標的型攻撃対策としてのアクセス管理
昨今、多くの企業が被害を受けている標的型攻撃をはじめ、外部からのサイバー攻撃はますます巧妙になってきており、従来は効果を発揮していたアンチウィルス、ファイアウォール、IDSなどの対策では、もはや防ぐことができなくなっております。
そのため、サイバー攻撃への備えは、これまでのように不正侵入防止を中心に実施するだけでは不十分であり、不正侵入されることを前提に、たとえ侵入されても情報の搾取やシステム改ざんなどの被害が及ばないようにする対処が必要です。
このページでは最近の標的型攻撃の手口の順を追って、社内システムの必要な対策について考えてみます。
感染範囲の拡大を防止:クライアントPCのローカル管理者アカウントの保護
最近の解析によると、多くの攻撃において、クライアントPCのローカル管理者アカウントのパスワードが共通になっていることを悪用して、感染範囲の拡大を招いていることが分かっています。
そのため、感染範囲の拡大を防止する対策の一つとして、クライアントPCのローカル管理者アカウントの適切なパスワード管理を行うことが挙げられます。
なぜ、共通パスワードが設定されているのか?
クライントPCのローカル管理者アカウントのパスワードは、なぜ共通に設定されているのでしょうか?それは、ローカル管理者アカウントを使うのは、一般社員ではなく、PCのメンテナンス作業等を行う情報システム部門の担当者だからです。大量のクライアントPCのメンテナンスを行う必要があるPC保守担当者にとって、すべてのPCのローカル管理者アカウントのパスワードが共通になっている方が、はるかに作業が容易だからです。
手動では管理が困難な訳
クライアントPCのローカル管理者アカウントのパスワードは、Active Directoryのように集中管理ができません。したがって、パスワードを変更するにも全PCを回って個別に設定が必要ですし、設定したパスワードを管理しておく必要があります。そのため、大量に存在するクライアントPCのローカル管理者アカウントのパスワードを適切に管理するには、限界があります。
重要情報にアクセスされないための最後の砦:サーバーの特権ID管理
侵入後の感染範囲の拡大が進むと、攻撃者の最終目標である重要システムへのアクセスの鍵となるサーバーの特権IDが詐取される事態へと進展します。Active Directoryや重要システムの特権IDが攻撃者によって詐取されてしまうと、あらゆる操作を許してしまうため、情報漏洩やシステム改ざんなどの被害を招く事態です。
攻撃者は、パスワードハッシュ値の詐取やブルートフォースアタックなど、あらゆる手口を使って認証情報を奪おうとしますので、企業は特権IDの保護に努める必要があります。
一般的には、(1)パスワードの複雑性の強化や多要素認証の導入、(2)アクセスログの解析による不正アクセスの点検などを実施すべきですが、実は以下のような理由により、対策を講じることは容易ではありません。
パスワードのジレンマ
一般的にパスワードは桁数や使用する文字種などの複雑性を高めれば高めるほど安全ですが、人が利用することが前提であるため、複雑性には限界があります。また、パスワードハッシュ値の詐取対策を考えると、長期間同一パスワードのまま変更しないこともリスクとなるため、定期変更を行う必要もあり、複雑性を高める方法では限界があります。
多要素認証導入の課題
サーバーの特権IDは、人が利用する以外にアプリケーションやバッチ処理でも利用することが想定されます。したがって、従来のID/パスワードによる認証の仕組みを変更してしまうと、アプリケーションやバッチの動作に支障をきたす場合があり、特権IDに対する全面的な多要素認証の導入は難しい場合があります。
不正アクセスの識別は実は容易ではない
これまでの解析では、一旦特権IDの認証情報が詐取されてしまうと、攻撃者は一般的にシステム管理者がアクセスする方法と同じアクセス方法でサーバーに侵入してきます。
そのため、アクセスログを解析しても、不正アクセスであることの識別は容易ではありません。
エンカレッジ・テクノロジの貢献
このような背景から、サイバー攻撃に耐えられるアクセス管理の実現には、ソリューションや専用ツールの採用が効果的です。弊社では、クライアントPCのローカル管理者アカウントのパスワード保護、サーバーの特権IDの保護に、それぞれ専用のソフトウェアを提供しております。
PCのローカル管理者アカウントのパスワード保護:ESS AdminControl for Client(EACC)
ESS AdminControl for Clientは、クライアントPCのローカル管理者アカウントのパスワード管理を行うための専用ソフトウェアです。Microsoftが提供するLAPS(Microsoft Local Administrator Password Solution (レガシLAPS)およびWindows ローカル管理者パスワード ソリューション(Windows LAPS))が導入された環境に、申請ベースでクライアントPCのパスワードの払い出しやログ監査の機能をアドインし、PC保守の運用をサポートしながら、安全なクライアント環境を実現します。
サーバーの特権IDの保護:ESS AdminONE
弊社の特権ID管理ソフトウェアESS AdminONEは、以下のような特権IDアクセス環境を提供することにより、攻撃者から認証情報を詐取され不正にアクセスされることを防止します。
(1)リスクの高いインターネット接続端末上での特権IDの使用を防ぎ、パスワード詐取を防止
(2)業務で行う特権IDアクセスのスケジュールとアクセス経路を特定することで、不正アクセスの識別を容易に
また、アクセスポリシーに基づくサーバーのパスワードの隠蔽+自動認証の仕組みを提供することで、パスワード管理のジレンマを解消し、複雑で強固なパスワード設定と定期変更が可能になります。
また、弊社製品が提供する特権アクセスゲートウェイへの多要素認証を利用することで、システム全体の認証が強化され安全性が高まります。