本セッションの内容 エンカレッジ テクノロジ会社紹介 今なぜ特権アカウントの管理が重要なのか? リスク要因から導かれる対策のポイント 弊社ソリューションを活用した対策の具体例 2

ID Management Conference 2016 セッションNo. TC1-07 講演資料 ますます重要性が高まる特権アカウントの管理 リスク要因から導かれる その適切な管理方法とは 2016年10月5日 エンカレッジ テクノロジ株式会社 ENCOURAGE TECHNOLOGIES

本セッションの内容 エンカレッジ テクノロジ会社紹介 今なぜ特権アカウントの管理が重要なのか? リスク要因から導かれる対策のポイント 弊社ソリューションを活用した対策の具体例 2

エンカレッジ テクノロジ会社紹介 3

会社概要 設 立 資 本 金 所 在 地 事業内容 上場市場 代 表 者 2002年11月1日 5億738万円 2016年6月末現在 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F コンピュータシステムソフトの開発 保守並びに販売 コンピュータ運用管理に関するコンサルティング コンピュータ運用管理BPOサービス 東京証券取引所マザーズ 証券コード 3682 代表取締役社長 石井 進也 Value & Satisfaction お客様の視点で新たな価値を創造し 満足いただける製品とサービスを提供します Happiness 社員と会社の目的を一致させ 物心一体の幸福を追求します Compliance 国内外の法令と企業倫理を遵守し 誠実かつ公平に業務を遂行します 4

お客様一覧 弊社ソフトウェアは累計で490社以上のお客様にご採用されています IHI運搬機械株式会社 あいおいニッセイ同和損害保険株式会社 藍澤證券株式会社 株式会社アイネス 株式会社アイネット アイフル株式会社 アイレット株式会社 アニコム損害保険株式会社 飯田信用金庫 いちよし証券株式会社 株式会社インテック SMBC日興証券株式会社 SMBCファイナンスサービス株式会社 SCSK株式会社 NECネッツエスアイ株式会社 NTTコムウェア株式会社 株式会社NTTソルコ 株式会社NTTデータ 株式会社NTTデータSMS 株式会社NTTドコモ オリックス システム株式会社 オリンパス株式会社 カブドットコム証券株式会社 川口信用金庫 関西電力株式会社 キヤノンITソリューションズ株式会社 株式会社山陰合同銀行 湘南信用金庫 株式会社新生銀行 シンプレクス株式会社 株式会社スカイアーチネットワークス スバルシステムサービス株式会社 ソニー銀行株式会社 ソフトバンク株式会社 第一生命保険株式会社 TIS株式会社 株式会社ディー エヌ エー 東京海上日動システムズ株式会社 株式会社東京証券取引所 株式会社東京スター銀行 五十音順 敬略称 東濃信用金庫 ドコモ システムズ株式会社 ニッセイ情報テクノロジー株式会社 株式会社ニッセイコム 株式会社日本総研情報サービス 日本電気株式会社 日本電信電話株式会社 日本ユニシス株式会社 沼津信用金庫 ネットワンシステムズ株式会社 浜松信用金庫 富士通株式会社 ポケットカード株式会社 株式会社みずほ銀行 三井住友アセットマネジメント株式会社 三井生命保険株式会社 三井ダイレクト損害保険株式会社 三菱総研DCS株式会社 三菱電機インフォメーションシステムズ株式会社 三菱UFJ信託銀行株式会社 5

弊社主要パートナー様 6

今なぜ特権アカウントの管理が重要なのか? 7

今なぜ特権アカウントの管理が重要なのか? 内部者や委託先の内部不正に対する対策の要 標的型攻撃などサイバー攻撃に対する内部対策の要 8

企業における内部不正の実態 調査結果 内部不正経験者の約5割がシステム管理者 内部不正経験者の職務の51.0%がシステム管理者 兼務を含む システム管理者は社内システムに精通し 高い アクセス権限 特権ID を有することが多い 内部不正による 情報セキュリティインシデント実態調査 調査報告書 独立行政法人情報処理推進機構 IPA) 2016年3月 9

なぜシステム管理者が不正をするのか ②IT技術と管理対象 ①管理者権限 特権ID の使用 システムの専門知識 システムの変更や問題修正には特権 IDが不可欠 不正使用や濫用されていた場合 影響範囲が大きい DBからの全件抽出など ③システム管理の外部委託化など構 造的問題 IT技術の知識や経験が豊富 責任の所在があいまいに 管理対象システムの仕様等に詳しい 現場の担当者の境遇とシステム上の 権限のアンマッチ 一般に認識されていない 抜け穴 を知っている 証拠を隠滅される恐れ 不正を行う動機を抱え る境遇 労働環境 ミスや不正により影響範囲の大きな問題が発生 発見が遅れ 水際の対策が取れない 10

