PR

今週のSecurity Check(第222回)

 特権IDと呼ばれるIDを管理できるツールが、2011年から2012年にかけて、ぐっと充実してきている。ID管理は情報漏洩を防ぐうえで重要なテーマ。今回は、特権ID管理の考え方と、複数種類ある管理ツールの特徴・使い方について解説する。

 特権IDとは、システム上高い権限を割り当てられているユーザーアカウントを指す。UNIX/Linux OSでのrootやWindows OSにおけるAdministratorが代表例である。これらのアカウントは、権限が高くどのような作業も自由に実行できる。ところが、システムに限られた数しか存在しないため共有せざるを得ない。複数で共有すれば、パスワード漏洩の可能性は高くなる。いったんパスワードが漏れると、システム全体が危険にさらされる。さらに、問題発生後に誰が問題の操作を実行したのか特定が困難になることが多い。

 こうした課題をクリアするための最善の方法は権限管理である、複数種類の権限を設け、それぞれ操作できる範囲やコマンドを分けて、必要に応じて必要な権限だけを使用させる考え方だ。権限を細分化して利用し、特権IDを日常的に利用しないことで、特権IDのパスワード漏洩リスクを減らせる。同時に、運用に使う一つのIDが乗っ取られた場合や操作ミスをした場合も、権限が限定されるため被害を最小限にとどめられる。従来も、サーバーOSやデータベースなどのミドルウエア製品は権限を分割する仕組みを備えていたが、どのような作業をするためにどの権限が必要かを定義する作業が煩雑で、実装は容易ではなかった。

特権ID管理を意識した製品が登場

 これに対して最近は、運用場面に応じたIDの使い分けが容易になるよう、各種運用作業に必要な権限をセットにした“ロール”や“権限グループ”などをあらかじめ定義した状態で出荷するサーバーOSやアプリケーションサーバー製品が増えてきている。。例えば「IBM WebSphere Application Server」は、モニター、コンフィギュレーター、管理者、デプロイヤー、セキュリティマネージャー、監査員などの管理ロールを備えている。これらのロールには製品内部でそれぞれの操作に必要な権限を割り当て済みである。このように、ユーザーはゼロから自力で運用権限設計を行う必要がなくなり、実装のハードルは下がりつつある。

 とはいえ、既存のシステムにおいては、権限分割の実現が困難な場合が少なくない。例えばroot権限で稼働することを前提としたアプリケーションを、権限分割した環境で動かすには、まずアプリケーションの機能単位で、OS上のどのファイルへの書き込み権限が必要か、といった権限の洗い出しが必要になる。洗い出しができたら、管理しやすいように権限を束ねる作業を行い、最後に定義した権限で動作検証を実施する必要がある。当然、これらの作業には膨大な時間と工数がかかる。

 また技術面・運用体制面から、個々のユーザーのアカウントと権限を管理することが困難なケースもあるだろう。前述した出荷時状態で権限を細分化してあるOSやミドルウエアを使うにしても、新規導入あるいはバージョンアップは避けられない。

次善の策のキーワードは「貸し出し」

 そこで次善の策として考えたいのが、特権IDを「安全に共有する」ことである。この特権IDの共有に対応しようとするのが特権ID管理ソリューションと呼ばれる仕組みである。以下に挙げる特権ID管理の仕組みを、既存システムに追加するだけで実現できる。

 特権IDの共有は、一般のID管理に比べ実装上考慮が必要なポイントがいくつか挙げられる。
(1)共有しているID(アカウント)をいつ誰が使用できるかを申請・承認する仕組みを設ける
(2)同時に複数のユーザーが同じIDを使用しないように、貸し出し状態の管理を行う。あるいは同時に使用した場合には、誰がどの操作を実行したかが判別できるような仕組みを準備する
(3)ユーザーが実際にIDを使用する際のログ・証跡を記録する
(4)貸し出し終了後、ユーザーはそのIDを再び使用できないようにする
(5)管理対象IDの棚卸処理を定期的に実行する
(6)ログ・証跡をモニターして不正使用・不正操作がないかを確認する
近年、各ベンダーから(1)~(4)に対応した特権ID管理ツールが相次いで提供されている。(5)の棚卸し機能はツールに含まれる場合もあるが、(6)のログのモニター機能は別製品となっていることが多い

