はじめに
本コラムでは、当社がシステム導入から保守・運用までをサポートした特権(管理者権限)アクセス管理についての事例を、ポイントを絞りつつ紹介します。
背景
当社が支援したお客様先では、数十台のサーバをオンプレで構築・運用していましたが、アカウントさえあれば社内のどのパソコンからでも各サーバへ特権でアクセスできてしまう問題がありました。そこで
・特権操作のアクセス経路を限定する
・特権操作はテキストや動画で記録する
・特権を持つ人を限定する
を実施し、外部からの不正な操作抑止や内部不正による情報漏えい抑止、および問題発生時の迅速な原因究明を実現すべく、特権ID管理ソリューションを導入することとなりました。
要件の実現とポイント
要件①:特権操作のアクセス経路を限定する
踏み台サーバを部門毎または用途毎に複数用意し、特権操作は踏み台サーバからのみ利用可能とする構成としました。経路制限は各サーバのファイアウォール機能(送信元/先のIP・ポート番号)にて実現しました。
<ポイント>
・通信ログの分析
アクセス経路の制限にあたり、業務影響が無いように数ヶ月通信ログを記録し、必要な通信を取捨選択しました。また、特に影響が大きいシステムが載っているサーバは段階的に制限を行い、業務影響が無いよう慎重に進めました。
・障害時の考慮
踏み台サーバが壊れた時にはその先の対象サーバで特権操作ができなくなってしまうため、踏み台サーバは冗長構成としました。また、踏み台サーバが両系とも壊れてしまった場合も考慮し、緊急時のみ利用できる経路(普段は制限があり利用不可)も作成しました。
・踏み台サーバの利用制限
特権操作が踏み台サーバ経由となると、踏み台サーバに余計なアプリケーションをインストールしたり、ファイル置き場になってしまう可能性があると考え、インストール不可、容量制限など、OSの設定で利用制限を行いました。
・社内への啓蒙
セキュリティ観点では良い施策ですが、従来どこからでもアクセスできた環境と比べると、利用者目線では不便になってしまいました。そこで、セキュリティ上重要な施策であることを各部門に丁寧に説明し、了承いただきました。
要件②:特権操作はテキストや動画で記録する
こちらは特権ID管理ソリューション導入にてログとして保管する形で実現しました。
<ポイント>
・ログ肥大化対策
特に特権操作の動画ログはサイズが大きいため、古いログの自動的削除や解像度の調整を行いました。また、別ツールにてサーバ容量の監視を行い、容量不足を事前検知する様設定しました。
要件③:特権を持つ人を限定する
特権アカウントの棚卸を行い、必要最低限の人に必要最低限の権限を付与しました。
<ポイント>
・より精緻な棚卸
従来から定期的なアカウント棚卸は行ってきましたが、「退職した場合はアカウント削除する」にとどまっており、異動や担当変更時は権限がそのままになっていました。そこで、特権操作ログから利用実績を確認しつつ、要否を確認する様運用を変更しました。
おわりに
今回は、当社でシステム導入から保守・運用までをサポートした特権アクセス管理の事例についてポイントを絞って紹介しました。運用にあたっては他にも考慮が必要な点がいくつもありますが、参考になれば幸いです。
関連するエイムネクストのサービスは「IT統制・ITアウトソーシング・システム開発及び運用」をご覧ください。