エンカレッジ・テクノロジ通信 連動コラム

【特権アカウント管理のAtoZ】第5回:「セキュリティ対策はコスト増で利益を生まない」のウソ、本当?

第1回から第4回まで、特権IDに関わるセキュリティ上のリスクや対策の考え方について、解説してきました。現場担当者として対策の必要性を理解したとしても、決裁権者がそれを理解し、必要な投資を了承してもらえるかとなると、話は違ってきます。一般的にセキュリティ対策は、コストになるだけで、売上増につながったり、経費削減効果を発揮したりすることはないと思われがちだからです。


特に対策ツールを導入しようとすると、相当の初期投資が発生したり、ツールの維持管理にも保守費用が発生したりするため、「そんなに費用をかける必要があるのか?」「もっと安価のもので良いのではないか?」「人手で管理すればいいのではないか」と意見が出がちです。

特権ID管理分野についても事情は同じで、ツール導入には一定の初期費用や維持管理費用が発生します。IDの管理自体は手作業で実施可能であることから、わざわざツールを入れてまで対策を講じるべきか?と上長に問われたときに、その効果を定量的に示さないと理解が得られないでしょう。

そこで今回は、特権ID管理をマニュアル作業で行う場合に発生する人的工数と、ツール導入によって削減できる工数を試算してみることにします。

特権ID管理ツールの工数削減効果

下表は、一般的な特権IDのリスク要因と、リスク低減のための管理作業の一覧となります。これを仮に手作業で行う場合にはどの程度の工数になるのでしょうか?

表1. 特権IDのリスク要因とリスク低減のための管理作業
リスク 対策
パスワードの漏えいによるシステムへの不正アクセス ・特権IDの定期的なパスワード変更
・アクセスログの取得による不正アクセス・アクセス試行
 の有無を点検
システム管理担当者の特権IDの不適切な使用による意図しないシステム変更 ・特権IDの利用目的・作業内容を明確にした上での
 申請ベースによる権限付与(貸与)
・操作内容ログ取得と作業報告書の提出
不要/未使用の特権IDが第三者に使用されることによるシステム侵害 ・特権IDの定期的な棚卸
管理業務の客観的評価を受ける ・定期的な監査を実施し、管理プロセスが
 適切に実施されているかをチェック

管理対象のサーバー50台、1サーバーに管理すべき特権IDが各10アカウントずつ、特権IDを使用した作業が1日に5回程度発生する想定で、5年間に発生する作業工数を試算してみました。

その結果、管理工数は7,980万円に及ぶ試算となりました。

表2. マニュアル管理による特権ID管理工数(単位:円)


同一の条件に対し、特権ID管理の専用ツールを使用した場合、どの程度工数が削減されるか試算してみました。その結果、5年間で1,400万円程度と、6,500万円ほどの削減効果がある試算となりました。
専用ツールによって処理を自動化することにより、人的工数を大きく削減できる点がこれほどの効果につながる結果になっています。

表3. 専用ツールによる特権ID管理工数(単位:円)


尚、この試算には、ツール導入に伴う初期投資、維持管理コストが含まれていませんが、仮にツールにかかる総所有コストが5年間で2,000万円程度必要だとしても、十分に費用対効果が期待できます。

一方、サーバー10台程度、1日に1回程度しか特権IDを使用しないケースについても試算した結果、 1,000万円以上の削減効果が期待できる結果となりました。

表4. 小規模システムにおける工数削減効果(単位:円)

※管理対象サーバー:10台、1サーバーあたりの管理対象特権ID:5アカウント、1日の特権IDを使用した作業回数:1回として試算

以上のように、特権IDのセキュリティ対策を実施する際、条件によってはツールによって対策のための工数を削減する効果が期待できることがわかります。

特権ID管理ツールの残存リスク低減効果

特権ID管理ツールの導入効果の別の側面として、管理を手作業で行うことによる管理ミス等のリスクが一定レベル残ってしまうのと比較した際、管理を自動化し、人の作業を介在しないことによるリスク低減効果があります。
下表は、自動化によるリスク低減の内容です。

 
表5. 特権ID管理ツールによる残存リスク削減効果の内容
作業内容 マニュアル管理のリスク 自動化によるリスク低減
特権IDの定期的なパスワード変更 ・人の作業によって起きる作業ミス(変更し忘れ等)の発生する場合がある。
・パスワード変更を行うために特権IDを使用する必要があり、特権IDを用いてパスワード変更以外の作業を行う可能性がある。
・定期パスワードを自動処理するため、人的な作業ミスの発生をなくすことが可能。
・人が特権IDを使用して行う必要はなくなるため、その不正使用・濫用のリスクがなくなる。
アクセスログの取得による不正アクセス・アクセス試行の有無を点検 ・アクセスログ収集時に意図的にログを改ざん、隠蔽される可能性がある。
・目視等による不正アクセスなどのチェックが漏れる可能性が想定される。
・ログ収集から不審なアクセスの抽出までをソフトウェアで自動処理し、定義された不正アクセスの判定基準に基づき確実に処理されるため、ログの改ざんや隠蔽が発生する可能性はなく、チェック漏れが発生する恐れがなくなる。
特権IDの利用目的・作業内容を明確にした上での申請ベースの権限付与(貸与) ・作業終了後のアカウント抹消手続きを忘れることにより、有効な特権IDが残り、不正に使用される可能性がある。
・アカウント貸与・返却処理を行うために特権IDを使用する必要があるが、その特権IDを必要なアカウント管理作業以外に不正に使用される可能性がある。
・使用後のアカウント返却処理がソフトウェアによって自動処理されることで、作業ミスが発生する可能性がなくなる。
・アカウント返却作業で人が特権IDを使用する必要性がなくなるため、その不正使用のリスクがなくなる。
操作内容ログ取得と作業報告書の提出 ・操作内容のログ収集時に意図的にログを改ざん、隠蔽される可能性がある。
・目視等によるログ確認作業において、チェックすべきログの内容を見落とす可能性がある。
・ログ収集から不審なアクセスの抽出までをソフトウェアで自動処理し、定義された不正アクセスの判定基準に基づき確実に処理されるため、ログの改ざんや隠蔽が発生する可能性はなく、チェック漏れが発生する恐れがなくなる。
特権IDの定期的な棚卸 ・作業ミスや管理不備等によって、正しい棚卸結果が得られず、不正アクセスの温床になるような消し忘れのアカウントが放置されてしまう可能性がある。 ・各サーバーのアカウント棚卸データの抽出を自動化することで作業ミスによる棚卸結果の誤りが発生する可能性が削減される。

以上のように特権ID管理をはじめセキュリティ対策は、一定のコストは発生するものの、専用ツールを使用することで、管理を効率化するとともに、手作業で管理するよりもリスクをさらに低減できる効果があります。 対策を講じる上でツール導入等、目に見える費用だけに着目するのではなく、管理作業工数も含めることで、より定量的な費用対効果を示すことが可能になります。

本コラムで紹介したコスト試算の詳細については、ホワイトペーパーで解説しています。是非ご参照ください。

>>ホワイトペーパー: 「特権ID&証跡管理ツールの費用対効果」のダウンロードはこちらから

<<前へ    コラム一覧    次へ>>