内外のセキュリティ脅威から重要データを守る特権アクセス認証 …€¦ · 地方銀行のatm保守ベンダー社員がキャッシュカードを偽造し現金約

内外のセキュリティ脅威から重要データを守る特権アクセス認証&証跡管理基盤とは？

2016年6月30日

エンカレッジ・テクノロジ株式会社

ENCOURAGE TECHNOLOGIES

認証アクセス基盤強化セミナー2016

本セッションの内容

Copyright © Encourage Technologies Co., Ltd. 2

昨今のセキュリティリスク対策に求められる特権ID認証強化

弊社製品を用いた特権ID認証基盤ソリューションのご紹介

エンカレッジ・テクノロジ会社紹介

まとめ

エンカレッジ・テクノロジ会社紹介


会社概要

設立： 2002年11月1日資本金： 5億738万円（2016年3月末現在）所在地：東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F

事業内容：コンピュータシステムソフトの開発・保守並びに販売コンピュータ運用管理に関するコンサルティングコンピュータ運用管理BPOサービス

上場市場：東京証券取引所マザーズ（証券コード 3682）代表者：代表取締役社長石井進也

Value & Satisfaction

Happiness

Compliance

お客様の視点で新たな価値を創造し、満足いただける製品とサービスを提供します。

社員と会社の目的を一致させ、物心一体の幸福を追求します。

国内外の法令と企業倫理を遵守し、誠実かつ公平に業務を遂行します。


お客様一覧弊社ソフトウェアは累計で480社以上のお客様にご採用されています

あいおいニッセイ同和損害保険株式会社

株式会社アイネス

株式会社アイネット

アニコム損害保険株式会社

株式会社インテック

SMBC日興証券株式会社

SMBCファイナンスサービス株式会社

SCSK株式会社

NTTコムウェア株式会社

株式会社NTTデータ

株式会社NTTドコモ

オリックス・システム株式会社

オリンパス株式会社

キヤノンITソリューションズ株式会社

株式会社外為どっとコム

カブドットコム証券株式会社

川口信用金庫

関西電力株式会社

株式会社山陰合同銀行

湘南信用金庫

株式会社新生銀行

株式会社シンプレクス・コンサルティング

スバルシステムサービス株式会社

双日株式会社

ソフトバンク株式会社

第一生命保険株式会社

TIS株式会社

東京海上日動システムズ株式会社

株式会社東京証券取引所

東京スター銀行株式会社

ドコモ・システムズ株式会社

ニッセイ情報テクノロジー株式会社

ネットワンシステムズ株式会社

浜松信用金庫

ポケットカード株式会社

株式会社みずほ銀行

三井生命保険株式会社

三井住友アセットマネジメント株式会社

三井ダイレクト損害保険株式会社

三菱UFJ信託銀行株式会社五十音順敬略称

弊社主要パートナー


昨今のセキュリティリスク対策に求められる特権ID認証強化

8

深刻化するセキュリティリスク

セキュリティ問題意図攻撃対象狙われる情報影響

ウェブサイト改ざん

攻撃踏み台抗議・主張対立

政府、企業個人

― ウェブサイト運営組織の信用失墜ウィルス感染の増大

スマートフォンを狙った攻撃

経済的利益個人電話帳金銭的被害、個人情報の漏えい等

標的型攻撃（バンキングマルウェアなど）

経済的利益企業、個人 ID/パスワード金銭的被害

高度標的型攻撃諜報・破壊目的企業、個人機密情報知的財産権等

経済的な影響、外交上の影響

内部犯行経済的利益企業等名簿など組織の社会的信用の失墜

ケーススタディ

年発生したインシデントの概要

2014年地方銀行のATM保守ベンダー社員がキャッシュカードを偽造し現金約2,400万円を着服

2014年通信教育大手のシステム管理再委託先の派遣社員が個人情報約3,500万件を持ち出し名簿業者に販売

2015年日本年金機構標的型攻撃により125万件の年金情報が流出

2016年旅行代理店大手のシステム子会社が偽装メールによる攻撃を受け、793万人の個人情報に不正アクセス、漏えいした可能性

システム管理者（またはその委託を受けたベンダー）によって引き起こされた問題が深刻かつ影響範囲が大きい


内部不正インシデントの傾向

システムの管理者権限（特権ID）を濫用

システム内に厳重に保管されたデータに直接アクセス

巧妙な手口で発見が遅れる


企業における内部不正の実態～調査結果①～

内部不正経験者の約5割がシステム管理者– 内部不正経験者の職務の51.0%がシステム

管理者（兼務を含む）。

– システム管理者は社内システムに精通し、高いアクセス権限（特権ID）を有することが多い

内部不正の理由の約6割は故意が認められない“うっかり”– 内部不正経験者に行為の理由を聞いたとこ

ろ、“うっかり違反”と“ルールを知らなかった”が合計58.0%。一方、42.0%は故意で、“業務が忙しく、終わらせるために持ち出す必要があった”が16.0%、“処遇や待遇に不満があった”が11.0%など。

