS AdminONEもここに含まれる。
現在のPAM製品は、ほぼゲートウェイ型とパスワード管理型に大別されるが、パスワード管理型であるESS AdminONEの最新バージョン「ESS AdminONE V1.5」では、ゲートウェイ構成を取らずにネットワーク的な制御によってアクセスを管理する「OA Access Control」という機能が追加された。
「これは、普段は運用・保守に利用するポートを閉じておき、承認された時間だけ動的に開く機能です。運用・保守で使われるWindowsのRDPやLinuxのSSH、各種データベースに接続する際のプロトコルも制御可能です。特定のプロトコルに依存しないため、制御可能なプロトコルに制約を受けず、幅広いシステムへ柔軟に適用できるメリットがあります」(日置氏)
特筆すべきは、ESS AdminONEがこの「ネットワーク制御」と従来の「パスワード制御(パスワードレスアクセス)」による強固な「2重の制御」をベースとし、そこへさらに入り口の本人確認である「多要素認証(MFA)」を追加している点だ。
競合他社の製品の多くは「プロトコル制御のみ」あるいは「パスワード管理のみ」の“一重の保護”に留まっている。しかし「ESS AdminONE V1.5」であれば、これら複数の制御を併用しているため、万が一何らかの手口でパスワードが奪われたとしても、ネットワークレベルで不正アクセスを確実に防ぐことができる。これこそが他社にはない唯一無二の優位性と言える。
先に、"分かりやすいけれど少し乱暴な対策"について触れたが、最新の「ESS AdminONE V1.5」であれば、現場の利便性を犠牲することなく、特権IDのセキュリティを最高レベルまで高めることができるのである。従来の強みであった「操作の完全な録画・記録(事後の証跡監査)」に加え、今回のV1.5で「侵入前の防御」を極限まで強化したことで、より強固な包括的PAMプラットフォームへと進化を遂げている。
サイバー攻撃は今後も高度化・複雑化し、認証情報が狙われる厳しい状況も続くだろう。侵入を完全に防ぐことが困難である以上、「特権ID」の保護はシステムを守る"最後の砦"だ。一方で特権IDはシステムの運用・保守に欠かせない情報でもある。その相反するセキュリティと運用効率のバランスを追求して開発されているのがエンカレッジ・テクノロジの「ESS AdminONE V1.5」だ。関心があれば、ぜひ同社にお問い合わせいただきたい。