2016年2月4日 セキュリティマネジメントカンファレンス 2016 冬 動画操作記録と特権ID管理で実現する システム管理者 委託先の安全対策 2016年2月4日 エンカレッジ テクノロジ株式会社 ENCOURAGE TECHNOLOGIES
本 セッションの 内 容 エンカレッジ テクノロジ 会 社 紹 介 システム 管 理 者 委 託 先 に 対 する 安 全 対 策 の 必 要 性 特 権 IDに 係 る 安 全 対 策 のポイント 弊 社 動 画 操 作 記 録 / 特 権 ID 管 理 ソリューションのご 紹 介 2
エンカレッジ テクノロジ 会 社 紹 介
会社概要 設 立 資 本 金 所 在 地 事業内容 上場市場 代 表 者 2002年11月1日 5億738万円 2015年9月末現在 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F コンピュータシステムソフトの開発 保守並びに販売 コンピュータ運用管理に関するコンサルティング コンピュータ運用管理BPOサービス 東京証券取引所マザーズ 証券コード 3682 代表取締役社長 石井 進也 Value & Satisfaction お客様の視点で新たな価値を創造し 満足いただける製品とサービスを提供します Happiness 社員と会社の目的を一致させ 物心一体の幸福を追求します Compliance 国内外の法令と企業倫理を遵守し 誠実かつ公平に業務を遂行します 4
お客様一覧 弊社ソフトウェアは累計で450社以上のお客様にご採用されています あいおいニッセイ同和損害保険株式会社 株式会社アイネス 株式会社アイネット アニコム損害保険株式会社 株式会社インテック SMBC日興証券株式会社 SMBCファイナンスサービス株式会社 SCSK株式会社 NTTコムウェア株式会社 株式会社NTTデータ 株式会社NTTドコモ オリックス システム株式会社 オリンパス株式会社 キヤノンITソリューションズ株式会社 株式会社外為どっとコム カブドットコム証券株式会社 川口信用金庫 関西電力株式会社 株式会社山陰合同銀行 湘南信用金庫 株式会社新生銀行 株式会社シンプレクス コンサルティング スバルシステムサービス株式会社 双日株式会社 ソフトバンク株式会社 第一生命保険株式会社 TIS株式会社 東京海上日動システムズ株式会社 株式会社東京証券取引所 東京スター銀行株式会社 ドコモ システムズ株式会社 ニッセイ情報テクノロジー株式会社 ネットワンシステムズ株式会社 浜松信用金庫 ポケットカード株式会社 株式会社みずほ銀行 三井生命保険株式会社 三井住友アセットマネジメント株式会社 三井ダイレクト損害保険株式会社 三菱UFJ信託銀行株式会社 五十音順 敬略称 5
弊 社 主 要 パートナー
システム 管 理 者 委 託 先 に 対 する 安 全 対 策 の 必 要 性
相次ぐ内部不正/情報漏えい事件 銀行の共同システムの運用孫請会社社員が偽 造カードを作成し 顧客口座から不正に現金 約2,000万円を引き出し 2012年 地方銀行のATM保守ベンダー社員がキャッ シュカードを偽造し現金 約2,400万円を着服 2014年 通信教育大手のシステム管理再委託先の派遣 社員が個人情報 約3,500万件を持ち出し名簿 業者に販売 2014年 医師紹介サービス企業のシステム管理担当元従業員 が 役員宛てのメールを自分のプライベートアドレ スへ自動転送させるようにサーバーを設定し 医 師 看護師の個人情報を持ち出し 2014年 株主向けポイント制度を複数の上場企業向けに 運営する事業者が 内部不正により株主の個人 情報を漏えい 2015年 いずれもシステム保守 運用業務担当者またはその委託先が関わる事件 8
なぜシステム保守 運用業務がリスクなのか ②IT技術と管理対象 ①管理者権限 特権ID の使用 システムの変更や問題修正 には特権IDが不可欠 システムの専門知識 ③システム管理の外部委託 化など構造的問題 IT技術の知識や経験が豊富 責任の所在があいまいに 管理対象システムの仕様等 に詳しい 現場の担当者の境遇とシス テム上の権限のアンマッチ 不正使用や濫用されていた場合 影響範囲が大きい DBからの全件抽出など 一般に認識されていない 抜け穴 を知っている 不正を行う動機を抱える 境遇 労働環境 証拠を隠滅される恐れ ミスや不正により影響範囲の大きな問題が発生 発見が遅れ 水際の対策が取れない 9
特権IDとは コンピューターシステム サーバー ネットワーク データベース アプリ ケーションなど)に対してあらゆる権限を有する特別なアカウント 例えるならホテルルームのマスターキー 特権ID管理でないと行えない作業例 アプリケーションのインストール ネットワーク設定の変更 システム構成ファイル 設定ファイルの置き換え ユーザーの作成 削除 パスワード変更 権限変更 システムの再起動 電源シャットダウン データ/ファイルの作成 更新または削除 システムの構築 設定または変更を行う際 特権IDが必要 Copyright Encourage Technologies Co. LTD. 10
