DX時代に見落としがち 旧態依然の運用に潜む特権操作のリスクとは？：システム運用環境の多様化で限界が近づくセキュアルームの効力

基幹系システムなど企業活動の根幹を担うシステムのクラウドシフトが進んでいる。また、システム運用業務は社内のセキュアルームだけでなく、自宅などテレワーク環境から管理者権限を用いて重要システムのメンテナンスを行うなど、アクセス環境も変化した。システムとアクセス環境の多様化が進む中で、見落としがちなセキュリティリスクとは何か。

[PR／ITmedia]

PR

　企業の情報系システムはDX（デジタルトランスフォーメーション）推進などを背景に、オンプレミスのシステムのクラウドリフトや、オンプレミスとクラウドの双方のメリットを享受できるハイブリッドクラウドを選択する企業が増えてきた。近ごろは基幹系システムなど企業活動の根幹を担うシステムでもクラウドシフトが進んでいる。

　また、これまでは個人情報などの機密情報を含むシステムに対して特権操作をする場合、作業者を限定し、入退室管理や監視下での作業を徹底するなど、厳重な対策が施されたセキュアルームからの操作に制限していた。しかし、働き方改革やコロナ禍を機にテレワークが進んだことで、自宅などテレワーク環境からでも重要情報を扱うシステムの運用保守業務を可能にするなど、システム運用の見直しや多様化も進んでいる。

　運用者にとっては、夜間や緊急の障害発生時に情報システム部門が出社することなく迅速に対応できるなどのメリットがあるが、同時にセキュリティ対策について見直す必要性も高まっているという。システムとアクセス環境の多様化が進む中で、セキュアなシステム操作を実現するにはどのような対策が有効か。

クラウドシフトとアクセス環境の多様化で限界に近づきつつあるセキュアルームの効力

　エンカレッジ・テクノロジの日置喜晴氏（取締役兼マーケティング部　部長）は、システム運用環境を取り巻く変化とリスクについて次のように語る。

エンカレッジ・テクノロジの日置喜晴氏

　「コストパフォーマンスや拡張性、開発の容易さなどから、情報系システムはもちろん、基幹系や勘定系システムにおいてもクラウドリフト＆シフトや、ハイブリッドクラウドの利用が進んでいます。システムやアクセス環境が多様化する中で、セキュアルームなど『物理的な囲い』による対策が形骸化しているケースが増えています」（日置氏）

　特にシステムに対し最高権限を持つ特権アカウントの不適切な運用は企業の信頼を揺るがす重大なセキュリティリスクを招く恐れがあるとし、日置氏は続けて言及する。

　「不正使用や誤操作による影響の高さから、特権アカウントを用いたシステム操作の管理は特に慎重になる必要があります。社内のセキュリティポリシーとしてセキュアルームでの操作を定めていても、クラウドサービスが普及し、社外からの操作が可能になったことで、システム操作内容を正確に把握できていないのが現状です。そうした状況でセキュリティインシデントが起きても、原因を正確に特定できません」（日置氏）

　また、クラウドの普及やコロナ禍を機に、自宅などのテレワーク環境からシステム操作を行う企業も増えている。場所を問わずシステム操作できることで、夜間休日のパッチ適用や緊急時の障害対応が可能になるなど多くのメリットがある一方で、次のようなリスクを指摘する。

　「テレワーク環境下でのシステム操作は、部外者による覗き込みやなりすましといった外部要因のリスクをセキュアルームのように排除することが難しくなります。また、操作画面をスマートフォンで撮影されて情報漏えいするなど、内部不正のリスクも高まります。クラウド時代、ポストコロナ時代における特権操作は、セキュアルームに代替するような、システムやアクセス環境に左右されない『論理的なセキュリティ対策』にシフトしていく必要があります」（日置氏）

クラウド時代に則した特権操作の記録・監視を実現する「ESS REC」

　そこでエンカレッジ・テクノロジが提供しているのが、システム操作証跡管理ツール「ESS REC」だ。ESS RECはシステム運用における高権限のアカウント操作を記録、監視するソフトウェアとして開発され、システム証跡監査ツール市場で13年連続市場シェアNo.1（※）と、10年以上にわたって官公庁や金融機関、製造業、医療業界、サービス業をはじめ累計約520社の企業に採用されてきた。

※出典：内部脅威対策ソリューション市場の現状と将来展望　2022年度版【サイバーセキュリティソリューション市場18 版目】デロイト トーマツ ミック経済研究所及び同社における過去の調査結果　https://mic-r.co.jp/mr/02620/

