本コンテンツのPDF版をダウンロード

 またアクセスコントロールでは、TCP/IPでの
アクセス禁止から強制終了・起動禁止、
アクセ
運用事例(レポート:ユーザの利用履歴)
特権IDの"使い回し"はNGって言われても…
ス可能端末の指定までかなり細かく設定でき
る。
これにより
「このPCからTelnetでつないだ
場合のみDBにアクセスできる」など厳格な運
用が可能になる。内部犯行への対策とともに、
外部からの不正ログインへの対策としても高
OSの特権ユーザからのアクセスでも制御が可能
い効果を発揮する。
もちろんすべての操作ログを取得・保管して
いるため、監査にも手間をかけずに対応できる
点も忘れずに挙げておきたい。
通常は“root”ユーザで記録されるが、
ログインユーザの“kikuchi”でログに記録 !
OSの実効ユーザも記録
PCI DSS の要件にはすべて対応!官公庁・金融機関への導入実績も多数
PCI DSSへの対応もCA PIMならば問題なく、要件7・8に定められた項目をすべてクリアしている。官公庁や金融機関
などそもそもPCI DSS準拠が求められる組織や企業への導入実績も多く、
「どのようなプロセスで進めればよいのか」
など
のノウハウも豊富だ。
セキュリティ統制をイチから自分たちで実現するとなると、
ハードルは高い。
このような基準やツールをうまく活用しな
がら、
セキュリティを強化していくのが、賢い方法と言えるだろう。
PCI DSS概要
7
カード会員データへのアクセスを、
業務上必要な範囲内に制限する
7.1.1
各役割のアクセスニーズを定義する
・各役割が職務上アクセスする必要のあるシステムコンポーネントと
データリソース
・リソースへのアクセスに必要な特権レベル
(ユーザ、
管理者など)
CA PIM
特権ユーザ(root,administrator)
のアクセス制限が可能
業務担当者別に適切な管理者権限を割り当てることが可能
7.2.1
すべてのシステムコンポーネントを対象に含む
マルチプラットフォーム対応につき多彩なOSシステムに対応
7.2.2
職種と職務に基づく、
個人への特権の付与
業務担当者別に適切な管理者権限を割り当てることが可能
8.2
システムコンポーネントへのアクセスを確認・許可する
一意のIDを割り当てることに加え、
すべてのユーザを認証するため、
次
の方法の少なくとも1つを使用することで、
すべてのシステムコンポー
ネント上での顧客以外のユーザと管理者の適切なユーザ認証管理を
確認する
仮に共有IDを利用していても、個別IDに分割する機能で対応可能
パスワード及びパスフレーズを実装し、強制させることが可能
に危険である。
ではどう対策するのか、
といったところで密かに注目を集めているのが
「PCI DSS」
だ。クレジットカード情報を扱う企業
を対象としたセキュリティ基準ながら一般企業でも“使える”と、
もっぱらのウワサだという。
特権 ID に潜む大きすぎるリスクと、
「PCI DSS」を活用した対策
内部犯行で悪用される
「特権 ID」
の管理は不可欠!
以前はセキュリティ事故というと通り魔的な攻撃による被害が多かっ
たが、近年特定の企業を狙った標的型攻撃が増加しているのはニュース
IDの管理ミスや悪用による情報漏洩である。
特権IDとは、
ご存知の方も多いと思うが、
システム管理などで利用する
ユーザIDの失効、有効、使用可能期限などの設定機能により対応可能
・汎用ユーザID及びアカウントが無効化または削除されている
・システム管理作業及びその他の重要な機能に対する共有
ユーザIDが存在しない
・システムコンポーネントの管理に共有及び汎用ユーザIDが
使用されていない
10.5 変更できないよう監査証跡をセキュリティで保護する
仮に共有IDを利用していても、個別IDに分割する機能で対応可能
パスワードポリシー機能で対応
権限管理を実装可能。権限分掌により、
ユーザiDなどの識別子の管理
が可能
改竄検知の機能により対応可能
非常に高い権限を持つIDのこと。
システムの起動停止やアプリケーション
のインストール、設定変更のほか、全データへのアクセスなどあらゆる操
作が可能なIDだ。
これが悪用されると大規模な情報漏洩につながること
CA Technologies
http://www.ca.com /jp /
顧客リスト
など重要
情報の転売
ID
特権
は想像に難くない。以前あった内部犯行による大事件を覚えている人も
多いだろう。
改竄検知、
ログの保護、
アラート機能などにより対応可能
もし今でも1つの特権ID・パスワードを担当者間で使い回しているな
製品・サービスの取扱い企業
セキュリティリスクを考える
場合「標的型攻撃」に注目
しがちだが…
ら、
そこには大きなリスクが潜んでいることを覚悟すべきだ。
申請ベースで
利用させる、特権IDであってもアクセスできる範囲を必要最小限に制限す
るなどの管理を強く勧める。
内部犯行
標的型攻撃
会社への
嫌がらせ
etc…
不正をしていない
ユーザも疑われる
のは大迷惑!
