[製品サーベイ]

2009年5月29日(金)IT Leaders編集部

リスト

　2009年4月に明るみになった、三菱UFJ証券の顧客情報漏洩事件。約5万件におよぶ流出件数もさることながら、システム部長補佐という、社内でシステム管理の権限を持つ役職者が利益目的で不正に手を染めたという点で、関係者に与えたショックは大きかった。

　だが、同様の事件が他の企業で起きないとも限らない。システムを導入するからには、administratorやrootといった特別の権限を持つ管理者、すなわち特権ユーザーを設定しないわけにはいかない。特段の手を打たないまま、もし彼ら彼女らに魔が差してしまったら、いかなる情報もたちどころに流出してしまう可能性は否定できない。

　もし、日々の運用管理作業で楽をしようと、特権ユーザーのIDやパスワードをシステム部門内で共用したり、そもそも“野放し”ているようなケースがあるとしたら、それはあまりにも危険だ。

　かねてから特権ユーザーは存在していたが、性善説に立つ企業が多い国内では問題として浮上する機会が少なかった。ところが先の事件をきっかけに足下を見直そうという機運が急速に高まっている。

強制制御と権限分割で特権ユーザーの振る舞いを制限

　そこで注目を集めているのが、システムリソースに対する特権ユーザーのアクセス権限を適切に管理するソフトウェアだ。アクセス権の制御は、サーバーOSのほか、アプリケーションやデータベースなど、様々なレイヤーにおいて考えられるが（ページ最下段のカコミ記事参照）、まず基本となるのはシステムリソースの管理中枢となるOSである。

　サーバーOSを対象とした具体的な製品分野として、「セキュアOS」がある。これは、Windows ServerやLinuxといった既存OSに対してセキュリティ機能、とりわけ特権ユーザーの振る舞いをきめ細かく管理する機能を追加するソフトウェアを指す。このソフトを追加実装したOSはよりセキュアなものとなることから、セキュアOSという呼び名がある。

　セキュアOSの特徴的な機能は大きく2つある。「強制アクセス制御」機能（図1）と「最小特権」機能（図2）だ。

図1　強制アクセス制御
一般のOSでは特権ユーザーのアクセスを制限する手段がない。セキュアOSでは、特権ユーザーでも回避できないアクセス制御を設定できる

図2　最少特権
一般のOSでは特権ユーザーがすべての権限を保有する。セキュアOSでは、特権ユーザーの権限を分割し、不必要なアクセスを防止できる

　強制アクセス制御機能は、たとえ特権ユーザーであっても、あらかじめ設定したアクセス権限を強制的に適用し、その権限の変更もできなくする機能だ。“素”のOSでは、administratorなどの特権ユーザーに全権限が集中している。この「強すぎる」権利を第三者に奪取されるとシステムのセキュリティ対策は丸裸状態に陥る。そこで、特権ユーザーに対しても、もれなくアクセス制御の網をかけ、所定の範囲でしか操作できなくするのだ。

　最小特権機能は、これまでの特権ユーザーが持っていた権限を分割し、適切な人物に対して必要最小限のアクセスのみを可能とするものだ。万能な権限を廃止し、サーバーをリブートするシステム運用担当者、データのバックアップ管理者、Webサーバー管理者といった役割ごとに、適切な最少限度のアクセス権を設定する。各ユーザーがどんなアクセス権限を持つかを定義したセキュリティポリシーを作成し、専用データベースに格納。ユーザーがシステムに対して何らかの操作をした際、リアルタイムでデータベースを参照してアクセスの可否を判断する。

　強制アクセス制御にせよ最小特権にせよ、だれがアクセス権限を設定するのかという疑問が残る。セキュアOSでは、システム管理者とは独立して設定業務だけを担うセキュリティ管理者という役割（ユーザー）を導入しているのが一般的だ。

●Next：特権ID管理機能を備えた製品