特権 ID アクセス管理ソリューション SecureCube/Access Check ~ 重要情報を守れ! 内部不正時代の特権 ID アクセス管理 ~ 1. 会社紹介 2. 求められるアクセス管理 3. 特権 ID 管理とは 4. SecureCube/Access Check とは Copyri

Transcription

1 特権 ID アクセス管理ソリューション SecureCube/Access Check ~ 重要情報を守れ! 内部不正時代の特権 ID アクセス管理 ~ ソリューション事業本部セキュリティソフトウェア営業部 Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved.

2 特権 ID アクセス管理ソリューション SecureCube/Access Check ~ 重要情報を守れ! 内部不正時代の特権 ID アクセス管理 ~ 1. 会社紹介 2. 求められるアクセス管理 3. 特権 ID 管理とは 4. SecureCube/Access Check とは Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 2

3 特権 ID アクセス管理ソリューション SecureCube/Access Check ~ 重要情報を守れ! 内部不正時代の特権 ID アクセス管理 ~ 1. 会社紹介 2. 求められるアクセス管理 3. 特権 ID 管理とは 4. SecureCube/Access Check とは Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 3

4 1. 会社紹介会社概要 NRI セキュアテクノロジーズ株式会社 野村総合研究所グループにおける情報セキュリティ専門の中核企業として 最高峰の情報セキュリティ サービスを提供します 設立 :2000 年 8 月 1 日 ( サービス提供は 1995 年開始 ) 拠点 : 東京 ( 本社 ) 横浜 ( テクニカルセンター ) Irvine, CA ( 北米支店 ) グループ会社 : 株式会社ユービーセキュア 社員数 ( 連結 ):309 名 資格取得者数 : 高度情報処理技術者 : のべ 373 名 GIAC(Global Information Assurance Certification) : のべ 97 名 CISA(Certified Information System Auditor) : 56 名 CISM(Certified Information Security Manager) : 34 名 CISSP(Certified Information Systems Security Professionals) : 32 名 本社 ( 東京サンケイビル ) ISO/IEC 認証取得 サービス提供実績 官公庁 金融 流通 製造 製薬 通信 マスコミ等 500 社以上に運用サービスを提供 一次的なスポットサービスを含めると 2000 社以上にサービス提供 (2014 年 8 月 1 日現在 ) Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 4

5 1. 会社紹介事業概要 NRI セキュアテクノロジーズ株式会社 技術とマネジメントの両面から企業の情報セキュリティの最適化を考え 高度セキュリティ運用 監視をはじめ コンサルティン グ ソリューション導入などのサービスをワンストップで提供しています 技術と経験に裏打ちされた調査 助言 専門家による情報システムの安全性評価と改善提案! コンサルティング事業 システムマネジメント系コンサルテーション 情報セキュリティ監査 セキュリティリスク評価 認証取得支援 (PCIDSS, ISMS, ISO27001 など ) 統合 ID/ ログ管理導入支援ほか テクニカル系コンサルテーション セキュリティ診断 Webサイト探索棚卸 GR360 サイバーアタックシミュレーション セキュリティ研修ほか セキュリティ管理ソリューション販売 サービスからパッケージまでニーズに幅広く対応! ID 系ソリューション販売 SecureCube / Access Check( 特権 ID 管理 ) Uni-ID InterCollage(ID 連携サービス基盤 ) コンテンツ データ系ソリューション販売 クリプト便 ( ファイル送受信サービス ) POSTUB( 電子信書交付サービス ) リセールソリューション販売 CACHATTO エンドポイントセキュリティ管理サービス他 ソフトウェア事業 国内外のさまざまな連携 ( 一部 ) 運用監視サービス事業 製品の保守運用だけでなく お客様のシステムの 安全 を最終目標としたフルアウトソーシングサービス! 運用管理サービス セキュアインターネット接続サービス セキュアWebネット管理サービス インシデントレスポンスサービス WAF 管理サービス PaloAlto PAシリーズ管理サービス Yaraiマルウェア解析サービス 標的型マルウェア検知サービス Web 感染型マルウェア検査サービス Proofpointスパムメールフィルタリング Tripwire 変更管理 改ざん検知サービス DLP 管理サービス 端末認証サービス スマートフォン端末管理サービスほか Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 5

