リスクへの抑止から発生後の対策までを可能にする「特権ID管理」とは

　下図は、組織の管理者がユーザーを管理できる、Windows Serverのアクティブディレクトリ（Active Directory）機能におけるリスク例を示したものである。今回は、特権アカウントが何者かに奪取されてしまった場合のリスクを考えてみよう。グループウェアからプリントサーバー、社員・顧客データベースに至るまで、データの漏洩とシステムの不正利用につながる危険性が極めて高い。　

　こうした事態に備えて特権アカウントを厳重に管理するためには、具体的にどのような対策が求められるのだろうか。さまざまなパターンが考えられるが、注目すべきは下図の「中項目」に記載されている内容だという。

　この特権アカウントの厳重管理に関して、ゾーホージャパンは最適なソリューションを提供している。全世界で18万社以上の導入実績を誇る、一般IT運用管理製品「ManageEngine」の製品群の中にある、特権ID管理ツール「Password Manager Pro」と統合ログ管理ツール「Log360」だ。

　まず、特権ID管理ツールであるPassword Manager Proでは、アクセス権の管理として、管理者が特権IDの割り当てルールや手順を詳細に設定できる。利用者ごとの役職や担当業務に合わせてアクセス可能リソースを制限できるので、データ漏洩や改ざんのリスクを減らせるのである。

　不正使用防止に関する観点では、申請／承認のフローを組んでゲートウェイ方式で対象リソースへのアクセス可否を判断できる仕組みになっている。部外者や、業務的に関係のないユーザーにはアクセス権を渡さずに済むということだ。また、捜査と証跡の管理もツール内で行っているため、仮に内部不正の試みがあったとしても、迅速に監視体制が敷けるという。この機能が内部不正の抑止力として働くほか、不正発覚後の素早い対策にも貢献するのである。

　さらにPassword Manager Proには、外部ネットワークからの不正アクセスも防止する機能が備わっている。管理対象機器へのアクセスを、IPアドレス単位で拒否／許可できる、IPアドレス制御機能だ。

　不正検知策としては、Password Manager Proと併せて活用できるLog360により、ログベースで管理対象機器内の操作を監視することが可能だ。不正アクセスの疑いがある操作が発生した場合、メールなどでアラートを通知する。また、Password Manager Proの証跡管理とログ収集は、長期的かつ安全に保管が可能であり、インシデント発生時の調査にも役立つという。

　これらのツールは、サブスクリプション型で毎年少額の費用で利用できる。「こういったソリューションを活用し、最新のリスク環境変化にも対応できる安全対策を行ってほしい」と日笠氏は述べ、講演を締めくくった。