8.5.6 グループ、
共有、
または汎用のIDやパスワード、
または他の認証方法が
使用されていない。
変更できないよう監査証跡をセキュリティで保護する
“内部犯行”。標的型攻撃と内部犯行の被害件数を比較すると8対2で標的型攻撃が多いのに対し、被害額では逆転する
などで報じられているとおり。更にここ2年ほどで目立ってきたのが、特権
・ユーザが知っていること
(パスワード、
パスフレーズなど)
・
トークンデバイスやスマートカードなど、
ユーザが所有しているもの
・ユーザ自身を示すもの
(生体認証など)
11.5
最近では標的型攻撃を挙げる人も多いかもしれない。確かにそれも大きなリスクだが、実はより気をつけるべきなのは
マイナンバー対策としても有効な、
セキュリティ統制への“近道”を解説しよう。
特権ユーザIDに与えるアクセス権を職務の実行に必要な最小限の
特権に制限する
8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可す
る前に、
すべてのユーザに一意のIDを割り当てる
「セキュリティ事故」
と聞くとどんな原因を思い浮かべるだろうか?
そしてこの内部犯行で悪用されがちなのが「特権ID」
である。同じIDを共有し、使い回している…といった状況はあまり
7.1.2
8
※この記事はキーマンズネットに掲載(2015.12.25)
のコンテンツを一部再編集したものです。
というハナシもある。1度のインシデントの被害規模がケタ違いに大きくなるのが内部犯行なのだ。
PCI DSS一部要件と対応例(抜粋)
要件
対策強化 の
近道を 解説
ID
特権
件数だけ見れば標的型攻撃の方が多いが、被害額で
は内部犯行の方が大きいという。
導入企業が増加中!セキュリティ統制に効果的な
「PCI DSS」
「パスワード管理」
と
「アクセスコントロール」
を 1 つのツールで実現できるのは
『CA PIM』
PCI DSSはそもそもクレジットカード情報を扱う企業向けに定められたセキュリティ基準であり、12の要件、300の項
当然だが、上記のような管理を手作業で行うのは現実的ではなく、監査対応なども手間ばかりかかってしまう。
ツール
目で行うべき対策が細かく決まっている。
を導入し、
自動化しておくのが賢明だ。
確実なセキュリティ統制を実現できるというワケだ。
もちろん監査対応としても有効であり、特権IDを業務で利用する担
CA AccessControl、CA ControlMinderという名称で展開されていた製品なのだが、
こちらの名称に聞き覚えがある
…と聞くとなんだか大変そうに思えるのだが、逆にここまで具体的に決められているからこそ、指示通りに対応すれば
当者に覚えのない疑惑がかかるのを防ぐ効果を期待する企業もある。
金融業界やECサービスなどで早々に導入が済んでいるのは当然だが、
そのほかの企業においても今、“PCI DSSは使え
る”と導入が進んでいるのだ。
そして数あるツールの中でも、特にオススメなのが『CA Privileged Identity Manager(以下、CA PIM)』。以前は
方もいるだろう。特権ID管理と言えばコレ、
と高く評価されてきた製品である。
なんといっても
「パスワード管理」
だけでなく、細かな
「アクセスコントロール」
まで1つで対応しているのはCA PIMだけ
であり、大きなアドバンテージとなっているのだ(2015年12月
CA Technologies調べ)。
企業のセキュリティを網羅的に扱うPCI DSSだが、特権IDに関しては要件7
「カード会員データへのアクセスを、業務上
必要な範囲内に制限する」、要件8「カード会員データへのアクセスを許可する前に、
すべてのユーザに一意のIDを割り当
てる」
が該当する。具体的にどう実現するのか、次章で解説しよう。
この2つを1つのツールで実現できるのはCA Privileged Identity Managerだけ!