6 特権 ID アクセス管理ソリューション SecureCube/Access Check ~ 重要情報を守れ! 内部不正時代の特権 ID アクセス管理 ~ 1. 会社紹介 2. 求められるアクセス管理 3. アクセス管理対策と課題 4. SecureCube/Access Check とは Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 6

7 2. 求められるアクセス管理マイナンバー制度で求められる 技術的安全管理措置 マイナンバーガイドラインによると 事業者は 特定個人情報等の適正な取り扱いのため 下記のような 技術的安全管理措置を講じなければならない とされています 基本方針の策定取扱い規定等の策定組織的安全管理措置人的安全管理措置物理的安全管理措置技術的安全管理措置 a. アクセス制御情報システムを使用して個人番号関係事務又は個人番号利用事務を行う場合 事務取扱担当者及び当該事務で取り扱う特定個人情報ファイルの範囲を限定するために 適切なアクセス制御を行う b. アクセス者の識別と認証特定個人情報等を取り扱う情報システムは 事務取扱担当者が正当なアクセス権を有する者であることを 識別した結果に基づき認証する c. 外部からの不正アクセス等の防止情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し 適切に運用する d 情報漏えい等の防止特定個人情報等をインターネット等により外部に送信する場合 通信経路における情報漏えい等を防止するための措置を講ずる Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 7

8 2. 求められるアクセス管理システム運用者 管理者の観点では システム運用者や管理者の観点では それぞれの技術的管理措置に対して 下記のようなことを気をつけ る必要があります アクセス制御 特定個人情報を取り扱う担当者以外システムにアクセスすることができないよう適切に制御されているか? アクセス者の識別と認証 きちんと個人認証をかけ だれ が特定個人情報にアクセスを行ったかをログ等でおえるか? 特に 特権 ID 等の共有 IDを利用した場合でも識別することが可能か? 外部からの不正アクセス等の防止 標的型攻撃等によるマルウェア感染 外部からの侵入のほか 内部不正によるアクセスを防止することができるか? 情報漏洩等の防止 情報の抜き出しや持ち出しを予防できる仕組みとなっているか? Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 8

9 2. 求められるアクセス管理昨今の情報漏洩事故はなぜ起きたか? 顧客情報は記憶媒体 ( 最新のスマホ ) をコピーされて持ち出された システム的な対応は高いレベルで実施していたにもかかわらず事故が起きた 犯行者は 顧客 DB の開発担当 の派遣 SE 入館 / 退館のログ取得 関係者以外入室禁止 ( 恐らく ) 単独作業可 情報子会社事務所 作業用貸与 PC 顧客データを取り扱う部屋 リモートアクセス 顧客 DB DB へのアクセスログ取得 当該 ID で顧客情報をダウンロードした履歴のモニタリング / 分析はせず 個人 情報 持ち物検査 システム開発者が本番データにいつでもアクセス可能 デバイス制御ソフトを導入済 私物持ち込みを制限し持ち物検査を実施 (?) 小型記憶媒体は検知が困難 大量のデータ容量を小さくするため圧縮ファイルで小分けにして記録媒体 ( スマホ ) にコピーしていた 記憶媒体は遮断 無効化していたが脆弱性を有していた スマフォを充電しようとしたところ たまたま転送できることが判明 この脆弱性を悪用した 報道よりまとめ 弊社憶測を含む Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 9

