セキュリティ管理を混乱に陥れる「特権ユーザー」:ID管理をスッキリさせるIAMのお役立ち度(3/3 ページ)
日本版SOXで求められるIT内部統制には、企業の重要な情報へのアクセス管理が重視される。そこで重要になるのが、“万能”なスーパーユーザーの権限をいかに管理するかだ。
OSのフルアクセス権限がセキュリティ管理を混乱させる
中でも特に重要な部分は、特権ユーザーIDの管理だ。UNIX系OSの万能権限であるrootのユーザーになり代わった者は無限のアクセス権限を持つため、これを放置すると重大な問題を招く。故意、不注意のいかんを問わず、機密情報にアクセスできてしまうからだ。よって、業務担当別に必要なレベルの管理者権限を割り当て、SoDできちんと制限することが必要だ。
ACは、UNIXの場合なら、su(*3)後もrootとしてではなく、ログインユーザーIDに基づくアクセス制御を行い、アクセスイベントログを取得することができる。また、ACではsuに代わるsesu(*4)コマンドが用意されており、rootのパスワードを告知しない運用も可能になり、権限の分散を行う上で有効となる。
「OSが持つ特権ユーザーIDのフルアクセス権限こそ、セキュリティ管理を最も混乱させる元凶」(斉藤氏)
4W1Hに基づく監査用フォーマットでログを記録
そしてもう1つ重要なのは、ログの管理だ。「一般に、IT内部統制ではログの取得が重要と言われているが、監査ではそのログが正しいものかどうかの証明を求められ、見当違いのログを取っている場合も指摘を受ける。また、取得したログを改ざん、削除されないような仕組みの構築も必要だ」(斉藤氏)。
正しいログ管理は、まずログイン情報やリソースログを取得すること。またログはバイナリ形式で保管することで改ざんを不可能にし、信頼性を確保すること。そして、OSに依存しない4W1H(What:何に対して、Who:誰が、When:いつ、Where:どこから、How:どのような方法で)に基づいた監査用ログフォーマットで記録することなどが重要となる。ACの場合、それらOSでは不可能なセキュリティ監査用ログ取得も可能だという。
もっとも、ACの管理者や監査用IDの利用者も強力な権限を持つことになるので、AC管理者と監査用IDの権限設定やログの取得(改ざん不能な状態で)も必要となる。
このように、日本版SOX対応を目前に控えた企業は、IT内部統制整備に向けたSoDとアクセス管理の重要性を改めて認識すべきだろう。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
関連記事
- 【特集】運用管理の過去・現在・未来
システム管理者がノウハウを蓄積し、自らの評価につなげるために「システムアナリスト」としてステップアップする道を探る。システム管理者よ、今こそ起て! - 【特集】今、見直されるアイデンティティ管理
- 内部統制で注目される機能は「ワークフロー」と「監査」
- 「負担、制約も増えた」――“ISO好き”日本企業の想定外
個人情報保護法には躍起になるものの、組織の情報資産には無防備だった日本は今、世界に先駆けてISMSの普及を加速させている。一方で、その取得ブームは意外な影響を生み出した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.