 特権ID管理ツールとしては、3タイプに大別できる。
タイプ1:貸し出し管理タイプ
特権共有ID管理サーバー上で、貸し出し申請・承認・対象IDのパスワード表示を行う
タイプ2:拡張貸し出し管理タイプ
タイプ1の仕組みに加え、管理対象システムと連携してログイン処理を代行し、貸し出すIDとパスワードをログイン画面に自動入力する機能を備える
タイプ3:ゲートウエイタイプ
運用セグメント(端末)とサーバーセグメントとの間に貸し出しID管理サーバーをゲートウエイとして配置し、一種の踏み台としての機能を提供する

表1●特権ID管理ツールの種類
ツールのタイプ実装方式管理対象システムへの影響
貸し出し管理特権共有ID管理サーバー上で、貸し出し申請・承認・対象IDのパスワード表示を行う。ユーザーはパスワードを見て自分でログインを実行する特権IDのパスワードを都度変更する必要がある。または、パスワードを知っていてもログインできないよう他の仕組みと組み合わせる必要がある
拡張貸し出し管理貸し出し管理に加え、ログイン時にIDパスワードをツールで自動入力する。ユーザーにはパスワードは見えない自動入力ツールが対応するログイン用ソフトウエアが入っていなければ追加導入する必要がある
ゲートウエイ貸し出し管理サーバーを運用セグメントと本番サーバーセグメントとの間にゲートウエイとして配置し踏み台機能を提供する。ユーザーはパスワードを見て自分でログインを実行するゲートウエイを経由しないアクセスを禁止するため、ネットワーク構成の変更が発生する可能性がある

[編集部注]
タイプ1の製品には米CAの「CA ControlMinder」がある。同製品はタイプ2の機能も持ち、どちらの方式でも利用できる。タイプ2にはこのほか、米IBMの「Integration Services for Privileged Identity Management」、NTTソフトウェアの「ActCenter/CSLGuard Solutions for 特権ID管理」がある。タイプ3の例はNRIセキュアテクノロジーズの「SecureCube/AccessCheck」。

 それぞれのタイプに長所・短所があり、ニーズに合わせた使い分けが必要である。例えば、(4)の貸し出し終了後に不正使用をさせないという要件について考えると、タイプ1は利用者にパスワードが表示されるため、貸し出し終了後にパスワードの変更が必須となり、運用に手間がかかる。タイプ2はパスワードをシステム側で自動入力するようにして、ユーザーには公開しないため、貸し出し終了後のパスワード変更は必須ではない。ただし管理対象とするサーバーに、ログイン処理を連携させるための専用クライアントソフトウエアを搭載する必要がある。製品によっては、タイプ1とタイプ2のどちらのタイプとしても使える。

 タイプ3もパスワードは表示されるが、ゲートウエイ上でのアクセス許可の有無で経路制御を行う仕様であり、パスワードを知っているだけでは対象システムへログインはできない。ただし、ゲートウエイを迂回されると経路制御が意味をなさないため、ネットワーク構成の変更が必要になる場合がある。

 また、特権IDとそのパスワードの貸し出し管理だけではなく、特権IDの属性変更や棚卸しなど、特権IDそのものを管理する場合には、通常のID管理ツールの機能が必要となる。それぞれのツールにID管理の機能が含まれるかどうかは確認が必要だ。

 (6)のログ・証跡をモニターする機能については、前述の通り、特権ID管理とは別に提供されていることが多い。取得・収集・蓄積した情報から自動的に不正使用を判別するような機能は、今後の充実を待つ状況である。

 台帳などによる手動での特権ID管理は運用の現場に既に行き渡っている。仮想環境を含めサーバー数が増え続けるなか、今後は、いかに管理工数を抑え、スピーディーかつ確実に特権IDを運用する仕組みを整えるかが、システムのセキュリティを良好に保つうえで重要な要素となる。


酒井 美香
日本アイ・ビー・エム システムズ・エンジニアリング
システムズ・マネジメント部

 「今週のSecurity Check」は、セキュリティに関する技術コラムです。日本アイ・ビーエム グループのスタッフの方々を執筆陣に迎え、セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)
■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら