ID Management Conference 2017 セッションNo. B3-05 講演資料 事例で示す 特権アカウント&証跡管理の最前線 オンプレミスからクラウド IoTまで そのポイントと効果とは 2017年9月29日 エンカレッジ テクノロジ株式会社 ENCOURAGE TECHNOLOGIES
本セッションの内容 エンカレッジ テクノロジ会社紹介 セキュリティ脅威の巧妙化 多様化で高まる特権アカウント管理の必要性 弊社ソリューションを活用した対策の具体例 お客様事例のご紹介 今後検討すべきシステム領域 2
エンカレッジ テクノロジ会社紹介 3
会社概要 設 立 資 本 金 所 在 地 事業内容 上場市場 代 表 者 2002年11月1日 5億738万円 2017年3月末現在 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F コンピュータシステムソフトの開発 保守並びに販売 コンピュータ運用管理に関するコンサルティング コンピュータ運用管理BPOサービス 東京証券取引所マザーズ 証券コード 3682 代表取締役社長 石井 進也 Value & Satisfaction お客様の視点で新たな価値を創造し 満足いただける製品とサービスを提供します Happiness 社員と会社の目的を一致させ 物心一体の幸福を追求します Compliance 国内外の法令と企業倫理を遵守し 誠実かつ公平に業務を遂行します 4
お客様一覧 弊社ソフトウェアは累計で540社以上のお客様にご採用されています 2017年3月末現在 IHI運搬機械株式会社 あいおいニッセイ同和損害保険株式会社 藍澤證券株式会社 株式会社i.JTB 株式会社アイネス 株式会社アイネット アイフル株式会社 アイレット株式会社 アニコム損害保険株式会社 株式会社アプラス いちよし証券株式会社 株式会社インテック SMBC日興証券株式会社 SMBCファイナンスサービス株式会社 SCSK株式会社 NECネッツエスアイ株式会社 NTTコムウェア株式会社 株式会社NTTデータ 株式会社NTTデータSMS 株式会社NTTドコモ オリックス システム株式会社 オリンパス株式会社 カブドットコム証券株式会社 川口信用金庫 関西電力株式会社 キヤノンITソリューションズ株式会社 株式会社山陰合同銀行 湘南信用金庫 株式会社新生銀行 シンプレクス株式会社 株式会社スカイアーチネットワークス スバルシステムサービス株式会社 ソニー銀行株式会社 ソフトバンク株式会社 第一生命保険株式会社 TIS株式会社 株式会社ディー エヌ エー 東京海上日動システムズ株式会社 株式会社東京証券取引所 株式会社東京スター銀行 五十音順 敬略称 東濃信用金庫 ドコモ システムズ株式会社 ニッセイ情報テクノロジー株式会社 株式会社ニッセイコム 株式会社日本総研情報サービス 日本電気株式会社 日本電信電話株式会社 日本ユニシス株式会社 沼津信用金庫 ネットワンシステムズ株式会社 浜松信用金庫 富士通株式会社 ポケットカード株式会社 株式会社みずほ銀行 三井住友アセットマネジメント株式会社 三井生命保険株式会社 三井ダイレクト損害保険株式会社 三菱総研DCS株式会社 三菱電機インフォメーションシステムズ株式会社 三菱UFJ信託銀行株式会社 5
弊社主要パートナー様 順不同 6
セキュリティ脅威の巧妙化 多様化で高まる特権アカウント管理の必要性
特権アカウントとは コンピューターシステム サーバー ネットワーク データベース アプリケーションなど)に対して あらゆる権限を有する特別なアカウント 特権アカウントでないと行えない作業例 アプリケーションのインストール ネットワーク設定の変更 システム構成ファイル 設定ファイルの置き換え ユーザーの作成 削除 パスワード変更 権限変更 システムの再起動 電源シャットダウン データ/ファイルの作成 更新または削除 システムの構築 設定または変更を行う際 特権アカウントが必要 Copyright Encourage Technologies Co. LTD. 8
特権アカウントの考慮すべきリスク要因 内部者や委託先の内部不正対策内部統制システムの確立 標的型攻撃に対する内部対策 9
