エンカレッジ・テクノロジ通信 連動コラム

第6回:システム多様化とともに盲点となりがちな特権アカウントのリスク 【その1 仮想化・プライベートクラウド】

これまでのコラムでは、特権アカウントについての管理の必要性、管理する上でのポイントなどについて解説してきましたが、対象のシステムはどちらかというと、オンプレミスで稼働する基幹系システムなど従来型のシステムを想定した内容でした。
しかし、プラットフォームや稼働システムの内容が技術の進展によって変化し、システム環境が多様化する中で、従来のシステム環境にはなかったリスク要因が見逃されがちになる場合があります。特権アカウントについても、それは例外ではありません。

そこで、今号から3回に分けて、多様化するシステム環境で見逃されがちな特権アカウントに関するリスクと、その管理の必要性について解説したいと思います。

今回のテーマは、仮想化環境、言い換えればプライベートクラウド環境における特権アカウントについて解説します。

仮想化技術の光と影

仮想化技術は、サーバーを仮想化することで、膨大な物理サーバーを集約し、柔軟なリソースの管理が可能になるなど、企業におけるサーバー管理の課題を飛躍的に解決する手段として、多くの企業に採用されています。企業内データセンターに仮想化基盤を構築し、プライベートクラウドとして効率化を図ったり、データセンター事業者が、企業に利用してもらうプライベートクラウドをサービスとして提供されたりしています。

しかし、仮想化固有の技術・環境は、従来のオンプレミスにはなかった新たなリスク要因を生み出しています。

(1)仮想化環境の管理者「特権」を超える「スーパー特権」

仮想化環境におけるもっとも大きなリスクは、仮想化環境を管理する管理者に権限が集中している点にあげられます。管理コンソールを利用すると、仮想ネットワークの設定、仮想マシン、ストレージなどのあらゆるリソースに対して設定変更などが行えます。

本来、情報システムの健全な運用のためには、職務分掌や承認ルールを定める必要がありますが、仮想化環境においては、管理者に権限が集約されているため、職務分掌を確立しづらく、権限の濫用の影響範囲が大きくなります。「特権アカウント」を超える「スーパー特権アカウント」と言っても過言ではありません。

例えば、仮想化基盤の管理者権限を利用すれば、仮想ネットワーク内にさらに内部ネットワークを構築し、外部からはアクセスできない仮想サーバーを配置し、そのサーバーに収集した社内情報を保管し、サーバーイメージごとをディスクとして持ち出すといったことが、管理コンソールの操作だけでできてしまいます。

また、仮想化環境の管理者の操作は、専用のGUIツールを使って行う場合が多いのですが、操作内容のチェックのためのログが残らなかったり、改ざん防止のための保護手段が弱かったりする場合が多く、権限の濫用・誤用を発見することも難しいのが現状です。

(2)仮想サーバー内のログの完全性が保証されなくなる


仮想化技術の特長の一つには、仮想サーバーのある時点の状態を保存しておき、いつでもその時点の状態に戻すことができる「スナップショット」という機能があります。

この機能は、変更作業の切り戻しや瞬時にシステム環境を切り替える際などに利用できる有効な機能ですが、一方で、システムから出力された各種ログもその時点の状態に戻ってしまうことを意味しています。

ログの一部が欠け落ちていると、証明手段としての信用性が低下してしまいます。監査上では、完全性が保証できない環境自体が「不十分な取り組み」として判断される場合もあります。
監査の目的だけでなく、不正操作の有無や、事故の原因究明を行う際にも支障が出てしまいます。仮想化基盤の管理者がこの機能を証拠隠滅のために悪用される可能性もあります。

仮想化環境・プライベートクラウド環境における特権アカウントのリスク対処のポイント

前項で解説した通り、仮想化環境、プライベートクラウド環境においては、以下のような対策を講じる必要があります。

(1)仮想化環境の管理者アカウントに対する統制

記述した通り、仮想化環境・プライベートクラウド環境には、物理環境には存在しない仮想化環境自体の管理を行う管理者の概念が存在します。この管理者アカウントには、様々な権限が集中しており、不正使用・濫用リスクが非常に高いため、サーバーの特権アカウント以上にしっかりとした管理を行う必要があります。

■ 権限または使用機会の最小化
仮想化環境の管理者権限を細分化し、不要な権限を付与しない仕組みがある場合には、権限を分散し権限が集中しないようにします。権限の分散が困難な場合には、申請承認ベースで使用を許可するなど使用機会そのものを最小化するような管理プロセスを導入します。

■ 仮想化環境の管理者に対する監査体制の確立
仮想化環境の管理者による権限濫用や誤用に対する監査の体制を確立します。そのためには、仮想化環境の管理者が行った操作を監視したり、ログとして記録できる仕組みを整備する必要があります。前述した通り、仮想化環境によっては、管理者操作のログ出力機能が不十分だったりする場合があるので、他の方法を組み合わせて補うことも必要になります。

(2)仮想サーバーの状態に左右されないログ管理の仕組み


一方、仮想化基盤上で稼働する仮想サーバーについては、スナップショット操作によって内部に保管されているログ自体の完全性を保証することが難しくなるため、仮想化基盤の影響を受けない別環境にログを蓄積するような仕組みを検討する必要があります。

また、仮想化環境の管理者は、仮想化環境とその上で稼働する仮想サーバーに対して透過的に一連の操作を行う場合があるため、それぞれのログが独立しているのではなく、一連操作として関連づけが可能になるようなログ管理の仕方も重要になります。

取り組み事例のご紹介

最後に、実際のお客様の取り組みの事例を2件、ご紹介します。

クオリカ株式会社 様

グループ会社およびお客様のシステムを稼働させるプライベートクラウド「Qualica Resource Service」基盤運用のセキュリティ強化で弊社のESS RECおよびESS AdminControlをご採用いただきました。

三菱総研DCS株式会社 様

強固なセキュリティ対策を施した先進的なクラウドサービス「FINEQloud」の運用統制で、ESS REC  とESS AdminControlをご採用いただきました。

次回は、SaaS, PaaSなどのパブリッククラウドにおける特権アカウントについて解説します。