特権IDとは?効果的に管理する方法について徹底解説!
特権IDの適切な管理により攻撃者がシステムへ不正侵入するリスクを軽減
特権IDとは、システム管理において高い権限を付与されたIDのことです。システム設定の変更やシステムの停止など、さまざまな操作・管理を行う際に使用されます。
「特権IDについて何となく理解はしているものの、具体的な管理方法やリスクについてはよくわからない」という企業担当者の方もいるのではないでしょうか。本記事では特権IDの概要と、適切に管理しなかった場合のリスクおよび効率的な管理方法、さらに特権ID管理システムの選定ポイントなどを解説していきます。
まず、特権IDの概要や代表的なシステムの名称、通常IDとの違いについて解説します。
特権IDの概要
特権IDとは、サーバーやアプリケーションなどの管理において強力な権限を持つIDで、特権アカウントとも呼ばれます。
主にシステムの起動や変更、停止など、システムに大きな影響を与える運用作業を実施する際に使用されます。システムに対する高権限の操作が可能であり、通常のIDとは別で管理する必要があります。
特権IDの名称は、システムや製品によって異なりますが、以下のような名称の特権が割り当てられたID(ユーザー)を特権IDとして管理する必要があります。
| システム | 主な特権 |
|---|---|
| Windows | Administrator権限 |
| UNIX/Linux | Root権限 |
| Oracle | DBA権限 |
| SQL Server | sysadmin権限 |
| Active Directory | Domain Admins権限 |
| AWS | IAM権限 |
特権IDの概要については、以下の記事も参考にしてください。
参考記事:特権ID管理による内部不正防止
特権IDの利用シーン
主な特権IDの利用シーンとしては以下が挙げられます。
- プログラムのインストールやアンインストール
- システムの起動や停止、再起動
- データの修正や削除、バックアップなど
主な利用者は、システム運用担当者や責任者、外部委託されているITベンダー担当者です。また、人手による作業以外にも、サーバーやアプリケーションプログラムが特定の処理を実行する際に利用されることもあります。
特権IDの特徴
上記のような操作権限を有する特権IDですが、その大きな特徴として、利用者の分だけ払い出される通常のIDとは異なり、各システムにおいて基本的に一つ、または少数のみ払い出されるという点が挙げられます。
特権IDは各システムにデフォルトで用意されているため、ID名(Administratorやrootなど)が広く知られているものも多くあります。そのため、外部からのサイバー攻撃の標的にされる可能性があります。
なかでも、特権IDを含む特定のアカウントを窃取して内部に侵入し、データを勝手にロック・暗号化した後、解除することを条件に身代金を要求するランサムウェアは、企業の存続に関わる深刻な脅威となっています。
特権IDが奪われると、データベースへの不正アクセスを許してしまうことになり、情報漏洩やデータ改ざんが発生するリスクも高まります。侵入者によって不正アクセス時のログや、バックアップデータまでもが改ざんされると、原因の調査や情報のリカバリーも困難になります。
上記のことから、ランサムウェアをはじめとするサイバー攻撃は、特権IDを運用管理するうえでの大きなリスク要因として、特に考慮しておかなければなりません。
また、ひとつの特権IDを複数人の運用担当者で共有しながら操作を行うと、内部不正の温床になるケースも想定されます。内部の犯行であれば、不正操作のログを削除して証拠隠滅することも可能なため、調査が難航するおそれがあります。
サイバー攻撃と同じく、内部関係者による不正操作も、顧客や従業員情報の漏洩、業務データの改ざんや削除、サーバーやアプリケーションの停止など、重大なセキュリティインシデントにつながる可能性があるのです。
情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2023(※)」によると、組織における情報セキュリティ脅威の第1位に「ランサムウェアによる被害」が、第4位に「内部不正による情報漏洩」がランクインしています。
そのため、外部・内部の双方において大きなリスクを抱える特権IDは、適切な管理を通じてセキュリティ強化を図ることが不可欠となります。
前述したとおり、悪用された場合のリスクが非常に大きい特権IDですが、ここでは適切な管理が重視される理由や、管理する際の具体的な実施事項について解説していきます。
