第４４２号コラム「標的型攻撃にどう対処するべきか（後編）」

第４４２号コラム：佐藤 慶浩　理事
題：「標的型攻撃にどう対処するべきか（後編）」

第３７１号コラム「標的型攻撃にどう対処するべきか」では、標的型攻撃と無差別攻撃との違いと、それを踏まえた攻撃対策についての心構えを紹介した。本コラムは、その続きとして具体的な対策について紹介する。

前回紹介したとおり、システムのアカウントが奪取されることを想定すべきであり、そのリスクに対処するには、当面すべき場当たり的な対策もあるが、アカウントによるアクセス権を最少化することが、抜本的にすべき対策となる。

これには、実は対策項目として特殊なものはない。本来するべき基本的な４Ａ対策を厳格に実施するだけでよい。

４Ａ対策とは、以下の４つの対策の英語の頭文字をとったものである。
１．主体認証（Authentication）
２．アクセス制御（Access control）
３．権限管理（Authorization）
４．監査証跡（Audit trail）

それぞれの対策について、厳格化するためのポイントを紹介する。厳格化するより以前の基本的なことを再確認したい場合は、@IT記事「セキュリティ要件の5つのA」などを参照されたい。

１．主体認証の厳格化

データへのアクセス主体が個人として識別される必要がある。これは、共用アカウントによるデータアクセスを禁止することを意味する。注意すべきは、データへのアクセスに、データベース等を使用している場合には、前段のアプリケーションでユーザー管理とアクセス制御をして、データベースへのアクセスに共用アカウントを使うことも回避すべき点である。

２．アクセス制御の厳格化

各アクセス主体に対するアクセス権の付与については、業務上必要最低限にする必要がある。この最少化には、５Ｗ観点で細密に検討するべきである。たとえば、深夜にアクセスすることが想定されないならば、その時間帯のアクセスが制限されるべきである。そのような運用を適切するには、ロールベースでのアクセス制御が現実的である。

特に重要なのは、システムの管理運用業務をロールとして正しく制御することである。
たとえば、すべてのデータのバックアップを作成する業務を、システム管理者権限を与えて実行させることがあってはならない。その業務の担当者は、バックアップを作成できればよいのであって、データを参照できてはならないからである。その担当者には、バックアップ開始の指示だけすることを最低限の権限とすべきであり、そのような処理システムの構築が必要である。

３．権限管理の厳格化

利用者のアカウントの管理にデュアルロック機構を装備しなければならない。詳細については、上記の記事「セキュリティ要件の5つのA」を参照されたい。
また、利用者のアクセス権限の更新については、業務システムとの連携を図り、無人化すべきである。たとえば、担当業務の異動によるロールの変更については、人事管理システムと連携したり、ITシステム開発業務におけるロールの変更については、プロジェクト管理システムと連携させることによる自動化が考えられる。

これを徹底することにより、権限管理のためのアカウントによるログインを凍結することができる。逆に、そのアカウント凍結ができないということは、権限管理の厳格化が不十分であるとみなすべきである。

４．監査証跡の厳格化

監査証跡とアクセスログの違いを認識し、証跡として保全し、保護対象のシステム管理者によっても単独では保護機構を回避できないようにすることが重要である。そのためには、追記しかできない仕組みをシステム的に構築する必要がある。

５．暗号化

このようにデータをデータアクセス側で強固に保護しても、ディスク装置への直接アクセスができる者からのアクセスを防ぐことはできない。これについては、データのデータアクセス階層での暗号化が必須である。

そのように運用しているシステムにおいては、「ディスク修理時の機密保護」についての課題を解決することもできる。

アクセス権の最少化として、最低限すべきことを紹介した。
ここで紹介した内容では十分ではないが、まずは、この程度のシステム設計が必須である。

重要なデータを保護すべきサーバのシステム管理者アカウントで、人がログインできる組織においては、その組織が標的型攻撃の対象となれば、すべてのデータが攻撃者からアクセスされるリスクを残存していると考えるべきである。
root(又はadministrator)アカウントのパスワードを知っている人間がいる組織は、その時点で既に、対策として不十分な状態なのである。

【著作権は、佐藤氏に属します】