Webinar解説「特権アクセス管理の基本- セキュリティ環境を変革せよ」

安田 良明 解説:
(ISC)²認定主任講師/株式会社ラック 安田 良明 氏
CISSP, SSSP

Webinar開催日:2020年5月13日
スピーカー: 蓑輪 尚毅 氏, ソリューションズ・エンジニア; CyberArk Software株式会社.

Webinar視聴のご視聴はこちら

みなさん、こんにちは。(ISC)²認定講師の安田 良明です。COVID-19の影響により引き続き組織の活動や個人の生活スタイルに制限がかけられていますが、僕はCISSPトレーニングをオンラインで実施する機会をいただき、新しい講義スタイルに対するスキル習得とオンライン化に伴う多大なるメリットを体感することができました。COVID-19においても(ISC)²のトレーニングは高品質でご受講者の方々に提供できることが確認できたため、これからもポジティブに講師を担当していけるモチベーションを手に入れられました。

そんな中、第16回目に配信された(ISC)²日本語Webinarのアーカイブ視聴を行いました。第16回目のWebinarでは、オンプレミス環境とクラウド環境を運用する組織に対して、特権アクセス管理の課題と効果的なアプローチについて解説があり、多種多様な情報システムにおいて特権アクセス管理に不備があった場合の具体的な脅威と取り組まなければならない管理プロセスを理解することができました。

また、「CyberArk」様のWebinarから特権IDの発行プロセス、特権利用者の特定、特権のアクセス証跡の取得のような対応に加え、人間以外が使用するアプリケーション等の特権IDを含め多種多様な特権IDに対して統制レベルを高め、迅速に特権アクセス管理の範囲を拡大しなければならないことを理解することができました。特権アクセス管理はCISSPの共通知識分野の中では「知る必要性」や「最小権限」の考え方で解説されていますが、適切なアーキテクチャに基づく仕組みの実装と日々のセキュリティの運用の両輪を実現しなければならない困難な情報セキュリティの取り組みの1つになります。

今回は、2020年5月13日に行われた「CyberArk 」様のWebinar「特権アクセス管理の基本- セキュリティ環境を変革せよ」について、「セキュリティアーキテクチャとエンジニアリング」で取り扱われているCISSP的な考え方にリンクさせながら解説を行います。なお、特権アクセスについては、すべてのCISSPのドメインに関連性がありますが、以前のWebinar解説の中でも解説していますので、過去のWebinar解説を合わせて読んでいていただけると幸いです。 CISSPは、「セキュリティアーキテクチャとエンジニアリング」で紹介されている数々のCBK(共通知識分野)を理解することで、組織のビジネスニーズを正確に評価したうえで組織が必要とするシステムセキュリティの主要な原則「機密性」、「完全性」、「可用性」を情報システムに実装する共通知識を学ぶことができます。それらの共通知識を身に着けたCISSPは、特定のシステムまたは環境のニーズに合わせて情報セキュリティ管理策の仕様やパラメータを調整することが可能となり、経営陣が期待する組織の業務環境を提供することが実現できます。

また、絶えず変化するリスクに向き合うためシステムまたは運用環境における「機密性」、「完全性」、「可用性」へのリスクを低減する保護策または対抗策の実装が必要とされます。その際、情報セキュリティ管理策が従業員、業務プロセス、採用される技術の動作に何かしらの影響を与える可能性があるため、どのような影響が組織に発生するかを見極め、組織の活動に悪影響を及ぼさない情報セキュリティの取り組みを実現することも可能となります。情報セキュリティの取り組みを普段の組織の活動に実装する際、誰がやっても同じ結果を手に入れるために情報システムにセキュリティ機能を実装していくことがCISSPでは期待されていますが、情報システムに実装することに加え、具体的、現実的にセキュリティの運用が維持されることも大事な知識として理解しておく必要があります。

それでは、蓑輪様のwebinarで紹介されている、「特権アクセス管理の基本- セキュリティ環境を変革せよ」について、解説をしていきます。まず、特権アクセス管理に対する取り組みは情報セキュリティ管理策として基本的に行われている取り組みの1つであり、新しい共通知識ではありません。日本においては経済産業省が「コンピュータ不正アクセス対策基準(1996年8月8日施行)」の中で、コンピュータを管理するための特権は必要最小限にすること、特権を利用する場合はコンピュータ、場所、期間等を限定すること、必要としなくなった特権は速やかに停止すること等特権アクセス管理の取り組みに言及しています。コンピュータ不正アクセス対策基準は、2000年12月28日の改定が最終となっていますが、改めて特権アクセス管理に関する記述内容を読み返してみても考え方は陳腐化していなく今でも必要となる知識と理解できます。