ESS RECの全体像（出典：エンカレッジ・テクノロジ提供資料）

　J-SOXの施行に伴うIT統制の一環として特権操作のモニタリングや証跡の取得、内部関係者の不正による個人情報の漏えい防止などの目的で導入する企業が増え、顧客のニーズに合わせて機能追加を続けている。

　ESS RECは、システムの画面に表示される文字列を文字情報として認識し、操作内容を動画と23種類のテキストで記録することで、システムの標準ログでは正確に確認できない操作も記録・再現が可能だ。オンプレミスやクラウドなど、システムが社内外に散在していても重要システムへの特権操作を克明に記録できるため、作業ミスなどの原因究明や不正操作の抑止にもつながる。

ESS RECが取得できるシステム操作内容（出典：エンカレッジ・テクノロジ提供資料）

　日置氏は「デスクトップ画面を動画でも取得できることから、操作内容の再現性が高く、テキストログでは分からない操作まで直感的に確認することができます。特権操作を網羅的に取得することで、利用状況を正確に把握することが可能です」と語る。

　またESS RECは、リスクの高い操作内容を事前にルールとして定義しておくことで、高リスクな操作をリアルタイムで検知し、システム管理者にアラート通知をできる。在宅やリモート環境など作業の実態が把握しづらい環境であっても、誤操作や不正操作への即時対応が可能だ。

　証跡を細かく残せるとはいえ、個々のテキストや動画の記録を全て確認するのは効率的ではない。しかしESS RECは取得したテキスト情報を元に文字列で検索し、ピンポイントで該当するシステム操作を確認することが可能だ。さらに週や月単位操作の分析結果をレポート出力する機能を有する。レポートの内容は柔軟にカスタマイズでき、業務内容に応じて複数の監視項目を組み合わせて設定できる。

アーキテクチャやUIを一新した新バージョン「ESS REC 6」も提供

　エンカレッジ・テクノロジは2023年4月26日にリリースした新バージョン「ESS REC 6」で、リモートメンテナンスやテレワーク環境も含めたニューノーマル時代に適した機能を強化した。

　さらなるセキュリティ強化策として、PC内蔵／USBカメラデバイスで画像を記録、AI（人工知能）で顔を検出してユーザーを識別することで、ログインIDとその作業者の組み合わせが正しいかどうかを常に確認できるようになり、なりすましや部外者の覗き込みを検知できるようになった。

　PC操作だけでなく周辺環境も把握できるようになった。これにより、ESS REC 6は従来セキュアルームが担っていた入退出管理や監視カメラに代わる手段となり、テレワーク環境におけるリスクを低減するとともに、操作の正当性を担保し、情報漏えいを抑止できる。

　「論理的なセキュリティ対策へ考え方をシフトする1つの手段としてESS REC 6をご利用いただくことで、情報システム部門はより柔軟な働き方が可能になりますし、場所を問わずシステム操作できるテレワークのメリットを最大限に享受できます。『緊急対応が発生したら、夜間や休日など関係なくタクシーを飛ばしてオフィスやデータセンターに駆け付けなければならない』といった機会は減り、むしろ迅速に対処できるようになるのではないでしょうか」（日置氏）

　ESS REC 6では、プラットフォームも抜本的に見直した。日置氏は「これまでは、従来のアーキテクチャを踏襲しながら機能を強化してきました。しかし、新バージョンではアーキテクチャを完全に刷新し、スクラップ＆ビルドといってもいいほど大幅に変更を加えました」と語る。

　これまで「Windows」のアプリケーションとしてオンプレミスサーバでの利用を前提として提供されてきた「ESS REC Server」を、コンテナ型のアプリケーションに刷新した。これにより、同居するアプリケーションなどによる影響が少ない、安定した稼働環境を実現した。操作記録確認時のインタフェースの操作性も向上し、いわゆる“クライアント／サーバ型の画面”からWebベースのモダンなUIに刷新された。Webブラウザでどこからでも確認が可能だ。

最新バージョンESS REC 6のユーザーインタフェース（出典：エンカレッジ・テクノロジ提供資料）

　その他、ルールの定義や設定は管理サーバで集中管理され、設定ポリシーを自動配布することで、設定の手間を軽減、集中管理が可能になる。

　日置氏は最後に「すべてが新しくなったESS REC 6は、システムの操作内容だけでなく操作環境や操作者も記録することで、業務環境やシステムの種類によらない、時代に合ったシステム運用環境の実現を支援します」と語った。

Amazonギフトカード3000円分が当たる！アンケート実施中

「システム運用に関するアンケート」を実施中です。
アンケートにご回答いただいた方の中から、抽選で10名様にAmazonギフトカード3000円分をプレゼントいたします。アンケートはこちら、ぜひご回答ください。

※賞品（Amazonギフトカード）の発送をもって発表にかえさせていただきます。