ゲートウェイ型
サーバー制御型
ゲートウェイでのアクセス制御。
直接サーバーへのアクセスは管理対象外。
マイナンバー対策も PCI DSS でクリアできる!
サーバーごとにアクセス制御、特権ユーザのアクセス
も制御可能。監査ログも詳細に取得が可能。
2016年1月からついに始まるマイナンバー制度。従業員のマイナンバーという特定機密情報を預かるか
らには、
セキュリティ対策強化、
セキュリティ統制の徹底は必須だ。
対策にあたって参考にすべきマイナンバー取扱いの“ガイドライン”が公開されているのだが、実はその内
容はPCI DSSの要件と根本的なところは酷似している。
よって、PCI DSSに対応しておけばマイナンバー対
策としても問題ないと言えるだろう。
また
「マイナンバー開始にあたってセキュリティ監査はどう変わるのか」
という懸念もあるが、
こちらもPCI
DSSに対応していればそうそう指摘は入らないと思われる。
PCI DSS 対応の特権 ID 管理はどう実現するのか?
特権 ID 管理は「パスワード管理」
と
「アクセスコントロール」
の 2 段階で考える!
PCI DSSでも2つの要件に分けられている通り、
特権ID管理は2つの段階に
分けることができる。最初の段階が、要件8に該当する
「パスワード管理」。申
請・許可をベースにIDと期間限定パスワードを払い出すとともに、該当IDでで
?
なる部分だが、
これだけで終わってはいけない。
なぜなら、DBなどに直接アク
うからだ。
そこで2段階目としてこの“抜け穴”をふさぐのが、要件7に該当する
「アクセ
スコントロール」
である。誰が、
どのデータに、
どこからアクセスできるのかを細
かく制御することで、特権IDを厳格に管理できるようになる。
この2段階をビルの入館管理に例えよう。申請に基づいてビルへの入館カ
ド
カー
入館
特権IDの申請、承認、パスワード管理のフロー
⑨ ログイン
申請者
(特権ID利用者)
パスワード管理
「入館カードの発行」だけでは、中に入った
後は、どこで何をしているのか分からないの
で対策としては不十分。
ド
カー
入館
7Fの○×号室で
会議
アクセスコントロール
⑩ 作業完了
⑧ パスワード貸し出し
記録
限
制
定めておくのがアクセスコントロール、
というワケだ。
終了後、無効化(パスワード変更)
するのを忘れてしまった」
などのミスをなくし、情報漏洩のリスクを最小限に抑える。
?