システム管理者による情報漏えい/不正事件 2014年 地方銀行のATM保守ベンダー従業員 ATMの保守管理業務でのソフトウェアのトラブルの解析作業などの際にATM利用者のカード情報を不正に取得 テスト用のカード発行機を用いて偽造カードを作成 キャッシュカード80口座 クレジットカード52口座 偽造カードを実際に使用し2400万円の現金を着服 ATMシステムの保守業務にかかわる権限の集中 相互牽制などのチェック体制の不足 2014年 通信教育大手のシステム管理再委託先の派遣社員 同社のデータベースシステムの管理業務を担当 金銭に困り データベースから顧客情報約3500万件を抽出し 私物のスマートフォンで持ち出し名簿業者に販 売 異常なDB操作に対する監視 チェック体制の不足 11

小規模な会社で発生したケース 医師紹介サービス企業 従業員60名程度 で起きたインシデント 2014年10月 平成 24 年 1 月から同年 7 月まで当社に在籍していた元従業員 システム担当者 が 不正競争防止法違反により逮捕 医師 看護師の氏名 住所 電話番号 性別 最終学歴などの情報 約17,000件を不正に取得 当該元従業員が当社社長や役員あてのメールを自らのプライベートアドレスへ自動転送させるように サーバーを設定していた 12

標的型攻撃の手口 内部潜入 マルウェア感染 攻撃拠点構築 内部侵入 コネクトバック通信 ネットワーク環境探索 パスワードの窃盗 業務システム/ サーバーへの侵入 目的遂行 データ外部送信 データの改ざん 破壊 巧妙化する偽装メール等により侵入を完全に防止できない 侵入されることを前提に多層的な対策が必要 内部対策 出口対策 13

管理者権限の搾取 攻撃者は 様々な手法で特権アカウントの認証情報を狙っている マルウェアが管理者IDの認証情報を 取得する主な手法 リスト型攻撃 総当たり キャッシュ/ファイル メール 内部メモリ キーロガー スクリーンキャプチャ OSやアプリの脆弱性 14

アカウント認証情報を奪取するツール類 ツール名 機能 PwDump7 システム内のパスワードハッシュ一覧を表示する PWDumpX リモートホストからパスワードハッシュを取得する Quarks PwDump ローカル ドメインアカウントのNTLMハッシュや キャッシュされたドメインパスワードを取得す る 端末内の情報に加え NTDS.DITファイルを指定して解析することも可能 mimikatz 記憶された認証情報を搾取 Windows Credentials Editor ログイン端末のメモリ内に存在する パスワードハッシュ情報を取得する gsecdump SAM/ADやログオンセッションから ハッシュを抽出するツール lslsass lsassプロセスから 有効なログオンセッションのパスワードハッシュを取得する Find-GPOPasswords.ps1 グループポリシーのファイルにパスワードの記載がある場合 それを取得する Mail PassView 端末上のメールクライアントの設定に保存されているアカウント情報を抽出する WebBrowserPassView 端末のWebブラウザに保存されているユーザー名 パスワードを抽出する Remote Desktop PassView 端末上のRDPの設定に保存されているアカウント情報を抽出する インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 2016年6月28日 一般社団法人JPCERTコーディネーションセンター 15

リスク要因から導かれる対策のポイント 16

講じるべき対策のポイント 特権IDの使用箇所 使用経路の限定 正当なアクセスの経路 特権アカウントの使用箇所を限定し 不正アクセスを防御または発見しやすくするとともに 重要システムにアクセスで きる特権アカウントの認証情報をマルウェアによる搾取からより強固に保護する システム管理作業スケジュールの明確化/承認プロセスの確立 管理者権限/管理ツールを使用して重要システムへアクセスするシステム管理作業は 事前の申請承認プロセスを通して 事前にスケジュールとそ の作業内容を明確にしておき 不正なアクセスの識別を容易にする パスワード等認証機能の強化/パスワード漏洩防止対策 パスワードの複雑性強化 変更頻度の短期化または多要素認証を用い 仮にパスワードが漏えいしたとしても 不正アクセスを防止できるように する また 使用者の特定手段を設ける 特権アカウントを使用した操作内容の監視 記録と点検 重要システムに対する管理者権限/管理ツールを使った操作を監視 記録し 不適切な操作や予定外の操作が行われていないかについて定期的に確 認する 17