10 2. 求められるアクセス管理昨今の情報漏洩事故を踏まえて 対応すべき点 技術的な対応だけで 100% の対応は不可能 予防的統制 発見的統制双方からのアプローチが必要 [ 予防的統制 ] 顧客データを扱う領域の物理的 論理的な隔離 立ち会い統制 複数人作業 [ 発見的統制 ] 顧客データを取り扱う部屋の入退室モニタリング アクセス GW 等 [ 発見的統制 ] DBへのアクセス状況のモニタリング DBアクセス監査製品等 顧客 DB [ 予防的統制 ] ルールの策定 ( 罰則規定含む ) 委託先との契約 誓約書 教育 啓蒙 顧客データを取り扱う部屋 クライアント DB 監査製品 予防的統制 発見的統制 [ 予防的統制 ] リムーバブルメディア / スマートフォンの接続制御 USB ポートの物理的封鎖 [ 発見的統制 ] PC の監査ログの出力設定 [ 予防的統制 ] 申請 / 承認を基にした重要サーバへの認証 アクセス制限 [ 発見的統制 ] サーバアクセスログの定期的なモニタリング 検知 Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 10

11 2. 求められるアクセス管理昨今の情報漏洩事故を踏まえての教訓 技術的な対応だけでは不十分 セキュアな物理環境の ほか 申請 / 承認制 ログ管理 立会い統制 ルール の徹底 / 教育等 運用面での対応も必要 重要サーバ /DB については 高レベルでの特権 ID 管 理 アクセス管理が必要 ログを取得している だけでは不正アクセスは防げ ない モニタリングによる牽制 検知による発見的統 制 認証 アクセス制御による予防的統制双方が必要 Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 11

12 特権 ID アクセス管理ソリューション SecureCube/Access Check ~ 重要情報を守れ! 内部不正時代の特権 ID アクセス管理 ~ 1. 会社紹介 2. 求められるアクセス管理 3. 特権 ID 管理とは 4. SecureCube/Access Check とは Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 12

13 3. 特権 ID 管理とは? 特権 ID とは 特権 ID とは 一般的にシステムの管理 運用を目的に利用される 高権限を持ったシステム ID を指します UNIX 系では root Window 系では Administrator などがそれに当たります 特権 ID の制御は アクセス管理対策で必ず問われる重点ポイントとなります 特権 ID の特長 特権 を有する 作成 更新 削除 実行の権限など システムに対して絶対的な権限を有します 唯一無二である OS に対して一つしか作成できないため 利用する場合は ID を共有せざるを得ない Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 13

14 3. 特権 ID 管理とは? 特権 ID を制御するとは 絶対的な権限を有する 特権 ID が共有された場合 次の状況は極めてリスクが高く 対応が必要です 利用者個人を特定できない 利用時の作業内容を把握できない 絶対的な権限を有する 特権 を複数の作業者で共有する 利用者個人を特定できない 利用時の作業内容を把握できない!! 高リスク!! 不正なアクセス 作業を防止 または 検知できない 事前に特権 ID の利用者と利用時 間を管理者へ連絡 ( 申請 ) する 特権 ID を利用した作業の記録を 取得し 検証 ( 確認 ) する Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 14

15 3. 特権 ID 管理とは? 特権 ID を制御するための 3 ステップ 特権 ID の利用許可を得て 利用時の作業内容を記録し その妥当性を検証する この 3 ステップを一貫し て実施することが重要です ログだけとっても意味がない 3 ステップが紐付きで管理されていることが重要! 特権 ID 管理の 3 ステップ 1. 利用の承認 職務規定された承認者による 特権 ID を利用する作業の ( 事前 ) 承認 2. 作業内容の記録 1 の承認記録と併せて 一連の作業内容を記録し 保存 管理 3. 妥当性の確認 確認者は 1 の承認記録と 2 の作業記録を突合せて 作業の妥当性を判断 Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 15