ードを発行するのがパスワード管理。
ただし、
それだけではビル内のどこにで
も行けてしまうので問題がある。
そこで、何階のどの部屋で何をするのかまで
CA PIMでは、特権IDの利用申請・承認に基づいた“パスワード貸し出し”のフローを自動化。
「パスワード貸し出し期間
「パスワード管理」と
「アクセスコントロール」を
ビルの入館管理に例えると…
きる操作を指定することで特権IDをコントロールする。特権ID管理の基本と
セスできるIDなどを開発者が持っていたりすると、
そこに抜け穴ができてしま
特権 ID の効率的かつ厳格な管理を実現し、監査対応の負荷も軽減
入館した後、「何階のどの部屋で何をするの
か?」まで定めて管理するようなもの。
⑥ 承認
① 申請
② 申請
④ 申請
③ 承認
⑤ 承認
承認者 1
(上長など)
特権ID申請の許可ログ
⑦ パスワード生成
承認は個人
またはグループ
業務サーバ
⑪ パスワードリセット
承認者 2
(運用管理者など)
承認は個人
またはグループ
導入企業が増加中!セキュリティ統制に効果的な
「PCI DSS」
「パスワード管理」
と
「アクセスコントロール」
を 1 つのツールで実現できるのは
『CA PIM』
PCI DSSはそもそもクレジットカード情報を扱う企業向けに定められたセキュリティ基準であり、12の要件、300の項
当然だが、上記のような管理を手作業で行うのは現実的ではなく、監査対応なども手間ばかりかかってしまう。
ツール
目で行うべき対策が細かく決まっている。
を導入し、
自動化しておくのが賢明だ。
確実なセキュリティ統制を実現できるというワケだ。
もちろん監査対応としても有効であり、特権IDを業務で利用する担
CA AccessControl、CA ControlMinderという名称で展開されていた製品なのだが、
こちらの名称に聞き覚えがある
…と聞くとなんだか大変そうに思えるのだが、逆にここまで具体的に決められているからこそ、指示通りに対応すれば
当者に覚えのない疑惑がかかるのを防ぐ効果を期待する企業もある。
金融業界やECサービスなどで早々に導入が済んでいるのは当然だが、
そのほかの企業においても今、“PCI DSSは使え
る”と導入が進んでいるのだ。
そして数あるツールの中でも、特にオススメなのが『CA Privileged Identity Manager(以下、CA PIM)』。以前は
方もいるだろう。特権ID管理と言えばコレ、
と高く評価されてきた製品である。
なんといっても
「パスワード管理」
だけでなく、細かな
「アクセスコントロール」
まで1つで対応しているのはCA PIMだけ
であり、大きなアドバンテージとなっているのだ(2015年12月
CA Technologies調べ)。
企業のセキュリティを網羅的に扱うPCI DSSだが、特権IDに関しては要件7
「カード会員データへのアクセスを、業務上
必要な範囲内に制限する」、要件8「カード会員データへのアクセスを許可する前に、
すべてのユーザに一意のIDを割り当
てる」
が該当する。具体的にどう実現するのか、次章で解説しよう。
この2つを1つのツールで実現できるのはCA Privileged Identity Managerだけ!
ゲートウェイ型
サーバー制御型
ゲートウェイでのアクセス制御。
直接サーバーへのアクセスは管理対象外。
マイナンバー対策も PCI DSS でクリアできる!
サーバーごとにアクセス制御、特権ユーザのアクセス
も制御可能。監査ログも詳細に取得が可能。
2016年1月からついに始まるマイナンバー制度。従業員のマイナンバーという特定機密情報を預かるか
らには、
セキュリティ対策強化、
セキュリティ統制の徹底は必須だ。
対策にあたって参考にすべきマイナンバー取扱いの“ガイドライン”が公開されているのだが、実はその内
容はPCI DSSの要件と根本的なところは酷似している。
よって、PCI DSSに対応しておけばマイナンバー対
策としても問題ないと言えるだろう。
また
「マイナンバー開始にあたってセキュリティ監査はどう変わるのか」
という懸念もあるが、
こちらもPCI
DSSに対応していればそうそう指摘は入らないと思われる。
PCI DSS 対応の特権 ID 管理はどう実現するのか?
特権 ID 管理は「パスワード管理」
と
「アクセスコントロール」
の 2 段階で考える!
PCI DSSでも2つの要件に分けられている通り、
特権ID管理は2つの段階に
分けることができる。最初の段階が、要件8に該当する
「パスワード管理」。申
請・許可をベースにIDと期間限定パスワードを払い出すとともに、該当IDでで
?
なる部分だが、
これだけで終わってはいけない。
なぜなら、DBなどに直接アク
うからだ。
そこで2段階目としてこの“抜け穴”をふさぐのが、要件7に該当する
「アクセ
スコントロール」
である。誰が、
どのデータに、
どこからアクセスできるのかを細
かく制御することで、特権IDを厳格に管理できるようになる。
この2段階をビルの入館管理に例えよう。申請に基づいてビルへの入館カ
ド
カー
入館
特権IDの申請、承認、パスワード管理のフロー
⑨ ログイン
申請者
(特権ID利用者)
パスワード管理
「入館カードの発行」だけでは、中に入った
後は、どこで何をしているのか分からないの
で対策としては不十分。
ド
カー
入館
7Fの○×号室で
会議
アクセスコントロール
⑩ 作業完了
⑧ パスワード貸し出し
記録
限
制
定めておくのがアクセスコントロール、
というワケだ。
終了後、無効化(パスワード変更)
するのを忘れてしまった」
などのミスをなくし、情報漏洩のリスクを最小限に抑える。
?
