エンカレッジ・テクノロジ通信 連動コラム

【特権アカウント管理のAtoZ】第7回:システム多様化とともに盲点となりがちな特権アカウントのリスク 【その2 パブリッククラウド】

2017年4月より連載してまいりましたコラム「毎月5分で学ぶ特権アカウント管理のAtoZ」もいよいよ後半。前回に引き続き、システム多様化で盲点となりがちな特権アカウントのリスクについて説明します。今回はパブリッククラウドサービスにおける特権アカウント管理がテーマとなります。

クラウドサービスの浸透から「クラウドファースト」へ

クラウドサービスが提供開始されて10数年が経過し、多くの企業で利用されているクラウドサービス。先進的な企業では、「クラウドファースト」 ―新たにシステムを検討する場合に、クラウドサービスを利用することを前提として考える企業― も現れています。
そのため、重要なシステムはオンプレミス、影響度の低い重要ではないシステムであればクラウド利用といった従来の発想から、重要システムも含めてクラウドサービスを利用する割合も増加していることは、誰もが実感している状況です。

重要なシステムをクラウドサービス上にある状況になると、当然ながらオンプレミスと同様にクラウドサービスで特権アカウントの管理を行う必要性が高まってきます。
それでは、クラウドサービスの特権アカウントとはどんな性質があるのでしょうか?これらは、オンプレミスの特権アカウントと同じ手法で管理することができるのでしょうか?

サービスの種類によって異なる特権アカウントの仕組み

クラウドサービスの特権アカウントを考える上で重要な点は、クラウドサービスとは言っても、多くの多様なサービスがあることです。クラウドサービスの種類を大別すると、インフラ(基盤)をサービス提供するIaaS(Infrastructure as a Service)、ミドルウェアを提供するPaaS(Platform as a Service)、アプリケーションを提供するSaaS(Software as a Service)に分類されます。
これらのサービスの種類によって特権アカウントの仕組みや考え方が全く異なっています。

(1) IaaSは仮想化・プライベートクラウド環境の延長

インフラをサービス提供するIaaSは、システムの構造としては、前回のコラムで紹介した仮想化・プライベートクラウド環境の延長と言えます。
現在サービス提供されているIaaSの多くは、仮想技術を使用してクラウド基盤上に複数の仮想マシンを生成し、個々の仮想マシン上には、物理マシンと同様にオペレーティングシステム(OS)を稼働させます。IaaSを利用するユーザーは、OS上にミドルウェアやアプリケーションを導入してシステムとして利用します。


図1. IaaSの構造と2つのレイヤーで存在する管理者アカウント

管理者はオンプレミスのシステムと同様に個々のOSに対して管理操作を行う際には、OSの特権アカウントを使用します。オンプレミスにはないレイヤーとして、IaaSそのものを管理するレイヤーがあり、これを管理するための管理者アカウントが存在します。この構造は、仮想環境における仮想基盤の管理者アカウントと同じ考え方になります。

IaaSを利用する際、オンプレミスと同様に扱うことが可能なOSの特権アカウント以外に、ブラウザを利用して操作するIaaS基盤そのものを操作するクラウド管理コンソールの管理者アカウントについても、そのリスクの度合いに合わせて必要な対処を行う必要があります。

(2) PaaS/SaaSはWebサービス/APIの世界

一方、PaaS/SaaSといったサービスは、IaaSとは大きく仕組みが異なります。多くのPaaS/SaaSの場合、利用者であっても、管理者であっても、Webブラウザを使用するインターフェイスに統一されており、サービスを構成するOSなどの要素は隠蔽されています。したがって、PaaS/SaaSの利用者側で管理できる範囲はあくまでアプリケーションやミドルウェアの範囲までにとどまります。しかし、オンプレミスのアプリケーションにも管理者アカウントがあり、アプリケーションの設定やユーザーの管理などが行えるのと同じように、PaaS/SaaSの管理者アカウントには一般権限では実施できない特別な権限が付与されており、その権限の濫用・誤用に一定のリスクがある場合には、OSのアカウントと同様に適切な管理が必要です。

下図は、PaaS/SaaSにおける管理者アカウントと一般アカウントとの権限範囲の違いに関する典型的な例となります。多くのサービスでは、管理者アカウントに、ユーザー管理やシステム設定およびアクセス制御の制約を受けないユーザーデータへのアクセスができる権限が付与されており、保存されているデータの重要性・機密性が高いサービスほど、管理者アカウントの濫用・誤用のリスクが高く、管理の必要性が増すことが想定されます。


図2. PaaS/SaaSのアカウントの種別によるアクセス範囲の違い

クラウドサービスにおける特権アカウントの対策の難しさ

クラウドサービスの利用を検討する場合、このようなセキュリティ要件を満たすサービスを選定するというのが、本来の正しいアプローチです。しかしながら、企業が要求するすべての要件を満たすサービスが存在しない場合、ユーザー自身によって対策を講じる必要が出てきます。
従来のオンプレミスに展開するシステムの場合、必要な要件を個別に実装することも可能でしたが、パブリッククラウドサービスの場合、提供機能や仕様は共通化されており、ユーザー固有に持つ要求に応えることが難しいのが現状です。

ハイブリッド環境で統合的に管理できることの重要性

一方、ユーザー企業にとってみると、クラウドサービスは構成される企業システムの1つの要素に過ぎず、多くの企業は、従来型のオンプレミスで稼働しているシステムも同時に保有しています。
その点を考えると、特権アカウントの管理といったセキュリティ要件は、オンプレミスであってもクラウドサービスであっても共通で検討すべき点であり、統合的に管理できる方が良いと言えます。

弊社製品を使用したクラウドサービスの特権アカウント管理

このようなPaaS/SaaSの管理者アカウント、IaaSのクラウド基盤を管理する管理者アカウントの統制に、弊社の特権アカウント管理、証跡管理の仕組みを提供することが可能です。
具体的な例としては、クラウドサービスとオンプレミスのActive DirectoryとIDaaS(Identity as a Service)といわれる認証連携のためのクラウドサービスを使って連携される環境とし、弊社の特権アカウント管理ソフトウェアを使用してActive Directoryのアカウントを制御することで、クラウドサービスの管理者アカウントに対するアクセス制御を行うといった方法があります。また、許可された際の管理者アカウントによるクラウドサービス管理操作を、証跡管理ソフトウェアによって操作を監視・録画するといった対応も可能です。


図3. 弊社製品を使用したクラウドサービスの管理者アカウントに対する統制例

採用事例のご紹介

このような考え方に基づき、株式会社NTTデータ様がクラウドサービスを組み合わせて提供する公共系システムに対して、クラウドサービスの管理者アカウントに対する申請ベースの使用許可及び管理者アカウントの操作内容を記録する要件を満たすため、弊社の特権アカウント&証跡管理オールインワンソフトウェア ESS AdminGateをご採用いただきました。詳しくはプレスリリースをご覧ください。

10月31日 プレスリリース

NTTデータ、公共系システムのクラウド管理者アカウントに対するアクセス管理及び証跡管理のためESS AdminGateを採用

<<前へ    コラム一覧    次へ>>