【全】ヘッダーリンク
【全】お問い合わせ
サイト内検索 検索
【全】メガメニュー
H1

コラム掲載

【お知らせ一覧・詳細】コラム掲載
番外編

特権アカウントと多要素認証の話

今回のコラムでは、以前の連載コラム「特権アカウント管理のAtoZ」では触れてこなかった特権アカウントに対する多要素認証対応にまつわる課題について解説したいと思います。

多要素認証の必要性

以前の連載コラムでもご紹介した通り、特権アカウントはシステムの最高権限を有する特別なアカウントであることから、不正使用・誤用・濫用によるシステムへの影響が大きく、最大限の管理が必要と説明してまいりました。不正使用を防止する対策として、IDとパスワード以外に、指紋や静脈などの生体認証やICカードあるいはワンタイムパスワード(OTP)など、複数の要素を組み合わせた多要素認証の仕組みを取り入れることは、効果的な対策です。


しかしながら、特権アカウントに多要素認証を取り入れようとする際に、以下のような課題に直面し、用意に多要素認証を取り入れることが難しいのが現状です。

課題1:共有型アカウントに多要素認証が対応しない場合が多い

多要素認証の一般的な仕組みでは、各アカウントに所有者本人しか知り得ない、本人のみが提示可能な要素を紐づけるという考え方に基づいて動作します。例えば、佐藤さんのアカウントには、佐藤さんの指紋情報が紐づいて管理されており、認証時に指紋情報を要求し、紐づけられた情報と照合します。つまり、アカウントを利用するユーザーは常に固定されており、同一のアカウントを使いまわす想定にはなっていないのです。



しかし特権アカウントの管理においては、以前のコラム「特権アカウント管理のベストプラクティス」で解説した通り、個人アカウントに特権を付与する方法ではかえって管理が煩雑になるため、共有アカウントを必要に応じて貸し出す運用が望ましいのです。

仮にこのような共有型アカウントに多要素認証を適用すると、貸し出すたびに、使用者が異なることが想定されるため、その都度、認証情報を付け替えるといった処理が必要になってきます。OTPを発行するトークンやICカードを貸し出すといった運用にも無理があります。

課題2:システムが利用することが想定される

サーバーの特権アカウントは、作業者が利用するだけではなく、バッチ処理などシステムが利用する場合があります。そのため特権アカウントに多要素認証を組み込んでしまうと、システムがアカウントを利用することが難しくなる場合があります。
多要素認証システムの中には、特定のアカウントを除外し、多要素を必要としないよう設定することが可能なものも存在しますが、その場合は、従来のID・パスワードでの管理となり、不正使用のリスクレベルが従来のレベルのままになってしまいます。

パスワードの複雑性を強化する場合のジレンマ

一方、多要素認証を取り入れず、従来のID・パスワードを用いて認証を強化しようとすると、パスワードの最小文字数を長くしたり使用文字種を複雑にするなどの方法が考えられますが、パスワードは人による入力を前提としているため、極端に複雑で長いパスワードを設定することには限界があります。文字数が多く入力に時間を要する他、誤入力によって何度も間違えてしまったり、アカウントがロックされてしまうなどのトラブルが発生しかねないからです。
 

特権アカウント管理ツールと多要素認証のメリット

以上のように特権アカウントは、多要素認証に対応するにはいくつか問題がある一方、パスワードを複雑にするのも限界があり、認証強化を行うにはいろいろ制限が多いのが現状ですが、特権アカウント管理ツールを併用することで、運用上も無理をすることなく、認証強化を図ることが可能になります。

下図は、弊社の特権アカウント管理ツールESS AdminGateを使用した例です。

ESS AdminGateでは、ポリシーに基づいて、サーバーの特権アカウントとユーザーとの紐づけを行います。ユーザーがアクセスすると、シングルサインオンの仕組みを用いて、アクセスが許可されているサーバーへの認証をESS AdminGateが代行することで、特権アカウントのパスワードを通知せずにアクセス許可を行うことができる仕組みを提供します。このユーザーと特権アカウントとの紐づけはワークフローによる申請・承認で動的に設定することも可能です。

このような仕組みを用いることで、サーバーの特権アカウントは、人が入力することを想定しなくても良くなることから、非常に複雑なパスワードを設定し、かつ高頻度で変更することが可能となります。
(ESS AdminGateは、パスワードの定期変更も自動処理します)

一方、ESS AdminGateに対する個人アカウントの認証に今回、Google Authenticatorを使って多要素認証に対応することが可能になりました。これにより、サーバーとの特権アカウントと紐づいたユーザーアカウントの認証が強化され、システム全体の安全性を高めることが可能になりました。

ESS AdminGateについては、10月31日、11月14日に開催しますWebセミナーで詳しく解説します。
是非、ご参加ください。

 

<<前へ    コラム一覧    次へ>>