予防的統制の領域でブロードが展開する主力製品が「パワーセキュリティ」である。特権IDを厳格に取り扱うことを目的に、アカウント管理やアクセス管理、ログ管理といった機能を日本企業に最適化させた形で統合しているのが特徴だ。
IT資産管理と情報セキュリティに軸足を置いて事業展開するブロード。同社のソリューションは、大きく「予防的統制」を図る製品と「発見的統制」を図る製品の2つで構成されている。執行役員の山岸雄一郎氏は、いくらサイバー攻撃が巧妙化しようとも、まずはこの2つを実直にこなすことこそが第一歩であり、有効な手立てとなると強調する。具体的には、どのような対策を可能とするのか。ここでは予防的統制を担う同社の主力製品「パワーセキュリティ」の概要を紹介する。
特権IDが形骸化している実態
ブロードが提唱する予防的統制とは、サーバーにアクセスするユーザーに対して、必要最小限の権限しか与えないことを徹底することを指す。限定的な低い権限だけを持たせることを基本とし、作業ニーズに応じて必要な権限を都度付与する。それと同時に、その人が「何をやったか」を記録することも担う。所定のポリシーに則ったパスワードの自動変更などにも対処。これらは、一般的な機能名で記すなら、特権ID管理、アクセス管理、ログ管理といったものになる。
拡大画像表示
サイバー攻撃の被害を受けた実例を調べると、サーバー機能のすべてを制御できる特権IDとそのパスワードが盗まれてしまったことに起因するケースが少なくない。特権IDは厳重に管理されるべきものであり、本来はその権限を扱える担当者は限られるはず。しかし、現実には、実務上の煩わしさを避けてここを軽んじている例が散見されるのだ。
一緒に仕事し互いに牽制も効くシステム部門の運用担当者同士が扱うのだから問題ないと決めつけて、特権IDとパスワードを暗黙の了解で共有したり、さらに別のサーバーでも全く同じパスワードを使い回したりしているようなケースである。社外に公開していないシステムだからと油断し、常にrootでログインしているというケースすらもあるようだ。
このような状況は、攻撃者にとって格好の標的。特権IDがあちこちに流通しているなら、なりすましなどの手法でパスワードもろとも奪取することはそれほど難しいことではない。人知れず、長期にわたって悪しき企みを許すことにつながってしまう。
山岸氏によると、システムによっては、データベースなどの特権IDとパスワードがアプリケーションプログラムやスクリプト内に“ハードコーディング”されている例もあると指摘する。この場合、そのソース部分あるいは設定ファイルを見つけてしまえば、即座にデータベースの乗っ取りが完了してしまうことを意味する。
これとは別に、システム内で怪しげな挙動があった際、事を悪化させていることの1つとして、UnixやLinuxのシステムでは、シェルで行った操作のログが基本的に残らない仕様になっていることがある。シェル上の操作履歴を何らかの方法で取得する手立てを打っていない限り、攻撃者が侵入した後、どんな方法で情報を盗み出したかを知る手がかりがないのだ。
情報漏洩事件を探ると、外部からの不正アクセスではなく、内部の犯行も比較的多いことが分かっている。仮に、社員や委託先従業員がrootアカウントを使って不適切な行動をとったとして、その履歴をたどることができないのは非常に心許ない。
だからこそ、今一度、重要視しなければならないのが、ログの取得も含めた特権IDのしっかりした管理体制なのである。