毎月最終火曜日の定期配信しておりますメールマガジン「エンカレッジ・テクノロジ通信」の連載コラム「毎月5分で学ぶ特権アカウント管理のAtoZ」。
第1回では、特権アカウントに関する基本的な知識、第2回では、その管理不備のリスク・危険性を説明いたしました。3回目となる今回は、この特権アカウントの管理について、法規制や業界のガイドラインではどのような規定になっているかを整理してみます。
情報セキュリティ管理基準(経済産業省)
経済産業省が発行する情報セキュリティ管理基準は、情報技術(IT)の産業全般への浸透に伴い、各事業者における情報セキュリティの確保のため、企業に求められる対策をまとめたガイドラインです。
ISMS/ISO27001の要求事項をもとにまとめられており、国内における情報セキュリティ基準のスタンダードになっています。
表1. 情報セキュリティ管理基準で規定されている特権アカウントの管理基準
| 項番 |
内容 |
| 9.2.3 |
特権的アクセス権の割当て及び利用は、制限し、管理する。 |
| 9.2.3.1 |
特権的アクセス権の割当ては、関連するアクセス制御方針に従って、正式な認可プロセスによって管理する。 |
| 9.2.3.2 |
特権の割当ての正式な認可プロセスでは、各々のシステム又はプロセス(例えば、オペレーティングシステム、データベース管理システム、各アプリケーション)に関連した特権的アクセス権、及び特権的アクセス権を割り当てる必要がある利用者を特定する。 |
| 9.2.3.3 |
特権の割当ての正式な認可プロセスでは、特権的アクセス権を、アクセス制御方針に沿って、使用の必要性に応じて、かつ、事象に応じて、利用者に割り当てる。すなわち、利用者の職務上の役割のための最小限の要求事項に基づいて割り当てる。 |
| 9.2.3.4 |
特権の割当ての正式な認可プロセスでは、割り当てた全ての特権の認可プロセス及び記録を維持する。 |
| 9.2.3.5 |
特権の割当ての正式な認可プロセスでは、特権的アクセス権は、認可プロセスが完了するまで許可しない。 |
| 9.2.3.6 |
特権の割当ての正式な認可プロセスでは、特権的アクセス権の終了に関する要求事項を定める。 |
| 9.2.3.7 |
特権の割当ての正式な認可プロセスでは、特権的アクセス権は、通常業務に用いている利用者ID とは別の利用者ID に割り当てる。特権を与えられたID からは、通常業務を行わない。 |
| 9.2.3.8 |
特権の割当ての正式な認可プロセスでは、特権的アクセス権を与えられた利用者の力量がその職務に見合っていることを検証するために、その力量を定期的にレビューする。 |
| 9.2.3.9 |
特権の割当ての正式な認可プロセスでは、汎用の実務管理者ID の認可されていない使用を避けるため、システムの構成管理機能に応じて、具体的な手順を確立及び維持する。 |
| 9.2.3.10 |
特権の割当ての正式な認可プロセスでは、汎用の実務管理者ID に関しては、共有する場合に秘密認証情報の機密性を維持する(例えば、頻繁にパスワードを変更する、特権を与えられた利用者が離職する又は職務を変更する場合はできるだけ早くパスワードを変更する、特権を与えられた利用者の間で適切な方法でパスワードを伝達する。)。 |
| 9.2.5 |
資産の管理責任者は、利用者のアクセス権を定められた間隔でレビューする。 |
| 9.2.5.4 |
特権的アクセス権の認可は、利用者のアクセス権より頻繁な間隔でレビューする。 |
| 9.2.5.5 |
特権の割当てを定められた間隔で点検して、認可されていない特権が取得されていないことを確認する。 |
| 9.2.5.6 |
特権アカウントを変更する際は、定期的なレビューのために変更ログをとる。 |
| 12.4.3 |
システムの実務管理者及び運用担当者の作業は、記録し、そのログを保護し、定期的にレビューする。 |
| 12.4.3.1 |
特権を与えられた利用者(システムの実務管理者及び運用担当者)に関する責任追跡性を維持するために、その作業を記録する。 |
| 12.4.3.2 |
特権を与えられた利用者(システムの実務管理者及び運用担当者)に関する責任追跡性を維持するために、その利用者の作業のログを保護する。 |
| 12.4.3.3 |
特権を与えられた利用者(システムの実務管理者及び運用担当者)に関する責任追跡性を維持するために、その作業のログを定期的にレビューする。 |
システム管理基準 追補版(財務報告に係る IT 統制ガイダンス)
平成18年6月に成立した、改正金融商品取引法における上場企業の内部統制の整備及び運用状況の有効性の評価・報告が義務付けられた、いわゆる「JSOX対応」における「ITへの対応」の部分に関し、「システム管理基準等」のガイドラインとの関連性を示したものです。
実質的には上場企業におけるJSOX法対応の一環であるIT統制に対する標準的な指針として位置づけられています。
表2. システム管理基準 追補版(財務報告に係る IT 統制ガイダンス)における特権アカウントの規定
| 項番 |
内容 |
(2)システムの運用・管理
① 運用管理
c.運用の実施記録、ログの採取と保管 |
3-(2)-①-ヘ 情報システムで発生した問題を識別するために、システム運用の作業ログ・障害の内容ログ及び原因ログを記録し、保管すること。取得されたログは、内容が改ざんされないように保管することが望ましい。 |
(3) 内外からのアクセス管理等のシステムの
安全性の確保
② アクセス管理等のセキュリティ対策
a.アクセス制御 |
3-(3)-②-ホ 特権IDの付与にあたっては、担当者や利用期間を限定し、そのIDに対応する業務にのみ利用していること |
| b.パスワードの管理 |
3-(3)-②-ヘ パスワードの割当ては、アクセス手順にしたがって付与されること |
金融機関におけるコンピュータシステムの安全管理基準(FISC)