特権アカウントにかかわるリスク要因まとめ リスク要因 想定されるリスク ポイント 悪意のある外部者や内部者に特権アカ ウントの認証情報が奪われる恐れ 重要な情報の漏えい 改ざ ん アカウントが奪われた場合には 正常アクセスか 不正アクセスかの識別が難しい 正当な理由によって特権アカウント使 用する内部者 委託先含む が権限を 濫用 誤用する恐れ 重要な情報の漏えい システム障害 トラブルに よるサービス停止 業務上必要な理由による特権アカウントの使用を 制限することができない どのような操作が濫用 誤用に当たるのかの判別 が難しい 18

攻撃者がサーバーアクセスに使用するツール/コマンド 例 多くの不正アクセスは システムで標準的に備わっているツール コマンドを使用している ツール/コマンド名 機能 PsExec リモートシステム上でプロセスを実行する WMIC Windowsのシステム管理に使用するツール PowerShell Windowsの管理や設定に利用可能なコマンドラインツール (Windows 7以降では標準で利 用が可能) PowerShellを実行したホストのみでなく ネットワークを介して他のホストに対してコ マンドを実行することも可能 wmiexec.vbs Windowsのシステム管理に使用するツール WinRM リモートの端末から情報を搾取する WinRS リモートホスト上でコマンドを実行する RDP (Remote Desktop Protocol) リモートデスクトップサービスが稼働しているサーバーに接続するためのプロトコル インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 2016年6月28日 一般社団法人JPCERTコーディネーションセンター 19

特権IDの使用箇所 使用経路の限定とは 使用箇所 使用経路を限定せず特権IDを使用すると マルウェア感染したPCを介して認証情報等が漏えい するリスクが増加 委託先ベンダー マルウェアに感染したPC 悪意のある攻撃者 システム運用者 執務ネットワーク システム運用者 マルウェアに感染したPC システム運用者 20

対策の考え方 作業予定スケジュール 月 日 時 月 日 時 月 日 時 月 日 時 特権ID使用箇所は インターネットから隔離 インターネット 特権ID使用箇所 マルウェア感染リスクの高い インターネット接続端末 21

認証情報の強化 パスワード管理の是非 定期的なパスワード変更はすべきではない 2016年6月アメリカの科学研究機関NIST 米国国立標準技術研究所 のコンピューターセキュリティ担当部門 CSD Computer Security Division が発行した文書の中で パスワードの定期変更をユーザーに求めるべきではない と の考え方を発表 これは定期的に変更を促すことにより 末尾の数字だけを変更するなどの対応によってかえって推 測されやすいパスワードになってしまうリスクがあるため 頻度はともかく 推測されづらい強固なパスワードを設定するには 人によるパスワード管理の限界を認識する必要 がある 使用者の特定 共有IDの使用を禁止し 個人のアカウントに権限を割り当てるべき 一般的なセキュリティ教本では 共有IDを使用せず 個人が特定できるIDに適切な権限を付与すべきと書かれている が これにより管理すべきID自体の数量が増加し かえって煩雑になることで管理ミスが発生してしまうリスクがあ る 参照 エンカレッジ テクノロジが考える特権ID管理のベストプラクティス 22

不正な操作の判断は 会計データベース 日付 データ変更 ケース① システムトラブルで入力データにエラーが 発生 システム上での変更ができないため データベース上の値を直接補正したほしい と依頼があり 手続きのもので値の補正作 業を実施した 費目 借方 金額 借方 金額 貸方 費目 貸方 2016/9/29 売掛金 5,000,000 売上 5,000,000 2016/9/30 売掛金 4,930,000 6,000,000 売上 4,930,000 6,000,000 ケース② 営業部に所属する同期入社の同僚から 自 分の売り上げ実績を水増ししたいと頼まれ 特別ボーナスの一部を山分けしてもらう見 返りに売上データの修正を行った 23

特権アカウントを使用した操作内容の監視 記録と点検 内部者の特権アカウントの誤用 濫用の判定は 操作内容だけでは判断することができない 常に予定されていた作業内容との照合が必要 承認された予定作業 計画 目的 実施スケジュール 作業予定内容 実際の作業内容 証跡 比較 照合 監視によるチェック 作業のログや操作によって発生した システムログ 変更履歴の照合 点検 24