特権IDのリスク 不正アクセスのリスク 高い権限を有するアカウントが不正利用されると 情報漏えいやシステムの不正改ざんなど 影響の大きな不正行為を許してしまう 例えるならマスターキーを落とし 第三者に拾われるリスク 権限の濫用 誤用によるシステムや情報への影響 正当に権利を有する作業者が 権限を濫用 誤用することで 本来許可されない行為が 行えてしまう 例えるならルーム係がマスターキーを使ってお客様滞在中の客室に侵入 利用者が特定できない 共有型の特権IDを常に複数の作業者が利用できる状況だと 実際は誰がいつ どんな操 作を行ったのか 特定することができず 原因究明が困難になる 例えるならマスターキーが複数のルーム係で使い回しされ いつ誰が何の目的で使ったの か記録がない 11
クラウドの利用や外部委託化で 物理的安全対策の効果が限定的に 従来からの物理的安全対策 サーバールームの入退室管理 サーバールーム内の監視カメラ 作業時の立合い/複数人による作業 Case1: 委託先ベンダーによるリモート保守 トラブル時 メンテナンス時 専用線やVPNを 使用して委託先ベンダーのオフィスから直接サーバーへアクセス Case2: クラウドサービスの利用 そもそもサーバールームに設置されていない 社員も委託先ベンダーもリモートでアクセスすることが前提 クラウド事業者の物理的安全対策は必要だが 利用者の安全対策には効果なし 12
外部不正侵入 サイバー攻撃 と特権ID 攻撃者は 様々な手法で管理者権限 特権ID を狙っている マルウェアが管理者IDの認証情報 を取得する主な手法 リスト型攻撃 総当たり ファイル バッチ スクリプト メール 内部メモリ キーロガー スクリーンキャプチャ OSやアプリの脆弱性 13
マイナンバーの 安 全 対 策 でも 盲 点 になる システム 利 用 部 門 人 事 給 与 システム 人 事 給 与 システムの 修 正 で 対 応 可 能 な 事 務 範 囲 個 人 番 号 など アプリケーション 画 面 人 事 経 理 担 当 者 プログラムロジック システム 管 理 部 門 システムの 修 正 とは 別 に 対 応 が 必 要 な 範 囲 システム 管 理 運 用 者 14
特 権 IDに 係 る 安 全 対 策 のポイント
内部不正を防止する効果の高い対策 0.0 10.0 20.0 30.0 40.0 50.0 60.0 社内システムの操作の証跡が残る 顧客情報などの重要な情報にアクセスした人が監視される アクセスログの監視等を含む これまでに同僚が行ったルール違反が発覚し 処罰されたことがある 社内システムにログインするためのIDやパスワードの管理を徹底する 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 情報システムの管理者以外の 情報システムへのアクセス管理を操作できない 社内の重要な情報を暗号化する 社内の重要な情報を誰もが閲覧できない 顧客情報などの重要な情報は認められた職員のみがアクセスできるようにする CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限する 参考 独立行政法人情報処理推進機構 組織における内部不正防止ガイドライン 2013年12月27日 16
不正発生のメカニズム 借金 会社や 上司への不満 動機 権限濫用可能 監視されていない 機会 参考 独立行政法人情報処理推進機構 正当化 見つからない みんなもやっている そのくらいしても平気 組織における内部不正防止ガイドライン 2013年12月27日
技術的安全対策のポイント 1 内部者 委託先含む の不正を防止 早期発見するための取り組み システム保守 運用者のアクセス内容の記録と点検 特権IDを使用したシステム保守 運用者によるアクセス内容 操作内容 はすべて記録し 不適切な操作がない かを定期的に確認する 特権ID管理によるシステム保守 運用者への適切なアクセス制御 特権IDの管理については 保守 運用者にその管理を委ねず 必要な場合にのみ 必要最小限の権限を付与する など適切な管理を行い 権限の不正使用 濫用を防止する 特権ID使用者の識別と不正使用の防止 特権IDを共有して利用することが避けられない場合は 貸出履歴を記録し IDを貸与するたびにパスワードを 変更するなどして アクセスしたユーザーを一意に識別できるように管理する 特権IDを用いた不正な情報持ち出しの制御 特に本番システムから重要データを持ち出す際には 必ず第三者の承認 相互牽制等が働き システム管理担当者 が単独で持ち出しできないようにする 18