特権ID管理が重要である理由
特権ID管理が求められている主な理由を以下に記載します。
- サイバー攻撃の巧妙化
- サイバーレジリエンスの強化
- 内部不正の増加
サイバー攻撃の巧妙化
セキュリティが比較的緩やかな通常のIDで侵入してから特権を入手する「特権昇格」を狙うサイバー攻撃の手法も存在します。日頃からこうした攻撃を寄せ付けないためにも、特権IDは適切に管理していかなければなりません。
サイバーレジリエンスの強化
特権IDの管理は「サイバーレジリエンス」の強化にも有効です。サイバーレジリエンスとは、万が一サイバー攻撃を受けた際にも事業を継続できるようにするための取り組みです。サイバーレジリエンス強化のために重要な観点はいくつかありますが、特権ID管理は「サイバー攻撃の被害の局所化」や、「被害からの迅速な復旧」という二つの観点からレジリエンスを強化するために備えておきたい対策と言えます。
特権IDの適切な管理を通じて、サイバー攻撃の被害を局所化することで、深刻な事態に陥るリスクも低減できるはずです。
また、特権ID管理システムの導入も効果的です。サイバー攻撃を受けた際に、システム上で特権IDの不正利用を早期に発見できるほか、攻撃が判明した時点で即座にすべての特権IDに対して複雑なパスワードを再設定することができるようになるため、被害の拡大防止および通常業務への迅速な復旧が可能となります。
サイバーレジリエンスについては、以下の記事も参考にしてください。
参考記事:事業継続性を高める新しいセキュリティ対策「サイバーレジリエンス」とは
内部不正の増加
上記で紹介したとおり、内部不正は組織におけるセキュリティ脅威の第4位となっており、前年度よりも順位が上昇しています。このことからも、内部不正が発生するリスクが高まっていることが伺えます。
また、情報処理推進機構(IPA)は「組織における内部不正防止ガイドライン(※)」で、内部不正防止の重要性について以下のように言及しています。
“組織内部者の不正による顧客情報や製品情報などの漏洩は事業の根幹を揺るがすインシデントであり、内部不正が発生するリスクの把握や効果的な対策の検討は、組織にとって喫緊の課題です。”
このように、内部不正も無視できない問題であるため、通常のIDと特権IDを明確に分けて管理するための仕組みを構築することが重要となります。
特権ID管理における主な実施事項
以下は特権IDを管理するうえでの具体的な実施事項です。
- 特権IDの利用状況の把握
- 特権IDの安全性の確保
- 不正の検知
- 不正検知後の対応
どのユーザーが特権IDを使用でき、誰が、いつ使ったのかなどの利用状況を把握します。また、特権IDの棚卸しや定期的なパスワード変更、アクセスログの記録などにより、安全性を確保することが大切です。
そのほかにも、業務システムやサーバーに対して、計画されていないログインがあった場合に不正利用の可能性を検知し、アクセス遮断・強制パスワード変更を行うなどの対応が求められます。
特権IDを効果的に管理していくためには、以下の要点やプロセス、留意点を押さえておくことが重要です。
特権ID管理の要点
経済産業省の「情報セキュリティ管理基準(平成28年改正版)(※)」では、特権IDの管理プロセスの要点として主に以下のような項目を挙げています。
特権的アクセス権の割当ておよび利用は、制限し管理する
- 特権IDを割り当てる必要がある利用者の特定
- 特権IDを割り当てる場合は認可プロセスを通し、認可完了までは割り当てない
- 特権IDは通常のIDと区別し、特権IDでは通常業務を実施しない
- 特権IDを保有する利用者は、職務上特権IDが必要であるかを定期的に判断する
- 特権IDは定期的にパスワード変更を行うとともに、利用者の離職タイミングなどでも都度変更する
特権IDの権限は、職務上必要で、かつ責任者の承認を得た利用者に対してのみ払い出すものとし、また必要な操作での利用に制限したうえで、適切にパスワード変更を行っていくことが大切です。
効果的な特権ID管理のプロセス
上記の要点を踏まえて、効果的な特権ID管理の進め方を見ていきましょう。
特権IDの申請・承認管理
まず、特権IDの利用者を明確にします。利用者は業務を遂行するうえで最低限必要なメンバーに絞り、承認ワークフローを設けて、責任者による申請内容の確認・承認を行います。承認フローを設けることで、必要な利用者に、必要な操作権限のみを付与できます。
これにより、利用者が必要以上に増える事態を抑制すると同時に、異動・退職した人のIDを使って悪用するなど、内部関係者による不正利用の防止にも役立つはずです。