約20年前の基準となりますが、最小権限の原則に加え、「特権が使用できるコンピュータ、場所、期間を限定すること」に言及していることは興味深いですが、僕のガバナンスコンサルタントとインシデント対応の実務経験上、これらの特権アクセス管理の考え方のいくつかまたはすべてを現場の運用で実現している組織は見受けられましたが、情報システム上で実現している組織は殆ど存在しなかったという認識です。現代のテクノロジーでは、デバイスID、位置情報、時間ベース(Just In Time/Time Based ACL)等で容易に実現可能ですが、オンプレミス環境の情報システムだと、これらすべての設定を特権アクセスで利用していないことの方が多いと思います。

このような背景の中、特権アクセス管理を運用している組織は数多く存在していますが、主な情報システムはオンプレミス環境であり、ネットワーク境界内における情報システムに対して、例えばサーバーやデータベースの特権アクセス管理を行えばよかったため、情報システムで特権アクセス管理の仕組みを作らなくても現場の実務者によるセキュリティの運用で現実的に特権アクセス管理が実現できていました。大規模なオンプレミス環境における特権アクセス管理が必要になったとしても、サーバーやデータベースで発行される特権IDの運用におけるポリシーの作成、発行済み特権IDの把握、特権IDの監査証跡の仕組みを作成してしまえば、情報システムの運用が開始した後は、特権IDの新規発行や特権IDの使用も限定的であるため、ディレクトリサービス、独自作成のツールやSIEMにより組織の特権IDの使用状況を把握でき、比較的ガバナンスも確保できることが多いです。

しかし、箕輪様は、以前は組織のネットワーク境界から不正侵入された場合を想定した特権アクセス管理を実現すれば十分だったが、今のDX環境では、IT環境自体がオンプレミス環境、クラウド環境、モバイル環境等曖昧となり、どこから侵入されるかを特定することが困難になったと指摘しています。また、情報システムで使用される特権IDの使用範囲が拡大していることに加え、特権IDを人だけではなくアプリケーション等サービスに払い出ししているため、特権アクセス管理を行う情報システム環境が複雑となり、実務者の運用業務も煩雑しているため、特権アクセス管理の仕組みをDXへ対応する必要があることに言及しています。 加えて、組織の運用がDX環境に移り行く中で、オンプレミス環境、クラウド環境問わず、すべてのアカウントリストを迅速に把握する仕組み、自動化による埋め込みパスワードスクリプト等を把握する仕組み、クラウド管理コンソールの特権アクセスの管理を行う仕組み等DX環境特有の特権アクセス管理の課題に対応した仕組みの必要性を解説しています。

それらの課題を解決するため、特権アクセス管理の仕組みをDX環境へ対応させるためにはどのようなことを考える必要があるのでしょうか。1つのアプローチとして、CISSPの「セキュリティアーキテクチャとエンジニアリング」のドメインで取り扱われている「共通/継承可能なコントロール」に関する共通知識を取り扱うことで課題を解決することができます。この共通知識の考え方は、特定の情報システムだけではなく組織の情報システム全体に同様な一定の機密性、完全性、可用性の保護を付与する考え方となります。

例えば、オンプレミス環境におけるネットワーク保護の例として、インターネットに設置された境界ファイアウォールによる保護は、ファイアウォールの背後に存在する内部ネットワークの各システムにもアクセス制御の保護が継承されるため、境界ファイアウォールでポート制限やIPアドレスのフィルタリングを行えばインターネット側から内部ネットワークに対して共通的なアクセス制限を実現することが可能です。これは、オンプレミス環境の場合、費用対効果に優れた考え方でした。

しかし、DX環境になれば、組織の情報システムはオンプレミス環境の1か所にネットワーク境界が限定されないため、オンプレミス環境、複数のクラウド環境等に対し境界ファイアウォールのような何かしらの境界を実装する必要があります。そのため、DX環境では、特定の情報システム毎にネットワーク境界を設置するのではなく、すべての組織のアクセスを一旦ゼロトラストセキュリティ基盤で必ず検証し、明示的にID、デバイス、ネットワーク、アプリケーション等を組織の情報セキュリティポリシーで受け入れ可能かどうか検証できる仕組みを採用することで、セキュリティ境界を共通化することが可能になります。 ここで紹介した「共通/継承可能なコントロール」に関する共通知識は様々な情報システムを実現するときに設計段階で採用できる考え方になります。先の例で紹介したゼロトラストセキュリティ基盤の考え方はここ数年紹介されていることが多くなってきましたが、まさに「組織に対するアクセはすべて信頼できないため、一旦共通的なアクセス制御システムで検証しよう!」という「共通/継承可能なコントロール」から発想されたアイディアの1つと理解できます。そして、DX環境に対応した特権アクセス管理の設計を行う際にも、もちろんこの考え方を使用することが可能です。