システム管理者の不正行為 内部不正事例集 より抜粋 企業において 社員が機密情報の入ったCD-ROMを持ち出し 機密 情報を換金していた この社員は 情報システムから機密情報を取 り出す際に 部下に仕事の一環と説明して正規の手続きで機密情報 の入ったCD-ROMを作らせて 隠蔽を図っていた 企業において システム管理者の社員が 自宅で業務を行うために機 密情報を持ち出し Winny ファイル交換ソフト がインストールさ れた自宅のPCで業務を行ったことで機密情報を漏えいさせてしまった 金融機関のATMの保守管理業務を委託している企業の社員が ATM の取引データから顧客のカード情報を不正に取得した この情報か ら偽装キャッシュカードを作成 所持し 現金を引き出した 企業において 顧客データベースを保守管理するグループ会社の業務 委託先の社員が 販売目的で個人情報を不正に取得し 持ち出した 企業において システム管理者が機密情報を繰り返し持ち出して換 金していた 繰り返す度に機密情報の持ち出し行為がエスカレート していった 企業において メンテナンス業務を委託した際に 渡した個人情報が 再委託先のアルバイトによって複製され換金された 中小企業において システム管理者が社長のPCの設定を変更して社 長宛のメールを自身のメールアカウントに転送して読んでいた 企業において 委託先のサイト構築 運営会社の従業員が不正行為と 知りつつもその企業の顧客情報を他社に渡していた その他社はその 顧客情報を使って営業活動を行っていた いずれもシステム保守 運用業務担当者またはその委託先が関わる事件 組織における 内部不正防止ガイドライン 第4版 独立行政法人 情報処理推進機構 2017 年 1 月 10
なぜシステム管理者が問題なのか ①管理者権限 特権アカウント の使用 システムの変更や問題修正には特 権アカウントが不可欠であり 使用 を回避できない 不正使用や濫用 誤用の 影響範囲が大きい ②IT技術と管理対象 システムの専門知識 ③システム管理の外部委託化など構 造的問題 IT技術の知識や経験が豊富 責任の所在があいまいに 管理対象システムの仕様等に詳し い 現場の担当者の境遇とシステム上 の権限のアンマッチ 一般に認識されていない 抜け穴 を知っている 証拠を隠滅される恐れ 不正を行う動機を抱え る境遇 労働環境 ミスや不正により影響範囲の大きな問題が発生 発見が遅れ 水際の対策が取れない 11
標的型攻撃による管理者権限の搾取 攻撃者は 様々な手法で特権アカウントの認証情報を狙っている マルウェアが管理者IDの認証情報を 取得する主な手法 リスト型攻撃 総当たり キャッシュ/ファイル パスワードハッシュ 内部メモリ キーロガー スクリーンキャプチャ OSやアプリの脆弱性 12
2016年度 重要インフラにおける 補完調査 実際に発生したIT障害等の事例について現地調査 ヒヤリング等 を行い 重要インフラ事業者等において今後の取組にも 資するよう 事例の概要 原因とともに得られた気付き 教訓等 をとりまとめ公表した資料 事例1 メールフォームへの攻撃 事例2 アクセス制限の不備 事例3 ランサムウェア被害 事例4 管理サーバへの不正アクセス 事例5 ソフトウェアの継続的なセキュリティ対策 事例6 システムの不具合によるサービス障害 出典 2016年度 重要インフラにおける 補完調査について 2017年3月16日 内閣官房 内閣サイバーセキュリティセンター(NISC) 13
リスク要因の違いに伴う対策の考え方の比較 比較項目 内部統制 内部不正 サイバー攻撃の内部対策 目 的 内部統制システムの確立 内部不正対策 サイバー攻撃対策 目 的 法令順守 認証取得 実被害の防止 軽減 内部者 社員 派遣社員 外部委託先ベンダー 外部の悪意のある攻撃者 ルール プロセスの規定 従業員の教育 契約 罰則規定 技術的アプローチによる 防御または早期発見手段の確立 リスク度合いの影響要素 社内の管理体制 委託先への依存度 システム構成 脆弱性 体 組織内の自己点検 監査 SOC 監視 即時アラート 対象者 対策の考え方 制 14
今特権アカウント管理の高度化 効率化が求められます 標的型攻撃など外部脅威に対する内部の対策として ルールや規定にとどまらず 技術的な仕組みを整備 人手を介する不効率な仕組みを解消し効率性を向上 15