特権IDの払い出し
申請承認が完了したら、実際に特権IDを払い出します。ここで注意すべき点は、あくまでユーザーが業務上必要なログイン対象かつ、必要な期間に限定し、特権IDを払い出すということです。たとえば、必要になるかもしれないからという理由でユーザーの業務外のシステムの特権IDを事前に払い出してしまうと、特権IDの不正利用のリスクにつながるおそれがあります。
アクセスログの記録
特権IDの利用者や利用日時、作業内容などをアクセスログとして記録することも不可欠です。万が一システム上のトラブルが生じた際にスムーズに原因究明や復旧対応ができるよう、ログはしっかりと残しておくようにしましょう。
特に、ひとつの特権IDを共用している場合は作業者の特定が難しくなるため、作業者の氏名を忘れずに記録しておくことが大切です。
定期的な利用状況の確認・最新化
特権IDは一度払い出したら終わりではなく、定期的に利用者の棚卸しを行い、一定期間利用していない利用者は削除するなどの見直しが必要です。これにより、最新の利用状況に合わせた特権ID管理が可能となります。
パスワードもまた定期的に変更し、利用者の離職のタイミングにも都度変更するなど、正当な利用者以外にパスワードが知られるリスクを低減しましょう。
外部組織による定期的な監査の実施
社内のセキュリティ担当による定期的な状況確認はもちろん、外部組織による定期的な監査の導入も重要です。外部組織による監査によって、集団的な内部不正などにも対応できるでしょう。
特権IDを管理する際の留意点
前述したプロセスを採用するとともに、以下の留意点についても押さえておくことが重要です。
推測されにくいパスワードを設定する
特権IDのパスワードは、通常のIDよりも厳重に管理しなければなりません。ほかの利用者に推測されにくいパスワードを設定することが大切です。
たとえば「admin123」のように、IDの一部を使ったパスワードは簡単に推測されるリスクがあります。またパスワード変更時も、「admin234」のように数字をずらすだけの変更は避けましょう。
アクセスログを一定期間保存しておく
日常的に記録するアクセスログは、一定期間保管しておくことがポイントです。バックアップサーバーへのログ退避も行いながら、過去5年分などのアクセスログを記録しておけば、万が一トラブルが発生した際も履歴を確認できます。
特権IDの名称変更を行う
デフォルトの特権IDは「Administrator」や「root」のように広く知られているものが多く、そのまま利用してしまうと攻撃を受けるリスクが高まります。そのため、知られていない別名称に変更するか、もとの特権IDを無効化し、同等の権限を持つ特権IDを推測されにくい名称で作成するとよいでしょう。このような対策をしておくことで、万が一漏洩した場合でも不正利用されるリスクを低減できます。
前述のとおり、特権ID管理においては、適切な特権IDの払い出し・利用状況の把握が重要です。とはいえ、利用者やシステムの規模が拡大すると、すべての作業を人手で行うことは現実的に難しくなります。そこで有効となるのが、特権ID管理システムの導入です。
ここでは、特権ID管理システムの主な機能について解説します。
申請ワークフローの管理機能
特権IDの利用者による申請や責任者による承認など、ワークフローを管理する機能です。たとえば、申請フローでは利用者の氏名や作業目的などを、承認フローでは承認ステータスや承認日時、承認者などをシステム上で管理できます。
ID管理機能
特権IDを払い出し・削除する機能です。特権IDの有効性管理や、パスワードの定期的な変更などもシステム上で実施することで、人手の作業による管理ミスを防止できます。
ログ管理機能
利用者、利用日時、作業内容などのログをシステム上で管理する機能です。ログ情報を視覚的に管理することで特権IDの不正利用防止につながるほか、監査報告業務の効率化にも役立ちます。
特権ID管理システムを選定する際は、以下3つのポイントを押さえておきましょう。
- 自社の要件に合わせた柔軟なID管理が可能か
- アクセスログを確実に記録できるか
- コストが自社の予算に合っているか
自社の要件に合わせた柔軟なID管理が可能か
自社の部署体制や業務分担などに合わせて、特権IDの払い出しを制御できるシステムを選択しましょう。
また、IDの管理数やサーバー数などが増加した際に、組織の管理体制に合わせて利用者や管理対象サーバーをグルーピングし、グループごとにログインを制御できるか、業務特性にあわせて深夜休日の緊急対応時の承認プロセスの省略など、柔軟に設定を変更できるかどうかも重要なポイントとなります。