内部不正による情報セキュリティインシデント実態調査－調査報告書－独立行政法人情報処理推進機構（IPA) 2016年3月


標的型攻撃の典型的な手法

マルウェアが管理者IDの認証情報を取得する主な手法

リスト型攻撃総当たりファイル（バッチ、スクリプト）

メール内部メモリキーロガースクリーンキャプチャOSやアプリの脆弱性

攻撃者は、様々な手法で管理者権限（特権ID）を狙っている

・・・


内部不正対策と標的型攻撃対策の共通項

悪意のある攻撃者

内部者・委託先ベンダー

特権IDの不正使用

マルウェア感染

情報の持出改ざん

サイバー攻撃に対する「内部対策」と内部不正対策の鍵は「特権IDの不正アクセス」をどう防ぐか？

Copyright © Encourage Technologies Co. LTD. 14

特権IDとは

コンピューターシステム（サーバー、ネットワーク、データベース、アプリケーションなど)に対してあらゆる権限を有する特別なアカウント（例えるならホテルルームのマスターキー）

システムの構築、設定または変更を行う際、特権IDが必要

アプリケーションのインストール

ネットワーク設定の変更

システム構成ファイル、設定ファイルの置き換え

ユーザーの作成、削除、パスワード変更、権限変更

システムの再起動、電源シャットダウン

データ/ファイルの作成、更新または削除

特権ID管理でないと行えない作業例


特権IDのリスク

•高い権限を有するアカウントが不正利用されると、情報漏えいやシステムの不正改ざんなど

影響の大きな不正行為を許してしまう。

（例えるならマスターキーを落とし、第三者に拾われるリスク）

不正アクセスのリスク

•正当に権利を有する作業者が、権限を濫用・誤用することで、本来許可されない行為が

行えてしまう。

（例えるならルーム係がマスターキーを使ってお客様滞在中の客室に侵入）

権限の濫用・誤用によるシステムや情報への影響

•共有型の特権IDを常に複数の作業者が利用できる状況だと、実際は誰がいつ、どんな操

作を行ったのか、特定することができず、原因究明が困難になる。

（例えるならマスターキーが複数のルーム係で使い回しされ、いつ誰が何の目的で使ったの

か記録がない）

利用者が特定できない


チェックポイント①

システム管理を委託しているベンダーの特権IDの管理をまかせっぱなし

システム管理を委託しているベンダーにそのシステムの特権ID管理を任せっぱなしで、どのような管理をしているのか把握・チェックを行っていないと、委託先社内での不正使用や、マルウェア感染による認証情報の漏えいにつながる恐れがあります。

複雑なパスワード設定、定期的な変更、最小使用頻度等、適切な管理を行っているかどうかチェックを行う必要があります。


チェックポイント②

インターネットに接続できる環境で社内の重要システムの特権IDを使用

インターネットに直接接続できる一般事務端末から重要システムに対して特権IDを使用してアクセスしていませんか？

マルウェア等感染リスクの高い環境で特権IDを常用すると、マルウェアに管理者権限を奪取される可能性が非常に高くなります。また内部者が不正に情報を持ち出ししやすくなります。

大手企業や金融機関では一般的

– システム管理作業を実施する運用側のネットワークを分離し、サービス側ネットワークから管理作業をできないように制御

– 大規模なネットワーク構成の変更が必要

運用面での制約は大きい

– ファイルの持ち込みは可搬媒体で行うしかない


ネットワーク分離

管理用ネットワークサービスネットワーク

システム運用者

システム運用者ユーザー

事務室サーバールーム運用ルーム

ユーザー

ベンダーが緊急対応のためリモート保守のための経路を保有している場合には盲点になる可能性あり

– VPN, RASなどで直接サーバーやサーバールーム内ＮＷに接続されている場合があります。


ベンダーリモートアクセス

管理用ネットワークサービスネットワーク

システム運用者

システム運用者ユーザー

事務室サーバールーム運用ルーム

ユーザー

保守ベンダー


チェックポイント③

特権IDを使用した操作の監視・記録を行っていない

特権IDを使用した操作を監視・記録を行っていないと、権限の濫用による情報漏えいや誤操作によるシステムトラブル等の原因究明が困難になります。

特に外部ベンダーがリモートで保守・メンテナンスを行う場合には、物理的な監視も困難なため、操作の監視・記録の仕組みが存在しないと、大きなリスクになりかねません。


講じるべき対策

使用機会の最小化・承認に基づく使用特権IDの管理については、保守・運用者にその管理を委ねず、必要な場合にのみ、必要最小限の権限を付与するなど適切な管理を行い、権限の不正使用、濫用を防止する。

