システム管理で“御用達”ツールの「ssh」 攻撃者も利用する実態は？：Maker's Voice（2/3 ページ）

[高橋睦美，ITmedia]

通信経路上で復号し、モニタリングする仕組みが不可欠に

　こうした問題に対してSSH Communications Securityは、暗号通信をモニタリングして制御する「CryptoAuditor」を提供している。同製品はVMwareやOpenStack、AWSなどのクラウド上で動作する仮想アプライアンスで、誰がいつ通信を行い、その中にセキュリティポリシーに反するコンテンツが含まれていないかどうかを検査する。HTTPSに対して同様の仕組みを提供する製品はあるが、CryptoAuditorはリモート管理に広く用いられているsshのほか、SFTPやRDPにも対応している。

　具体的には、暗号通信を行うクライアントとサーバの間でいったん復号し、トラフィックの内容を検査してから再度暗号化して、送り届ける。この際にデータを複製し、監査証跡として保存しておくことも可能だ。「部屋を見張る監視カメラのようなもので、誰が何を見ていたかを把握できる」（ランピラ氏）

　CryptoAuditorの別の機能としては、特権IDも含めたアクセス管理がある。いわゆるID単位、プロトコル単位でアクセス管理ができるほか、「root」や「Administrator」といった特権IDについてはそのまま払い出すのではなく、別途外部のリポジトリを参照し、許可された権限にひも付けてアクセスを提供する。複数の管理者が1つの特権IDを共有していると、事故や不正があった際の追跡が困難になりがちだが、「どの管理者が何にアクセスし、どのようなコマンドを入力したかまでを把握できる」とランピラ氏は説明した。

　本体はプロキシとして動作させるだけでなく、ブリッジとして透過的に導入することもできる。既存の運用方式やソフトウェアに変更を加える必要がない。「顧客からは『これまでのワークフローやタスク、ユーザーエクスペリエンスを変更したくない』という声が多く、そうした要件を満たすことができる」（ランピラ氏）という。

　さらに、DLPやIDS/IPS、SIEMといったサードパーティ製のセキュリティ製品と連携して、問題をより深く検査することも可能だ。ランピア氏は「暗号化されたトラフィックもきちんと検査することによって、既存のセキュリティ製品の投資対効果を高め、多層的な防御を強化できる」と述べている。

CryptoAuditorは、他のセキュリティ製品と連携してssh通信の内容を検査することもできる

　また、IT機器のメンテナンス用に、自社の管理者だけでなく外部委託先やシステムインテグレーターの担当者にリモートアクセスを許可しているケースは多い。CryptoAuditorはこうした環境でも暗号通信によって機密を守りつつ、担当者がセキュリティポリシーに沿って適切にアクセスしていることを確認できる仕組みを提供するという。

　これには2つのユースケースもあり、1つはクラウドやホスティングサービスの事業者が監査証跡として活用する方法になるという。特権IDの持ち主が顧客のシステムに適切にアクセスしていることを示すことができる。もう1つはDevOpsへの適用で、新しいコードを開発環境から本番環境にデプロイする際、セキュアなチャネルを用いつつその内容をモニタリングすることで、顧客情報やセンシティブなデータの漏えいを防ぎながら、開発サイクルのスピードアップを支援するという。

　「監査証跡を残し、しかも適切にアクセス制御を行うことで、開発者がシームレスに、かつ安心してデータを本番環境に送れるようになる。セキュリティ上のリスクとトレードオフすることなく、開発効率の向上やコスト効果、アジリティといったDevOpsの利点を享受できるようになる」（ランピラ氏）