16 3. 特権 ID 管理とは? 特権 ID の管理状況 全体の 4 割強の企業で 特権 ID を利用した操作ログが取得されていません 操作ログを取得している企業のうち 4 割弱の企業で 操作ログの確認が行われていません Q48. 貴社において 重要情報を取り扱うシステムの特権 ID に対し どのような管理方法を導入していますか 特権 ID の管理状況 4 割強の企業が不正を追跡できていない 0% 20% 40% 60% 80% 100% 不正追跡 特権 IDの利用者特定のための記録を取得している N=666 特権 IDの操作ログを取得している N=669 特権 ID の操作ログを取得している企業のみで分析 不正検知 特権 IDの操作ログを確認 または分析している N=384 0% 20% 40% 60% 80% 100% 導入済み導入予定検討中導入予定なし未検討無回答 4 割弱の企業が不正を検知できていない 出所 : NRI セキュアテクノロジーズ 2013 年 企業における情報セキュリティ実態調査 Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 16

17 特権 ID アクセス管理ソリューション SecureCube/Access Check ~ 重要情報を守れ! 内部不正時代の特権 ID アクセス管理 ~ 1. 会社紹介 2. 求められるアクセス管理 3. 特権 ID 管理とは 4. SecureCube/Access Check とは Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 17

18 4. SecureCube/Access Check とは特権 ID 管理システムにおけるアクセス方式の違い 特権 ID 管理システムは 大きく 4 つのアクセス方式に分類されます アクセス方式の違いを押さえることが 特権 ID 管理システムを導入するうえで重要なポイントとなります ゲートウェイ方式 ( 完全エージェントレス型 ) ユーザと本番サーバの間に関所 ( ゲートウェイ ) を設置して 一元管理する方式 関所上で個人 ID 管理 アクセス制御 及びログ管理を統合するためシステムがシンプル 対象サーバが多い場合や 既存環境への影響を最小限にしたい場合などに最適 ID 棚卸 貸出方式 本番サーバの特権 ID 棚卸 ( 不正 / 不要 IDチェックなど ) と貸出管理で制御する方式 アクセス制御用にクライアントエージェントを必要としたり 認証用サーバを別途立てる必要がある IDが少ない場合や 統合 ID 管理システムが稼動済みの場合などに最適 開発者 運用者 本番サーバ クライアント エージェント型 アクセス元のクライアントごとにエージェントをインストールする方式 クライアントごとで 本人認証 ( 特権 ID 利用者の特定 ) とログ取得を行う ログを詳細に取得したい場合や 本番接続用端末が特定されている場合などに最適 サーバ エージェント型 アクセス先のサーバごとにエージェントをインストールする方式 サーバごとに個人 ID 管理 操作制御 ログ取得を行う 物理コンソールでの接続を含めたアクセス制御とログを取得したい場合などに最適 Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 18

19 4. SecureCube/Access Check とは SecureCube/AccessCheck 概要 1 今までの運用 ( 共有 ID はそのまま ) でのセキュリティ強化が可能です 本番の入口に関所 ( ゲートウェイ ) を設置し 関所上で個人の識別が可能な ID とログを一元管理します 関所上で 申請 承認データとアクセスログを一元管理することで 突き合せ監査の負荷を軽減します 特権 ID 管理の現状と課題 SecureCube / Access Check で解決! 開発者 運用者 特権 ID の 利用者を 特定できない 誰でも いつでも アクセス可能 対象システム ID/PW 管理 ログ管理 開発者 運用者 関所 ( ゲートウェイ ) 上で 個人 ID と操作ログを一元管理 対象システム UNIX 系サーバ UNIX 系サーバ ID/PW 管理 ログ管理 Linux 系サーバ Linux 系サーバ ID/PW 管理 ログ管理 Windows サーバ Windows サーバ ID/PW 管理 ログ管理 ネットワーク機器等 アクセス制御 ログ管理 ネットワーク機器等 各サーバの ID 棚卸し作業 が大変 各サーバの ログの監査 も大変 認証 IP 制御 ワークフロー アクセスログ 操作ログ取得 Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 19