ードを発行するのがパスワード管理。
ただし、
それだけではビル内のどこにで
も行けてしまうので問題がある。
そこで、何階のどの部屋で何をするのかまで
CA PIMでは、特権IDの利用申請・承認に基づいた“パスワード貸し出し”のフローを自動化。
「パスワード貸し出し期間
「パスワード管理」と
「アクセスコントロール」を
ビルの入館管理に例えると…
きる操作を指定することで特権IDをコントロールする。特権ID管理の基本と
セスできるIDなどを開発者が持っていたりすると、
そこに抜け穴ができてしま
特権 ID の効率的かつ厳格な管理を実現し、監査対応の負荷も軽減
入館した後、「何階のどの部屋で何をするの
か?」まで定めて管理するようなもの。
⑥ 承認
① 申請
② 申請
④ 申請
③ 承認
⑤ 承認
承認者 1
(上長など)
特権ID申請の許可ログ
⑦ パスワード生成
承認は個人
またはグループ
業務サーバ
⑪ パスワードリセット
承認者 2
(運用管理者など)
承認は個人
またはグループ
またアクセスコントロールでは、TCP/IPでの
アクセス禁止から強制終了・起動禁止、
アクセ
運用事例(レポート:ユーザの利用履歴)
特権IDの"使い回し"はNGって言われても…
ス可能端末の指定までかなり細かく設定でき
る。
これにより
「このPCからTelnetでつないだ
場合のみDBにアクセスできる」など厳格な運
用が可能になる。内部犯行への対策とともに、
外部からの不正ログインへの対策としても高
OSの特権ユーザからのアクセスでも制御が可能
い効果を発揮する。
もちろんすべての操作ログを取得・保管して
いるため、監査にも手間をかけずに対応できる
点も忘れずに挙げておきたい。
通常は“root”ユーザで記録されるが、
ログインユーザの“kikuchi”でログに記録 !
OSの実効ユーザも記録
PCI DSS の要件にはすべて対応!官公庁・金融機関への導入実績も多数
PCI DSSへの対応もCA PIMならば問題なく、要件7・8に定められた項目をすべてクリアしている。官公庁や金融機関
などそもそもPCI DSS準拠が求められる組織や企業への導入実績も多く、
「どのようなプロセスで進めればよいのか」
など
のノウハウも豊富だ。
セキュリティ統制をイチから自分たちで実現するとなると、
ハードルは高い。
このような基準やツールをうまく活用しな
がら、
セキュリティを強化していくのが、賢い方法と言えるだろう。
PCI DSS概要
7
カード会員データへのアクセスを、
業務上必要な範囲内に制限する
7.1.1
各役割のアクセスニーズを定義する
・各役割が職務上アクセスする必要のあるシステムコンポーネントと
データリソース
・リソースへのアクセスに必要な特権レベル
(ユーザ、
管理者など)
CA PIM
特権ユーザ(root,administrator)
のアクセス制限が可能
業務担当者別に適切な管理者権限を割り当てることが可能
7.2.1
すべてのシステムコンポーネントを対象に含む
マルチプラットフォーム対応につき多彩なOSシステムに対応
7.2.2
職種と職務に基づく、
個人への特権の付与
業務担当者別に適切な管理者権限を割り当てることが可能
8.2
システムコンポーネントへのアクセスを確認・許可する
一意のIDを割り当てることに加え、
すべてのユーザを認証するため、
次
の方法の少なくとも1つを使用することで、
すべてのシステムコンポー
ネント上での顧客以外のユーザと管理者の適切なユーザ認証管理を
確認する
仮に共有IDを利用していても、個別IDに分割する機能で対応可能
パスワード及びパスフレーズを実装し、強制させることが可能
に危険である。
ではどう対策するのか、
といったところで密かに注目を集めているのが
「PCI DSS」
だ。クレジットカード情報を扱う企業
を対象としたセキュリティ基準ながら一般企業でも“使える”と、
もっぱらのウワサだという。
特権 ID に潜む大きすぎるリスクと、
「PCI DSS」を活用した対策
内部犯行で悪用される
「特権 ID」
の管理は不可欠!