弊社ソリューションを活用した対策の具体例

BEFORE: 現状の構成とリスク データセンター / サーバールーム 守るべき情報の保管場所 外部ベンダー 内部者 外部ベンダーはマルウェア感染 情報漏えいリスクの高いクライアント環境から直接システムへアクセス サーバーへのアクセス内容の監視 記録が行われていない システムアクセスの計画は事前に承認されなくても可能 操作端末 サーバーからの情報の持ち出しに特段の制限なし 管理者アカウントのパスワードは一定期間変更されていない 26

AFTER: 弊社が推奨する改善方法 データセンター/サーバールーム アクセス&監視レイヤー 外部ベンダー 守るべき情報の保管場所 不正な特権ID使用の検査 申請ベースの特権ID貸出 特権IDパスワードの定期ランダム化 特権ID管理 EAC 中継サーバーへのファイル入出力 は 第三者の関与のもとで実施 シンクライアント端末の併用 でさらにセキュアに 操作端末への直接のファイルの やり取りを仕組みで不可能に 操作内容監視 記録 REC マルウェア感染リスク 可搬 媒体が使用できる端末から重 要システムを隔離 操作端末 リスクを中継サーバーに 集約し 集中して監視 中継サーバー 27

アクセス中継サーバーによるファイル持ち出し経路の限定 端末と中継サーバー間のデータ授受を制限し 不正なデータの持ち出しを防止 外部委託先ベンダーによるリモート保守時もアクセス中継サーバーを経由することで同様の効果を発揮 アクセス中継サーバー 本番サーバー 画面転送のみ許可 リモート操作 操作端末 RDP接続以外をFW機能等で遮断 RDPはクリップボード ドライブマ ウントなどを禁止設定し 無断に内部 環境とのアップロード ダウンロード を防止 共有フォルダ領域 データの受け渡しは必ず専用フォルダを経由する運用とする 場合によっては受け渡し専任者を置く 28

弊社の特権ID&証跡管理システムの活用 特権ID管理ソフトウェア ESS AdminControl ユーザー/端末/サーバーの ふるまいの監視 記録とアラート ESS REC 29

ESS AdminControl EAC 特権ID管理を エージェントレス で実現 EACによって実現できること EACの管理下に特権IDをおくことで 承認ベースでのID貸し出し 返却の仕組みを提供 またアクセスのス ケジュールを明確化できることで 不正アクセスとの識別を容易に 特権IDのパスワードを定期的/使用の都度にランダム化 使用時にも隠蔽されたままにすることにより漏え いリスクの低減を実現 また攻撃者にパスワードを搾取されたとしても 有効期限を短期化し 不正アクセ スを防止する効果を発揮 サーバーのログイン履歴を収集し EACの管理下でのID貸し出し履歴と比較することで 不正アクセスの有 無を点検します 作業申請 承認 ID貸し出し 作業 ID返却 確認 OSやデータベースの特権IDを一元的に管理し 特権IDの不正使用リスクを低減 30

パスワードを隠ぺいして特権IDを貸与 作業者の個人IDによる認証に より 承認されたアクセス の一覧が表示される 作業者A 専用ツールの自動ログオン機能 により特権IDのパスワードは 隠ぺいされたまま接続完了 共有IDを使用しても 使用した個人を特定 できる履歴を保存 パスワードは隠ぺいされて いるので 直接アクセスも できない 作業者Aの個人IDで認証 作業者Aの許可されたアクセス一覧 操作対象のサーバーへ 自動接続し作業開始 専用接続ツール EAC Operation Authenticator を使用してサーバーへ接続 Windows/UNIX/Linuxへの接続に対応 サポートする接続方法は リモートデスクトップクライアント Windowsサーバー と Tera TermによるSSH接続 UNIX/Linuxサーバー サポート対象の接続ツール Tera TermによるSSH接続 RDPクライアントによるWindowsリモートデスクトップ接続 31

計画にない不正なログインを発見 32

最新バージョンで実装される新機能 新機能① 特権IDのログイン失敗履歴を収集し レポート表示 マルウェアによる諜報活動や内部者の 不正アクセス試行などの行動を捕捉 新機能② 簡易管理機能であらゆる システムの特権IDを一元的に管理 ID/パスワードで保護されるあらゆる システムの申請 承認プロセスを一元化 アプリケーション クラウドサービス ネットワーク機器 簡易管理機能では パスワードの自動ランダマイズやログイン履歴収集には対応しません 33