講じるべき対策のポイント 特権アカウントの使用箇所 使用経路の限定 正当なアクセスの経路 特権アカウントの使用箇所を限定し 不正アクセスを防御または発見しやすくするとともに 重要システムにアクセスで きる特権アカウントの認証情報をマルウェアによる搾取からより強固に保護する システム管理作業スケジュールの明確化/承認プロセスの確立 管理者権限/管理ツールを使用して重要システムへアクセスするシステム管理作業は 事前の申請承認プロセスを通して 事前にスケジュールとそ の作業内容を明確にしておき 不正なアクセスの識別を容易にする パスワード等認証機能の強化/パスワード漏洩防止対策 パスワードの複雑性強化 変更頻度の短期化または多要素認証を用い 仮にパスワードが漏えいしたとしても 不正アクセスを防止できるように する また 使用者の特定手段を設ける 特権アカウントを使用した操作内容の監視 記録と点検 重要システムに対する管理者権限/管理ツールを使った操作を監視 記録し 不適切な操作や予定外の操作が行われていないかについて定期的に確 認する 16
弊社ソリューションを活用した対策の具体例
弊社の特権アカウント&証跡管理システム 特権アカウント管理ソフトウェア ESS AdminControl ユーザー/端末/サーバーの ふるまいの監視 記録とアラート ESS REC 18
ESS AdminControl EAC 特権アカウント管理を エージェントレス で実現 EACによって実現できること EACの管理下に特権アカウントをおくことで 承認ベースでのID貸し出し 返却の仕組みを提供 またアク セスのスケジュールを明確化できることで 不正アクセスとの識別を容易に 特権アカウントのパスワードを定期的/使用の都度にランダム化 使用時にも隠蔽されたままにすることに より漏えいリスクの低減を実現 また攻撃者にパスワードを搾取されたとしても 有効期限を短期化し 不 正アクセスを防止する効果を発揮 サーバーのログイン履歴を収集し EACの管理下でのID貸し出し履歴と比較することで 不審なアクセスの 有無を点検します 作業申請 承認 ID貸し出し 作業 ID返却 確認 OSやデータベースの特権アカウントを一元的に管理し 特権アカウントの不正使用リスクを低減 19
パスワードを隠ぺいして特権アカウントを貸与 作業者の個人IDによる認証に より 承認されたアクセス の一覧が表示される 作業者A 専用ツールの自動ログオン機能 により特権アカウントのパス ワードは 隠ぺいされたまま接続完了 共有IDを使用しても 使用した個人を特定 できる履歴を保存 パスワードは隠ぺいされて いるので 直接アクセスも できない 作業者Aの個人IDで認証 作業者Aの許可されたアクセス一覧 操作対象のサーバーへ 自動接続し作業開始 専用接続ツール EAC Operation Authenticator を使用してサーバーへ接続 Windows/UNIX/Linuxへの接続に対応 サポートする接続方法は リモートデスクトップクライアント Windowsサーバー とTera TermによるSSH接続 UNIX/Linuxサーバー サポート対象の接続ツール Tera TermによるSSH接続 RDPクライアントによるWindowsリモートデスクトップ接続 20
計画にない不審なログインを発見 21
ESS REC ESS RECによって実現できること システム操作の内容を動画とテキストで克明に記録し 誰が いつ どのような操作を行ったのかを明確にします 記録されていること自体の作業者に対する抑止 牽制効果 視覚的 直感的な証跡による容易な点検 監査 要注意操作に対してリアルタイムにアラートを発信し 事故 トラブルを未然に防止します 自由に設定可能な検知ルールとアクション 画面ロックによる作業の強制制御 ネットワーク通信やプロセスを監視し 悪意のある攻撃者による内部の情報収集活動を捕捉 ログインが発生しないバックグラウンドプロセスの監視とアラート 記録の取得が可能 22