金融情報システムセンター(FISC)が業界自主基準として昭和60年に策定以来、改定を重ねてきた金融業界におけるITシステムの運用およびセキュリティ基準。金融庁におけるIT検査においても参照されており、実質的に金融機関におけるITシステムに対するガイドラインとして機能しています。
現在のガイドライン(第8版)では、138の設備基準、114の運用基準、53の技術基準で構成されており、特に運用基準、技術基準において特権アカウントの管理についての内容が規定されています。
平成27年に改訂された第8版追補改訂では、取得すべきログの内容に特権IDの成功および失敗ログが追加されていますが、この背景として、サイバー攻撃の早期発見のために特権IDのログ検査が必要であることが改訂内容の策定にあたる有識者検討会の報告書に記載されています。
| 項番 |
タイトル |
内容 |
| 運17 |
パスワードが他人に知られないための措置を講じておくこと |
パスワード等の漏洩防止のため、他人に知られないための注意喚起等の措置を講じておくこと。 |
| 運18 |
各種資源、システムへのアクセス権限の付与、見直し手続きを明確化すること。 |
各種資源、システムへのアクセスを管理するため、アクセス権限を与えるにあたってその手続きを明確に定めることが必要である。さらに、アクセス権限を適切に保つため、見直しの手続きを明確化することが必要である。 |
| 運22 |
オペレーションの記録、確認を行うこと。 |
オペレーションの正当性を検証するため、オペレーションの記録、確認を行うこと。 |
| 技26 |
暗証番号・パスワード等は他人にしられないための対策を講ずること |
暗証番号・パスワード等の漏洩防止のため、非表示、非印字等の必要な対策を講ずること。 |
| 技35 |
本人確認機能を設けること。 |
不正使用防止のため、業務内容や接続方法に応じ、接続相手先が本人もしくは正当な端末であることを確認すること。 |
| 技36 |
IDの不正使用防止機能を設けること。 |
不正アクセス防止のため、システムやデータ等へのアクセスに用いるIDの不正使用防止機能を設けること。 |
| 技37 |
アクセス履歴を管理すること。 |
アクセス状況を管理するため、システムやデータへのアクセス履歴を取得し、監査証跡として必要期間保管するとともに定期的にチェックすること。
・特権IDの利用履歴(成功時・失敗時) |
| 技45 |
不正アクセスの監視機能を設けること。 |
不正アクセスを早期に発見するため、アクセスの失敗や不正アクセスを監視する機能を設けること。 |
PCI DSS
PCI DSS は、 国際カードブランド団体(PCI SSC) によって定められた、カード会員データを保護するためのシステムインフラのセキュリティ対策基準です。以下の12の要件によって構成されています。 国内では、日本クレジット協会が、加盟するカード会社や加盟店に対し、本基準を準拠する自主期限を設定し、安全なクレジットカードの利用環境の普及に努めています。
PCI DSS要件
| 安全なネットワークの構築と維持 |
1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
|
| カード会員データの保護 |
3. 保存されたカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
|
| 脆弱性管理プログラムの整備 |
5. すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
|
| 強固なアクセス制御手法の導入 |
7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
|
| ネットワークの定期的な監視およびテスト |
10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
|
| 情報セキュリティポリシーの整備 |
12. すべての担当者の情報セキュリティに対応するポリシーを維持する |
特権アカウントについては、要件7、8といったアクセス制御、アクセス者の識別といった基準において一般のアカウントとは別に厳しい管理方法が規定されているとともに、要件10のアクセス内容の追跡・監視についても対象となっています。
| 7.1 |
システムコンポーネントとカード会員データへのアクセスを、業務上必要な人に限定する。 |
| 8.1 |
ポリシーと手順を定義して実装することで、すべてのシステムコンポーネントで、非消費者ユーザと管理者のための適切なユーザ識別および認証の管理が行われるようにする。 |
| 8.2 |
一意の割り当てに加え、以下の方法の少なくとも1つを使用してすべてのユーザーを認証する。
1)パスワードまたはパスフレーズ
2)2因子認証(トークンデバイス、スマートカード、 生体認証、公開鍵等) |
| 10.1 |
システムコンポーネントへのすべてのアクセスを各ユーザにリンクする監査証跡を確立する。 |
| 10.2 |
(次のイベントを再現するために、)すべてのシステムコンポーネントの自動監査証跡を実装する。 |
| 10.3 |
イベントごとに、すべてのシステムコンポーネントについて少なくとも以下の監査証跡エントリを記録する。 |
| 10.5 |
変更できないよう、監査証跡をセキュリティで保護する。 |
以上のように、特権アカウントの管理については、様々なガイドライン・業界基準でその具体的な内容が規定されており、特権アカウントの性質上、その管理不備によるリスク要因の大きさを認識いただけることと思います。
総じて規定されている内容には、
(1)利用機会や使用する権限の最小化
(2)利用者の識別
(3)アクセスログや利用内容の証跡確保
(4)定期的な点検
といった点が盛り込まれています。しかしこれらの管理プロセスを実運用に当てはめる場合、様々な問題に直面します。
次回は、実際の運用を考える上で必要なポイントを踏まえた特権アカウント管理のベストプラクティスについてご説明します。