アクセスログを確実に記録できるか
サーバーやアプリケーションへのログイン日時やログイン者、作業内容などをわかりやすく確実に管理できることが重要です。
アクセスログの取得方法は、テキストベースや画像ベース、動画ベースなど、製品によってさまざまです。たとえば、個人情報や機密性の高い情報を扱う場合は、複数の手段でアクセスログを取得できると安全性が高まるでしょう。
コストが自社の予算に合っているか
一般的に、高度な機能が備わっているシステムほど、導入コストやランニングコストは高額となります。
特権ID管理システムは長期的に運用していくものなので、予算に合ったシステムを選ぶことも重要な観点の一つです。
上記で紹介した特権ID管理システムは、ID管理の効率化を支援することは事実ですが、単にシステムを導入するだけでは外部からのサイバー攻撃や内部不正による情報漏洩を完全に防ぐことはできません。
そのため、以下のポイントを踏まえ社内での運用体制を整備し、備えを強化していくことが大切です。
現状の組織体制と業務分担を明確化する
特権ID管理システムを導入する際は、現状の組織体制と業務分担を明確にしておくことが重要です。これにより、職務に応じた適切な特権ID管理を行うための土台を構築することができます。
運用ルールをしっかりと整備する
現行の業務体系や運用プロセスに課題がある場合は、特権ID管理システムを導入する前にそれらを見直しましょう。たとえば、特権IDを払い出すルールがあいまいな場合には、特権ID管理業務の責任範囲を明確にする、また権限を付与する基準を制定するなどの対応を行います。
運用業務に必要な権限の見直し
オペレーターが定常的に実施する運用業務では、特権ID管理システムで最高権限の特権IDを払い出すのではなく、業務遂行に必要な最小権限に絞ったIDを使用することが重要です。たとえば、定常的な運用業務の洗い出しや、それぞれの業務に必要な最小権限の明確化、業務に必要な権限だけが与えられたIDを払い出す、などの手順を採用し、ユーザー権限の見直しを行うことで、特権IDの利用を必要最低限に絞った運用業務が可能となります。
特権IDの利用を不要とする仕組み作り
前述のとおり権限の見直しは重要ですが、特権IDでログオンすることなく運用作業ができる仕組み作りも重要です。仕組みを作ることで、特権IDが悪用されるリスクの軽減につながります。具体的には、特権IDを使用しなくても必要な操作・監視作業ができるツールの導入や、定期的に行われる運用作業、システムメンテナンス作業のバッチジョブ化などが有効です。
特権IDとは、特別な権限を持ち、システム管理におけるさまざまな操作を可能とするIDであり、システムの停止、プログラムやデータの変更・削除といった、システムの運用に大きな影響を与える操作も行うことができます。
その一方で、外部からのサイバー攻撃や内部不正による、情報漏洩・データ改ざんなどのリスクも潜在しているため、強固な管理体制を構築することが不可欠となります。特権IDの適切な申請・承認管理や、アクセスログの記録、定期的な利用状況の確認・最新化などを実施して、セキュリティリスクを抑えることが極めて重要になります。
また、人手に依存した作業による管理では限界があるため、特権ID管理システムを活用することが推奨されます。同時に、社内の管理体制の明確化や、セキュリティ推進組織の整備、セキュリティ教育など、システム面以外の取り組みも継続的に実施していくことが大切です。
ESS AdminONE
オンプレミスやクラウドなど、多様なシステムへの特権IDの一元管理と、ゼロトラストを前提にした多層防御により不正アクセスを防止し、安全なアクセスを実現します。
ESS REC
特権IDを使ったシステム運用上の操作を動画形式・テキスト形式で記録し、不正操作や誤操作の詳細な追跡・分析を実現するとともに、記録をもとにした点検・監査をサポートします。
ESS AdminControl for Client
ログイン履歴の収集と申請履歴との突き合わせにより、不正利用の検出といった機能を提供します。PC端末におけるローカル管理者アカウントのセキュアかつ効率的なパスワード運用管理を実現します。
SecureCube Access Check
特権IDの管理・運用に求められるさまざまな機能(ID・パスワード管理、ワークフロー、アクセス制御、ログ取得・保管、監査支援など)をエージェントレスで提供します。
事業継続性を高める新しいセキュリティ対策「サイバーレジリエンス」とは