20 4. SecureCube/Access Check とは SecureCube/AccessCheck 概要 2 予防的統制 ( アクセス制御 )+ 発見的統制 ( ログ管理 ) で強力な監査を実現します 予防的統制 個人 IDによる認証により利用者を識別 個人 IDごとに適切なアクセス権限を付与 アクセス申請と承認に基づいたアクセス制御 特権 IDパスワードを隠匿した自動ログイン (OP) 発見的統制 アクセスログ ( 操作ログ ) を取得 取得したアクセスログの検索 閲覧 アクセス申請とログの自動突き合わせ アクセスログ監査の補助 ( 日次レポートなど ) 1 アクセス申請を登録 (Web 画面 ) 運用者 開発者 ( 申請者 ) 4 接続したい対象システムを指定してアクセス 2 アクセス申請を承認 (Web 画面 ) アクセスログ 対象システム システム管理者 ( 承認者 ) 制御情報 3 SecureCube / Access Check へログイン 制御情報 申請情報 ログ情報 5 申請情報とアクセスログを確認 (Web 画面 ) 監査者 運用者 開発者 ( 利用者 ) Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 20

21 4. SecureCube/Access Check とは SecureCube/AccessCheck 概要 3 SecureCube / Access Check は 主に下記の 5 機能を備えています それぞれの機能の詳細については 次頁以降で説明します アクセス中継 制御 Gateway Server アクセスログ取得 保管 運用者 開発者 ( 利用者 ) 対象システム アクセス申請 承認 制御情報 アクセスログ Gateway Manager アクセスログ監査補助 運用者 開発者 ( 申請者 ) 監査者 システム管理者 ( 承認者 ) 連携 外部システム 外部システム連携 アクセス中継対応プロトコル :Telnet, SSH, SCP, SFTP, FTP, RDP, HTTP(S), CIFS, DB, その他 TCP アクセス中継対象システム :UNIX 系サーバ Windows 系サーバ ネットワーク機器など 外部システム連携対象システム :LDAP サーバ 特権 ID パスワード管理システム ワークフローシステム Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 21

22 4. SecureCube/Access Check とは SecureCube/AccessCheck 利用の流れ ブースにて デモンストレーションを覧いただけます 運用者 開発者 ( 申請者 ) 管理者 ( 承認者 ) 運用者 開発者 ( 申請者 ) 管理者 ( 監査者 ) 日時指定の事前作業申請 作業申請の承認 ( または却下 ) 本番サーバ作業 申請書とログ ( 操作ログ アクセスログ ) の突合 確認 承認され かつ 指定時刻になるまで 通信ポートが開かない 本番サーバに入る前に AccessCheck にて個人認証 申請書とログ ( アクセスログ 操作ログ ) の自動紐づけ ログ確認を実施したことの証跡も残せる Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 22

23 4 SecureCube/Access Check とは SecureCube/AccessCheck 主要画面 申請書とログの紐づけ機能が 主要機能の一つです AccessCheck 上で各重要サーバへのアクセスログと申請書を紐づけるため 監査業務を効率化できます 当該申請に紐づいた サマリーログの一覧が表示 確認時にコメントを入力することも可能 Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 23

24 4 SecureCube/Access Check とは 新機能 重要情報検知機能のご紹介 取得した操作ログを自動分析し重要情報 1 の持ち出しを検知した場合には 監査者へ通知 2 します 自動分析では 製品に組み込まれている固有辞書 ( 氏名 住所 電話番号 クレジットカード番号な ど ) による完全一致での検索 3 を試みます 利用者 SecureCube / Access Check 経由で情報を取得 SecureCube / Access Check 情報システム アクセス制御 + ログ取得 公開 情報を取得 情報を取得 情報を取得 情報を取得 公開 情報を取得 情報を取得 取得した情報を操作ログとして保存 社外秘!! 操作ログに重要情報が含まれるか自動分析 監査者 メール通知 重要情報を検知したことを監査者へ通知 検知対象となる重要情報は後述を参考ください 2 パスワード付ファイルなど分析ができなかった場合にも その旨を監査者へ通知します 3 検索対象は 下記プロトコルの通信に限ります TELNET/SSH/FTP/SFTP/SCP/CIFS Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved. 24

25 ソリューション事業本部 東京都千代田区大手町 東京サンケイビル Tel: Copyright 2015 NRI SecureTechnologies, Ltd. All rights reserved.