端末やサーバー上のユーザーのふるまいを克明に記録 デスクトップ画像 起動プロセス ウィンドウイベント GUIアプリケーショ ンの操作 画面上の描画文字列 リモート接続時の 接続元の情報 ファイルアクセス キーボード打刻 マウス軌跡 ドライブの状態 カスタムアプリケーション IPアドレス MACアドレス ユーザー名 日付/時間 コンピューター名 USBポートの状態 ウィンドウタイトル ネットワークI/O モバイルデバイスの接続 MTP/PTP 23
複雑な条件を設定し リアルタイムアクション 条件設定できる監視項目 条件はAnd/Orで組み合わせ可能 検知 アクション メール送信 記録データ 送信 画面の ロック イベントログ 出力 ファイル 出力 ESSへ 通知 画面上の描画文字列 キー入力 ドライブの状態 USBポート プロセスの起動 ファイルアクセス ネットワークI/O 時間帯 ウィンドウタイトル ウィンドウ イベント カスタム アプリケーション モバイルデバイスの接続 外部コマ ンド実行 IDI 本人確認 ポップアップ 表示 24
システム証跡監査ツール ESS REC ESS RECは システム管理者の操作を 動画 テキストで記録する システム 証跡監査ツール 市場で 7年連続 シェアNo.1を獲得しています 出典 情報セキュリティソリューション市場の現状と将来展望2016 内部漏洩防止型ソリューション編 2016年9月発刊 株式会社ミック経済研究所 25
システム構成例 データセンター/サーバールーム アクセス&監視レイヤー 外部ベンダー 守るべき情報の保管場所 不正な特権アカウント使用の検査 申請ベースの特権アカウント貸出 中継サーバーへのファイル入出力 は 第三者の関与のもとで実施 特権アカウント管理 EAC 特権アカウントパスワードの定期ラ ンダム化 シンクライアント端末の併用 でさらにセキュアに 操作端末への直接のファイルの やり取りを仕組みで不可能に 操作内容監視 記録 REC マルウェア感染リスク 可搬 媒体が使用できる端末から重 要システムを隔離 操作端末 リスクを中継サーバーに 集約し 集中して監視 中継サーバー 26
お客様事例のご紹介
お客様 取り組み事例 ソフトバンク 様 快適なモバイルインターネット環境を支える オペレーションセンター オペレーション内容の保証 改善にESS RECが貢献 28
お客様 取り組み事例 山陰合同銀行 様 特権アカウントの使用環境と管理プロセスを改善し 20社に及ぶ委託先ベンダーのシステム保守運用業務 に対するリスク管理体制を強化 29
最新事例 丸善石油化学株式会社様 リスクマネジメントとIT統制の観点から特権ID管理を一から見直し 多様なシステムを一括管理することで 情報セキュリティを強化 30
今後検討すべきシステム領域
仮想化基盤の管理者の統制 プライベートクラウドを自社で構築するユーザー企業やクラウドサービスを運営する事業者などで 仮想基盤の管理者 権限の統制も含めて対応するケースが増加中 ーーーーーー仮想マシン群ーーーーーー Hypervisor システム管理担当者 仮想環境管理ツール 仮想基盤管理担当者 アクセス管理レイヤー 仮想基盤の管理者権限は 基盤上で稼働する仮想マシンやネット ワーク構成にも影響を与えるため OSレベルの特権以上の権限を 有すると解釈される 仮想環境ツールではGUI操作が中心で 操作内容の克明なログが取 得できないものが多いことから 動画で記録を取得する方法が採 用される場合が多い 32
お客様取り組み事例 クオリカ 様 クラウドサービス基盤の保守 運用体制を強化し 認証機関からも高く評価されるセキュリティレベルへ 33
クラウドサービスの管理者権限の統制 IDaaSや認証フェデレーションサービスと連携させることで 外部のクラウドサービスの管理者アカウントに対する統制 についてもカバーすることが可能となります IDaaS等との連携による外部クラウドサービスの管理者アカウントに対する統制例 IDaaSサービス 社内Active Directory ID連携 ID連携 EAC自体は社内ADの アカウントを管理 クラウドサービス管理者 ID連携 所属 シングルサインオン SaaS/PaaSサービス クラウドサービスの管 理者権限を使用する際 に事前申請 承認が必 要な仕組み 特権アカウント管理 EAC 管理者アクセス専用サーバー 社内ネットワーク 承認ベースで貸与され た管理アクセス用アカ ウントで専用サーバー にログイン 管理アクセスに 対する操作を専 用サーバー上で 記録 監視 IaaSサービス 34