例えば、従来は社内のディレクトリサービスとクラウド上に存在するアカウントを個別で管理し、それぞれの環境で特権が利用できるコンピュータ、場所、時間帯等検証していました。そのため、特権アクセス管理が一元管理されていないため、個別システム毎に特権アクセス管理の実装が必要なため、運用管理が複雑で煩雑になるため、適切な特権IDの発行や利用状況を適切に把握することが困難でした。

この個別運用を改善するべく、今後は、一元化された特権アクセス管理の仕組みを構築し、組織で特権アクセスを行う際は、一旦この一元化された環境で利用者のアカウント情報を必ず検証し、予めアカウントに割り当てられた属性(最小権限、利用可能な場所、利用可能な時間等)に応じた特権IDを利用可能にすることで、許可されたオンプレミス環境やクラウド環境のみ、最小権限で使用する仕組みを実現することが期待できます。

また、組織のすべての情報システムにおいて、この一元化された特権アクセスで検証されていないアクセス要求はすべて異常として検出する仕組みを採用することで、許可されていない特権アクセスをすべて拒否することも実現可能になります。

このようなユーザーがシステムを利用する際、強制的にアクセスを仲介する仕組みを実装し、何かしらのポリシーで挙動の是非を判定する仕組みを、「セキュリティアーキテクチャとエンジニアリング」の共通知識では、「リファレンスモニター」として定義しています。リファレンスモニターを使用すれば、DX環境で特権アクセスを管理したい場合は、DX環境にアクセスするすべての特権アクセスを強制的に特権アクセス管理用のリファレンスモニターで仲介し、組織のポリシーで許可された権限に従い特権アクセスを許可することが可能になります。

この「リファレンスモニター」の考え方は、ファイアウォール、データベーストランザクション、認証サーバー等のセキュリティアーキテクチャとして実績がありましたが、特権アクセス制御を一元管理できるリファレンスモニターを僕は初めて知りました。「CyberArk」様の特権アクセス管理ソリューションは様々なプラグインも準備されているということで、ゼロトラストセキュリティ基盤として提供されているIAMソリューション等とのフェデレーションも可能になっています。クラウドサービスプロバイダ等が提供するサービスとの連携はDX環境における特権アクセスを実現したい組織を適切にサポートしてくれるソリューションだと思いますので、僕も詳しい内容についてさらに学習を進めてみたいと思いました。

今回は、「セキュリティアーキテクチャとエンジニアリング」の共通知識を元にWebinar解説を行いましたが、CISSPでは、経済的合理性という経営陣の視点が要求されるため、多種多様な情報システムを抱える組織において重複した情報セキュリティ機能の実装は無駄なコストを支出することにつながります。また、セキュリティの運用を共通化することが困難になりガバナンスを確保することが困難になります。1つの情報セキュリティ管理策として共通的に機能するセキュリティアーキテクチャとエンジニアリングを考えることがCISSPとしては重要な共通知識であり、その考え方により経営陣をサポートすることが実現できます。他にもたくさんの共通知識が「セキュリティアーキテクチャとエンジニアリング」にはありますので、是非CISSPトレーニングをご受講いただき、グローバルな考え方に触れていただければ幸いです。 いかがでしたでしょうか。今回は、「CyberArk Software株式会社」様のWebinar「特権アクセス管理の基本- セキュリティ環境を変革せよ」について、セキュリティアーキテクチャとエンジニアリングに焦点を合わせて、CISSPの共通知識分野に紐付けて考えてみました。Webinarでは、特権ID利用時のアクセス記録の仕組みや実際にデモンストレーションによる解説が行われておりますので是非、Webinarを視聴してみてください。また、「CyberArk Software株式会社」様のリファレンス「特権アクセス管理によるデジタルビジネスの保護」を※2として記載しておきました。デジタル技術を採用する企業がますます増える中でクラウドへの移行、SaaSやDevOpsの採用等ソリューションが進化する反面、新たな脅威に立ち向かうために必要なナレッジが掲載されています。

最後に、(ISC)²が提供するWebinarは、(ISC)²メンバーまたはそれ以外の方、どなたでも視聴することができますので、是非、みなさんの組織で有効活用していただきたいと思います。Webinarはオンライン視聴だけではなく、Webinarの講演資料やスポンサー様が公開しているホワイトペーパー等をオフラインで確認することもできますので、お時間があるときにWebinarのトピックを(ISC)² CBK(共通知識分野)に紐付けて読み解いていくことが可能です。また、(ISC)²メンバーでない方は、Webinarを通じて、グローバルスタンダードにおけるCBK(共通知識分野)に触れていただければと思います。さらに、興味がわきましたら、CISSPチャレンジセミナー、CCSPチャレンジセミナーにお越しいただけると嬉しいです。

※1 コンピュータ不正アクセス対策基準 経済産業省

※2 特権アクセス管理によるデジタルビジネスの保護