ESS REC ESS RECによって実現できること システム操作の内容を動画とテキストで克明に記録し 誰が いつ どのような操作を行ったのかを明確にします 記録されていること自体の作業者に対する抑止 牽制効果 視覚的 直感的な証跡による容易な点検 監査 要注意操作に対してリアルタイムにアラートを発信し 事故 トラブルを未然に防止します 自由に設定可能な検知ルールとアクション 画面ロックによる作業の強制制御 ネットワーク通信やプロセスを監視し 悪意のある攻撃者による内部の情報収集活動を捕捉 ログインが発生しないバックグラウンドプロセスの監視とアラート 記録の取得が可能 34

端末やサーバー上のユーザーのふるまいを克明に記録 デスクトップ画像 起動プロセス ウィンドウイベント GUIアプリケーショ ンの操作 画面上の描画文字列 リモート接続時の 接続元の情報 ファイルアクセス キーボード打刻 マウス軌跡 ドライブの状態 カスタムアプリケーション IPアドレス MACアドレス ユーザー名 日付/時間 コンピューター名 USBポートの状態 ウィンドウタイトル ネットワークI/O モバイルデバイスの接続 MTP/PTP 35

複雑な条件を設定し リアルタイムアクション 条件設定できる監視項目 条件はAnd/Orで組み合わせ可能 検知 アクション メール送信 記録データ 送信 画面の ロック イベントログ 出力 ファイル 出力 ESSへ 通知 画面上の描画文字列 キー入力 ドライブの状態 USBポート プロセスの起動 ファイルアクセス ネットワークI/O 時間帯 ウィンドウタイトル ウィンドウ イベント カスタム アプリケーション モバイルデバイスの接続 外部コマ ンド実行 IDI 本人確認 ポップアップ 表示 36

システム証跡監査ツール ESS REC ESS RECは システム管理者の操作を 動画 テキストで記録する システム 証跡監査ツール 市場で 6年連続 シェアNo.１を獲得しています 出典 情報セキュリティソリューション市場の現状と将来展望2015 内部漏洩防止型ソリューション編 2015年8月発刊 株式会社ミック経済研究所 37

ソリューションによる効果 内部者やマルウェア感染による特権ID不正使用リスクを低減 特権IDの使用箇所 使用経路を限定 パスワードのワンタイム利用 定期変更 隠ぺい 未許可アクセスの検査 不正操作 重要システムへの不要なアクセスを監視 アラート 詳細な操作証跡の取得と 不正な操作の監視 即時アラート 本番システムから重要情報の持ち出し 本番システムへの不正プログラムの持ち込みを制御 管理が煩雑な可搬媒体を用いなくても ファイルの持ち出し 持ち込みをコントロール 管理工数の抑制 ソフトウェアで管理プロセスを自動化 省力化 安全なリモート保守による委託業務の効率化 38

中小システムに最適な簡易版 ESS AdminGate 特権ID&証跡管理に必要な機能をオールインワンで提供する仮想アプライアンス 主要機能 ③作業者の監視/記録と点検 ①管理者権限の使用制限 ②データ入出力制限 監視 特権IDの パスワード管理 ファイル入出力 制御 操作内容の 動画記録 Windows パスワード 隠ぺい機能 個人情報 マイナンバー検出 コマンド入出力の記録 Linux 禁止コマンド検知ア ラート Linux 特権IDの 不正使用検出 ④管理プロセスの自動化 簡便なアクセス申請ワークフロー 39

お客様 ご採用事例のご紹介 アイレット様 AWSクラウド上のシス テムに対する安全対策 でESS RECを採用 SOC2取得に貢献 DeNA 様 基幹系など社内の重要シス テムに対する内部不正対策 としてESS RECを採用 三井ダイレクト損保 様 社内システムの特権ID の管理の効率化にESS AdminControlを採用 半日かかっていた管理 作業が1 2時間程度に 削減 ニッセイコム 様 特権IDの管理を強化するた めにESS AdminGateをご採 用 人事部門におけるマイナン バー対策にも活用 詳細は展示ブースまで 40

まとめ 41

まとめ 内外のセキュリティ脅威の高まりを背景に 重要システムに対するアクセスの鍵となる特権アカウントの管理の重要性が今高まっています 特権アカウントの管理の在り方は 今起きている問題と特権アカウントの特性を踏まえ リスク要因を正しく認識した上で 必要な対策を講じる必要があります 弊社エンカレッジ テクノロジは 特権アカウントとその利用内容に関するリスク低減を実現するソリューションをご提供し お客様のシステムの安全対策のご支援を行っております 42

43