技術的安全対策のポイント 2 標的型攻撃の内部対策としての取り組み 特権IDの使用箇所 使用経路の限定 マルウェア感染リスクの高いエリア インターネットに接続されている執務環境など による特権IDの使用 外 部委託先からのリモートメンテナンス環境での特権IDの使用など 様々な使用箇所 使用経路があると マル ウェア感染による漏洩リスクが高まる パスワード等認証機能の強化/パスワード漏洩防止対策 パスワードの複雑性強化 変更頻度の短期化 多要素認証や生態認証/ワンタイムパスワードの併用 不審なアクセスの有無のチェック 所定経路以外からのアクセスを防止する仕組み 多数のアクセス拒否履歴の有無の確認 19
弊 社 動 画 操 作 記 録 / 特 権 ID 管 理 ソリューションのご 紹 介
規模に応じた2つのパッケージ 小規模システムに最適な オールインワンパッケージ ESS AdminGate VA ゲートウェイ型仮想アプライアンスでインストール等不要 アクセス制御 アクセス者の識別 アクセス内容の記録 不正アクセス防止 情報漏えい対策等の技術的安全管理要 件を網羅 大規模なシステムまでをカバーする システム保守運用の安全対策ソリューション ESS AdminControl ESS REC 機能単位の専門ソフトウェアで構成され 複雑で大規模なシステム にも適用可能なソリューション 特権ID管理 アクセス制御と不正アクセス防止 証跡 アクセス内容のリアルタイムの監視と記録 違反操作検知 21
弊社ソリューション主要機能 システム管理者の安全対策に必要な要件を網羅し安全対策を実現 特権IDアクセス管理 機能 アクセス制御 ワークフローを用いた事前申請に 基づく特権IDの貸与でアクセス制 御を実現 特権IDのパスワードを隠ぺいし 漏えいリスクを低減 許可されないアクセス 異常なア クセス経路の有無の点検が可能 システム操作 監視/証跡 ログの取得と点検 特権ID使用者識別 機能(アクセス者の識別 特権IDとその使用者の個人を紐づ ける独自技術により 特権IDを共 有して利用する場合でも 使用者 を識別するとともに 許可されな いユーザーによる不正使用を防止 ファイル持出制御 機能 情報漏えい対策 2 ログ解析の専門知識がなくても 容易に点検が可能となるよう 操 作内容を動画やテキストで記録 許可されない操作が実行された場 合に即時にアラートが上がる検知 機能 1を装備 サーバーからファイルを作業者単 独で持ち出せないよう持ち出し ファイルを制御 持ち出しファイルにマイナンバー や個人情報が含まれていないか検 査し アラートを表示 1 ESS AdminGateではLinuxコマンド操作のみに対応 ESS AdminControl/ESS RECではWindows UNIXにも対応します 2 ESS AdminGateのみに提供される機能です 22
動 画 による 操 作 証 跡 の 効 果 テキストログに 比 べ 高 い 抑 止 効 果 テキストログでは 見 えない 操 作 者 の 意 図 思 惑 がわかる ヒューマンインターフェイスの 観 点 で 原 因 を 究 明 し 再 発 防 止 が 講 じやすい 23
テキストログでは 見 えない 操 作 者 の 意 図 思 惑 がわかる 24
ヒューマンインターフェイスの観点で原因を 究明し 再発防止が講じやすい Case1 Terminalツール2画面使用時の間違い 検証環境 Case2 ミス発生時のUI操作の検証 本番環境 25
動画とテキスト操作記録の優位性 実際の操作を完全に再現可能 最高の証拠性を持つ 動画ログ ESS REC 検索が容易で調査性に優れる 容量が相対的に小さく 管理が容易 テキストログ Windows操作のテキストログ取得は ESS RECで提供される機能です ESS AdminGateのWindows操作記録機能は動画のみとなります 26
画面表示文字列取得のメリット 検索が可能なテキスト情報として取得すること で さまざまな活用 設定が可能に 画面上の描画文字列 画面表示文字を利用したルール設定例 システム運用業務 特権を取得するためのコマンド su root と表示されたら アラートを上げる 機密文書の保護 文書内に記載されている 社外秘 の文字が表示されたら アラートを上げる 業務外インターネットの利用 ゲーム, 出会い系 などといった業務外のキーワードが表示されたら画面ロック で操作を制御 Windows操作のテキストログ取得は ESS RECで提供される機能です ESS AdminGateのWindows操作記録機能は動画のみとなります 27
お客様 ご採用事例のご紹介 アイレット様 三井ダイレクト損保 様 AWSクラウド上のシス テムに対する安全対策 でESS RECを採用 SOC2取得に貢献 社内システムの特権ID の管理の効率化にESS AdminControlを採用 半日かかっていた管理 作業が1 2時間程度に 削減 DeNA 様 ソフトバンク 様 基幹系など社内の重要シス テムに対する内部不正対策 としてESS RECを採用 通信網を支える全国の基地 局の保守 運用における操 作ミス 不正操作防止に ESS RECを採用 詳細は展示ブースまで 28
