特権ID管理の基本！～申請/承認フローの自動化やパスワード非表示化について～

国内大手企業や政府系機関の大規模なデータ流出が目新しい昨今、サイバーセキュリティー対策はより重要な課題になっており、「特権IDの運用」に注目が集まっています。

本日は、特権IDならびにその管理についてご紹介します！

★そもそも特権IDとは★
特権IDとは、ITリソースの中で非常に多くの操作が可能な特別なアカウント情報のことです。
それゆえに、サイバー攻撃者に特権IDを奪われると、企業は大きな被害を覚悟しなければなりません。
特権IDを使えば、様々な操作ができるので便利な反面、高権限のIDなので、そのセキュリティー強化が欠かせないのです。そして、今その管理方法に注目が集まっています。

現在、特権IDを以下のように管理している企業も多いのではないでしょうか？
・「EXCEL」や「紙の台帳」などで管理をしている
・特権IDを貸し出した後の把握はしていない
この様な管理では、サイバー攻撃や内部犯行の被害を受けるリスクは高まってしまいます。

★特権ID管理で重要な２つの事★
これまで一般的に行われてきた特権IDのセキュリティー運用では、安全とされる場所にIDを保管し、権限を与えられたユーザーだけがこの場所にアクセスできる、という運用が多かったのかと思います。

しかし、サイバー攻撃者はどこに潜んでいるか特定できない昨今、場合によっては「①申請/承認フロー」でユーザーのセキュリティーをより厳密にしたり、「②パスワードの非表示運用」でパスワード自体の機密性を向上させたりすることで、さらなるセキュリティー強化を図る必要があります。

≪①申請/承認フロー≫
サイバー攻撃はネットワークを介してのみ行われるのでしょうか？
社内の人間による情報の持ち出しや漏洩もあります。いわゆる、内部犯行です。

つまり、「信頼できるユーザーが特権IDを使っている」という状況を作らなければ、内部犯行は防げないのです。それでは、具体的に何をすればユーザーを信頼できるのでしょうか？

「申請―認証－貸出」をフローとして確立

上記フローを管理ツールを用いた運用にて行い、ITリソースへのアクセスを「管理ツールを通したアクセス」に統一することで、信頼できるユーザーと攻撃者を切り分けることが可能になります。

≪②パスワードの非表示運用≫
特権ID/パスワードが「目に見える」「いつも同じ」という状態にあると、何が起こるでしょうか？
・パスワードの書かれた付箋が紛失
・PC画面ののぞき見
・業務外での悪用
などが考えられます。

『パスワードの非表示化』とはパスワードの「貸出」はするけれども、申請者の手元にはパスワードが残らない、というイメージの機能です。不特定多数の人間に無作為にパスワードが開示されることも無くなり、上記のようなインシデントを未然に防ぐことが可能になります。

★特権ID管理ツール★
この様に、特権IDを管理しようとする際には、ID/パスワード「そのもの」と「ユーザー」の両方のセキュリティーを考える必要があります。

専用ツール用いた運用では、人手では難しい貸出フローの自動化や、ユーザーの操作画面の録画などが可能になります。
Manage Engineがご提供する特権ID管理ツール「Password Manager Pro」は、特権ID管理に有用な基本機能を備え、リーズナブルな運用管理を実現します。

ご興味を持っていただけましたら、「３０日間無料の評価版（サポート付き）」もございますので、是非ご利用ください。
https://www.manageengine.jp/products/Password_Manager_Pro/download.html