IoT/AI基盤への適用 ユーザー 人 が必ず介在する従来型のシステムとは異なり モノ デバイスに対して直接制御されるようなIoT/AIシ ステムにおいては セキュリティ侵害等による影響の内容とその範囲がこれまでとは異質のものになる可能性がある システム種別 影響範囲 備考 社内基幹システム 会計 販売 購買な ど オンラインシステム 顧客管理システム 社内業務の停止 財務諸表など会計 業務データの滅失 社員のマニュアル対応などで業務を継続する などして お客様への影響を最小限にとどめ ることが可能 直接の販売機会 喪失 顧客情報の流出 顧客との直接の接点であるシステムが停止す ると 直接販売機会を逸するなどの損害につ ながる AI/ IoTシステム モノ デバイスを直接制御されること による異常処理 大量のセンサー情報の漏えい 人が介在せず モノ デバイス間やデータセ ンターとデバイス間で直接制御が行わること でリスクも増大 35
お客様 取り組み事例 エンカレッジ テクノロジの証跡管理ソリューションをトランスネットが採用 2017年6月20日 システム運用のリスク管理ソリューションを提供するエンカレッジ テクノロジ株式会社(本社 東京都中央区 代表取 締役社長兼CEO:石井 進也 以下 当社 )は 株式会社トランスネット 本社 東京都千代田区 代表取締役社長:谷 野 春雄 以下 トランスネット が保守 運用を担当する重要インフラ事業者のIoT基盤におけるセキュリティ対 策として 当社製品 ESS REC を採用 本格運用を開始したことを発表いたします トランスネットは1985年に 電気通信事業の自由化を背景に設立 交通や情報通信などの公共性の高い分野を中心に 情報システム技術とネットワーク技術を活用した事業を展開しています 現在はコンサルティングから設計 運用に至るまで一貫したサービス提供を行っており システム開発や保守 運用 クラウドサービスなどを提供しています 今回トランスネットが保守 運用を受託したシステムは 今後 サイバー攻撃などのセキュリティ脅威への対策が求め られる社会の重要インフラを担う事業者の技術革新の実現に向けたIoT基盤であることから 保守 運用における不正ア クセスを防止するための仕組み 特にベンダーによるリモートでのシステム操作に対して対策が必要でした トランスネットでは 様々なツールを比較検討した結果 システム操作を動画 テキストで克明に記録ができ 不審な 操作に対してはリアルタイムにアラート送信が可能である当社の証跡管理製品 ESS REC を採用し この課題に対応 することを決定しました 36
中小システムに最適な簡易版 ESS AdminGate 特権アカウント&証跡管理に必要な機能をオールインワンで提供する仮想アプライアンス 主要機能 ①管理者権限の使用制限 ②データ入出力制限 監視 ③作業者の監視/記録と点検 特権アカウントの パスワード管理 ファイル入出力 制御 操作内容の 動画記録 Windows パスワード 隠ぺい機能 個人情報 マイナンバー検出 コマンド入出力の記録 Linux 禁止コマンド検知ア ラート Linux 特権アカウントの 不正使用検出 ④管理プロセスの自動化 簡便なアクセス申請ワークフロー 37
まとめ
まとめ セキュリティリスクの多様化 攻撃手法の巧妙化に伴い かつては内部不正 内部統制の確立のためにルールや規則で対策を講じていた内部の対策にも 見直しが迫られています 特に特権アカウントの適正な管理は 外部からの攻撃に対する内部対策として見直しが必要な重要なポイントです 特権アカウントは従来のオンプレミスのシステムだけではなく 仮想基盤 クラウドサービス IoT/AI システムなど システムの適用範囲の広がりや変化とともに 対応すべき範囲も変化しており 正しいリスク認識の下で必要な対処を講じる必要があります 弊社エンカレッジ テクノロジは 特権アカウントとその利用内容に関するリスク低減を実現するソリューションをご提供し お客様のシステムの安全対策のご支援を行っております 39
40