システム証跡監査ツール ESS REC ESS RECは システム管理者の 操作を動画 テキストで記録 する システム証跡監査ツー ル 市場で 6年連続シェア No.1を獲得しています 出典 情報セキュリティソリューション市場の現状と将来展望2015 内部漏洩防止型ソリューション編 2015年8月発刊 株式会社ミック経済研究所 29
マイナンバー安全対策でのご採用例 業種 採用製品 ご採用時期 当初の課題 採用理由 すべての操作内容を網羅的に取得 できる USBストレージ接続など要注意操 作に対する即時アラートが送信で きる 情報通信 ESS REC 2015年9月 自社でお客様向けに提供している人 事系クラウドサービスにおいて マ イナンバー制度の施行に伴い必要な 安全対策を検討 金融 ESS REC 2015年9月 人事部によるマイナンバー入力 確 動画とテキスト形式で操作内容の 認作業 システム運用者によるシス 取得が可能であり 監査が容易な テムメンテナンスは特権IDを利用し 点が最大の採用理由 て操作するため 操作内容の妥当性 不正やミスがないか等の点検が必要 だった 情報通信 ESS AdminGate 2015年11月 マイナンバー制度開始を契機とし 情報管理など内部統制強化を検討 対象システムは比較的小規模である ことから 低コストで行える対策を 検討開始 正当な操作者が申請したサーバー に対してのみアクセス可能な仕組 みを評価 また操作内容の取得も 同時に行える点が他製品と比べて も優位性を感じた 公共 ESS REC ESS AdminControl 2015年7月 公共システムにおけるマイナンバー 中間サーバーのシステムの保守 運 用を行う担当者の内部不正対策が必 要となったため 要件に合う製品選 定を開始 中継サーバー方式にすることで サーバーにエージェントプログラ ム等のインストールをしなくても 特権IDの管理と操作証跡の取得が 可能であること 30
最 新 事 例 のご 紹 介 31
最 後 に
まとめ これまで 発 生 している 情 報 漏 えい 等 のインシデントの 中 で システ ムの 管 理 者 (またはその 委 託 先 )によるケースは インシデントの 規 模 影 響 範 囲 が 大 きく 優 先 して 対 処 すべきリスク 要 因 です 当 該 インシデント 発 生 の 原 因 には 業 務 上 システム 管 理 者 権 限 ( 特 権 ID)の 使 用 が 避 けられませんが その 管 理 不 備 による 不 正 使 用 や 濫 用 があげられ その 対 策 が 急 務 です クラウドの 利 用 やマイナンバー 制 度 の 施 行 標 的 型 攻 撃 への 対 処 等 システムや 企 業 を 取 り 巻 く 環 境 の 変 化 に 伴 い 特 権 IDの 管 理 の 必 要 性 はさらに 高 まっています エンカレッジ テクノロジは 従 来 よりシステム 運 用 管 理 業 務 の 安 全 を 担 保 するためのソリューションを 提 供 しており 企 業 における 安 全 対 策 実 現 のご 支 援 を 行 っております 33
より詳しくご説明します テーマ別セミナー開催中 クラウドサービス安全利用のための 証跡管理ソリューションセミナー ESS AdminGateによるシステム管理者 委託先安全対策成功事例セミナー 2016年2月 9日 火 15:00 17:15 2016年2月23日 火 日時 2016年2月19日 金 15:00 17:15 日時 会場 エンカレッジ テクノロジ 本社セミナールーム 会場 エンカレッジ テクノロジ 本社セミナールーム 定員 25名 定員 25名 こんな課題をお持ちのお客様におすすめです こんな課題をお持ちのお客様におすすめです AWSなどIaaS上のシステムのセキュリティ対策を検討した い クラウドサービスの利用検討をしているが セキュリティに 関する留意点が良くわからない 重要システムのクラウド移行について具体的なユーザーの事 例を聞きたい システム委託先ベンダーの安全対策を強化したい マイナンバー安全対策の事例を聞きたい 特権IDやその利用内容について管理が不十分であると 監査指摘があった クレジットカードのセキュリティ基準PCI DSSの準拠を 検討している 詳細 お申込はホームページまで : http://www.et-x.jp/event/ 34
最後に 展示ブースご案内 アンケートにご協力ください 弊社展示ブースで ご紹介した 弊社製品の実機デモがご覧いただけま す また本日お配りしていない資料各種を 配布しております 今後の参考にさせていただきますの で お手元のアンケートにご協力い ただけますようお願いします 各種ホワイトペーパー お客様導入事例 当選者の発表は 16:00頃 弊社展示ブースで行います お帰りの前に是非ブースにお立ち寄りください 35
ご 清 聴 ありがとうございました エンカレッジ テクノロジ 検 索