特権ID管理とは

  1. TOP
  2. 特権ID管理とは

特権IDとは

特権IDとは、WindowsのAdministratorや、Linuxのroot、AWSのIAMユーザ、Azure ADグローバル管理者に代表される高権限のIDで、システム運用やシステムメンテナンスなどにおいて使用されます。特権IDは非常に強い権限を持つため、特権IDを使用する人が悪意を持った場合や、悪意を持った人に特権IDが奪われた場合に、セキュリティ上、大きなリスクが生じるため、厳格に管理する必要があります。

特権IDと一般IDの違い

ID管理には、「特権ID」と「一般ID」の2つの種類があります。「特権ID」と「一般ID」は、IDの権限とライフサイクルが異なるため、別の管理手法で管理されます。
特権ID
システムのメンテナンスなどで使用する高権限のID。
WindowsのAdministratorなどに代表される、フルコントロールを持った共有IDを、必要な時に一時的に使わせる。
一般ID
ユーザ個人に割り当てられた、業務で使用する個人ID。
入社時に1人に1ID作成し、必要な権限を割り当て、退職時に削除する。

特権ID管理の目的

特権ID管理を行う目的は、セキュリティ、コンプライアンス、コスト削減(効率化)の3つが主な検討項目となります。

SECURITY セキュリティ

SECURITY セキュリティ

特権ユーザによる不正の抑止と、近年大きな脅威となっている標的型サイバー攻撃への対策を支援します。
COMPLIANCE コンプライアンス

COMPLIANCE コンプライアンス

内部統制、J-SOX監査などの統制強化や、FISC安全対策基準、PCI DSSなどのガイドライン対応を支援します。
COST REDUCTION コスト削減

COST REDUCTION コスト削減

働き方改革や運用の外部委託に注目が集まっています。情報システム部門の稼働削減や管理業務のアウトソースの実現を支援します。

セキュリティ

昨今、内部不正や標的型サイバー攻撃など、特権ユーザが関連するインシデントが多発しています。

IPA独立行政法人情報処理推進機構が発表している「情報セキュリティ10大脅威 2020年(組織)」においても、特権ID管理が関連する外部脅威と内部脅威が上位にランクインされています。

順位 「組織」の10大脅威
1 標的型攻撃による機密情報の窃取 組織の外部からの攻撃(外部脅威)
2 内部不正による情報漏えい 内部における不正行為(内部脅威)
3 ビジネスメール詐欺による金銭被害
4 サプライチェーンの弱点を悪用した攻撃 組織の外部からの攻撃(外部脅威)
5 ランサムウェアによる被害
6 予期せぬIT基盤の障害に伴う業務停止
7 不注意による情報漏えい(規則は遵守)
8 インターネット上のサービスからの個人情報の窃取
9 IoT機器の不正利用
10 サービス妨害攻撃によるサービスの停止

出展:IPA 独立行政法人情報処理推進機構 「情報セキュリティ10大脅威 2020」

内部不正や標的型サイバー攻撃では、サーバや認証サーバのAdministratorやrootなどの特権IDを奪うことで、効率良く多くの情報に不正アクセスできるため「特権ID」が狙われます。特権IDが奪取されると、情報漏えいなどのセキュリティリスクを高めてしまうため、特権IDを適切に管理していく必要があります。

標的型サイバー攻撃の攻撃ステップ
特権IDの管理に求められる3つの運用項目

コンプライアンス

内部統制、J-SOX 監査などの統制強化や、FISC 安全対策基準、PCI DSS、EU一般データ保護規則(GDPR)など、各種法令ガイドライン対応においては、特権IDの適切な管理・運用が求められます。

内部統制における職務分掌では、社員の役割や責任範囲を明確化し、承認者と実行者を分離するなど業務フロー上で牽制を行う考え方となります。しかし、フルコントロールを持つ特権IDは、職務分掌の考え方とは相容れないため、厳格な管理が求められおり、厳しく監査されています。

当社にご相談頂く、監査指摘の傾向

  1. 特権IDを利用するための申請、承認手続きの不備
  2. 特権IDの利用者の特定不備
  3. 特権IDのアクセスログのモニタリングの不備
  4. 特権ユーザの棚卸し(人・権限)不備
  5. 特権IDの定期的なパスワード変更の不備

特権IDの利用を統制するには、特権IDを誰が使えるのか明確にし、必要な権限のIDを一時的に使わせ、モニタリングする必要があります。

また、近年では、DX推進などを背景にクラウドの利用が加速しており、基幹システムや、財務諸表監査に直接影響を与える給与、財務会計、人事領域など重要なシステムもクラウド上で稼動するようになっています。

重要システムがクラウド上で稼動するようになると、クラウド自体や、クラウド上で稼動するシステムに対しても厳格な法令・ガイドライン対応などコンプライアンス対応が要求されます。内部統制確立のために、クラウドサービスの特権IDに対しても、承認に基づき特権IDを一時的に貸出し、モニタリング(アクセスログ点検・操作ログ点検)することが重要です。

コンプライアンス
特権IDの管理に求められる3つの運用項目

コスト削減

コンプライアンスやセキュリティの観点で、特権IDの適切なコントロールが求められます。

しかし、特権IDの管理をツールを使わず実施しようとすると、パスワード変更やIDの棚卸し、アクセスログと申請書の突合せ点検など、特権ID管理業務に膨大な管理工数がかかってしまいます。

働き方改革や外部委託先へのアウトソースが進む中で、特権ID管理に関わる作業を自動化し、特権ID管理に関わる運用工数を削減したいというニーズも増えています。

iDoperationを活用したコスト削減

特権ID管理に求められる3つの運用項目

情報漏洩などのセキュリティ対策や、各種法令・ガイドライン対応(J-SOX監査、PCI DSS、GDPRなど)では、「特権IDを」「誰が」「使うのか」を適正に管理することが求められます。特権IDを適正に管理するためには、Level1:特権IDの管理Level2:特権IDの貸出Level3:特権IDの利用点検の3つの管理運用を行う必要があります。

特権ID管理に求められる3つの運用項目

よくある課題

特権ID管理運用を実施するには、手間と時間がかかるため、運用の形骸化や管理レベルの低下につながることがあります。iDoperationは、特権ID管理運用に関わる課題をすべて解決します。
課 題
管 理
1
特権IDや、特権ユーザの棚卸が正確にできておらず、特権IDを誰が利用できるか把握できていない
2
パスワード変更や、IDの突合せ点検がルールに沿ってできていない
課 題
利 用
3
特権IDを貸出す際のパスワード通知や、使用後のパスワード変更、夜間や急なトラブル時の承認など、管理者の負担が大きい
4
複数のユーザで特権ID を共有しているため、アクセス制限や利用者の特定ができない
課 題
点 検
5
いつ、誰が、どの特権IDを、何の目的で利用したか利用の点検ができない
6
アクセスログと申請情報の突合せ点検に手間と時間がかかる。また、不正な特権アクセスの操作内容が確認できない
課題解決はこちら
page top