以前はセキュリティ事故というと通り魔的な攻撃による被害が多かっ
たが、近年特定の企業を狙った標的型攻撃が増加しているのはニュース
IDの管理ミスや悪用による情報漏洩である。
特権IDとは、
ご存知の方も多いと思うが、
システム管理などで利用する
ユーザIDの失効、有効、使用可能期限などの設定機能により対応可能
・汎用ユーザID及びアカウントが無効化または削除されている
・システム管理作業及びその他の重要な機能に対する共有
ユーザIDが存在しない
・システムコンポーネントの管理に共有及び汎用ユーザIDが
使用されていない
10.5 変更できないよう監査証跡をセキュリティで保護する
仮に共有IDを利用していても、個別IDに分割する機能で対応可能
パスワードポリシー機能で対応
権限管理を実装可能。権限分掌により、
ユーザiDなどの識別子の管理
が可能
改竄検知の機能により対応可能
非常に高い権限を持つIDのこと。
システムの起動停止やアプリケーション
のインストール、設定変更のほか、全データへのアクセスなどあらゆる操
作が可能なIDだ。
これが悪用されると大規模な情報漏洩につながること
CA Technologies
http://www.ca.com /jp /
顧客リスト
など重要
情報の転売
ID
特権
は想像に難くない。以前あった内部犯行による大事件を覚えている人も
多いだろう。
改竄検知、
ログの保護、
アラート機能などにより対応可能
もし今でも1つの特権ID・パスワードを担当者間で使い回しているな
製品・サービスの取扱い企業
セキュリティリスクを考える
場合「標的型攻撃」に注目
しがちだが…
ら、
そこには大きなリスクが潜んでいることを覚悟すべきだ。
申請ベースで
利用させる、特権IDであってもアクセスできる範囲を必要最小限に制限す
るなどの管理を強く勧める。
内部犯行
標的型攻撃
会社への
嫌がらせ
etc…
不正をしていない
ユーザも疑われる
のは大迷惑!
8.5.6 グループ、
共有、
または汎用のIDやパスワード、
または他の認証方法が
使用されていない。
変更できないよう監査証跡をセキュリティで保護する
“内部犯行”。標的型攻撃と内部犯行の被害件数を比較すると8対2で標的型攻撃が多いのに対し、被害額では逆転する
などで報じられているとおり。更にここ2年ほどで目立ってきたのが、特権
・ユーザが知っていること
(パスワード、
パスフレーズなど)
・
トークンデバイスやスマートカードなど、
ユーザが所有しているもの
・ユーザ自身を示すもの
(生体認証など)
11.5
最近では標的型攻撃を挙げる人も多いかもしれない。確かにそれも大きなリスクだが、実はより気をつけるべきなのは
マイナンバー対策としても有効な、
セキュリティ統制への“近道”を解説しよう。
特権ユーザIDに与えるアクセス権を職務の実行に必要な最小限の
特権に制限する
8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可す
る前に、
すべてのユーザに一意のIDを割り当てる
「セキュリティ事故」
と聞くとどんな原因を思い浮かべるだろうか?
そしてこの内部犯行で悪用されがちなのが「特権ID」
である。同じIDを共有し、使い回している…といった状況はあまり
7.1.2
8
※この記事はキーマンズネットに掲載(2015.12.25)
のコンテンツを一部再編集したものです。
というハナシもある。1度のインシデントの被害規模がケタ違いに大きくなるのが内部犯行なのだ。
PCI DSS一部要件と対応例(抜粋)
要件
対策強化 の
近道を 解説
ID
特権
件数だけ見れば標的型攻撃の方が多いが、被害額で
は内部犯行の方が大きいという。