特権IDの使用内容の記録と点検特権IDを使用したシステム保守・運用者によるアクセス内容（操作内容）はすべて記録し、不適切な操作がないかを定期的に確認する。

特権IDの使用箇所、使用経路の限定マルウェア感染リスクの高いエリア（インターネットに接続されている執務環境など）による特権IDの使用、外部委託先からのリモートメンテナンス環境での特権IDの使用など、様々な使用箇所、使用経路があると、マルウェア感染による漏洩リスクが高まる。

パスワード等認証機能の強化/パスワード漏洩防止対策パスワードの複雑性強化、変更頻度の短期化多要素認証や生体認証/ワンタイムパスワードの併用

弊社製品を用いた特権ID認証基盤ソリューションのご紹介


特権ID認証基盤ソリューション

中継サーバー操作端末

操作端末への直接のファイルのやり取りを仕組みで不可能に

中継サーバーへのファイル入出力は、第三者の関与のもとで実施

特権ID使用箇所の隔離可搬媒体などの漏洩経路ごとの対策は不要に

申請ベースの特権ID貸出

特権ID管理（EAC）

シンクライアント端末の併用でさらにセキュアに

守るべき情報の保管場所外部からの不正侵入や漏洩リスクの高いエンドポイント

特権ID認証&監視レイヤー

操作内容監視・記録（REC）

不正な特権ID使用の検査

データセンター/サーバールーム

定期パスワード変更

特権ID使用内容の監視と記録

専用ツールを使用した特権ID貸与


弊社の特権ID&証跡管理システム

許可されたユーザーだけが特権IDを使用しシステムへアクセスできる仕組み

ESS AdminControl許可されたユーザーが特権IDを使用して不正な操作を行わないよう監視・点検する仕組み

ESS REC


ESS AdminControl（EAC）特権ID管理を「エージェントレス」で実現

作業申請承認 ID貸し出し作業 ID返却確認

EACによって実現できること

EACの管理下に特権IDをおくことで、承認ベースでのID貸し出し・返却の仕組みを提供、共有型のIDでも使用者を特定します。

特権IDのパスワードを定期的に自動変更、アクセスの際もパスワードを隠ぺいすることで漏えいリスクを大幅に低減します。

サーバーのログイン履歴を収集し、EACの管理下でのID貸し出し履歴と比較することで、不正アクセスの有無を点検します。

OSやデータベースの特権IDを一元的に管理し、特権IDの不正使用リスクを低減


ESS REC

ESS RECによって実現できること

システム操作の内容を動画とテキストで克明に記録し、誰が、いつ、どのような操作を行ったのかを明確にします。

要注意操作に対してリアルタイムにアラートを発信し、事故・トラブルを未然に防止します。

記録されていること自体の作業者に対する抑止・牽制効果視覚的・直感的な証跡による容易な点検・監査

自由に設定可能な検知ルールとアクション画面ロックによる作業の強制制御

重要データへの不正アクセスなどの不正操作を監視・リアルタイムにアラート


システム証跡監査ツール「ESS REC」

ESS RECは、システム管理者の操作を動画・テキストで記録する「システム証跡監査ツール」市場で、6年連続シェアNo.１を獲得しています。

出典：情報セキュリティソリューション市場の現状と将来展望2015【内部漏洩防止型ソリューション編】2015年8月発刊株式会社ミック経済研究所

内部者やマルウェア感染による特権ID不正使用リスクを低減

– 特権IDの使用箇所、使用経路を限定

– パスワードのワンタイム利用、定期変更＋隠ぺい

– 未許可アクセスの検査

不正操作・重要システムへの不要なアクセスを監視、アラート

– 詳細な操作証跡の取得と、監視・即時アラート

本番システムから重要情報の持ち出し、本番システムへの不正プログラムの持ち込みを制御

– 管理が煩雑な可搬媒体を用いなくても、ファイルの持ち出し、持ち込みをコントロール

管理工数の抑制

– ソフトウェアで管理プロセスを自動化、省力化

– 安全なリモート保守による委託業務の効率化


本ソリューションのリスク低減効果/メリット


ESS AdminControl 強化機能（予定）

新機能①：特権IDのログイン失敗履歴を収集しレポート表示

新機能②：手動管理サービスであらゆるシステムの特権IDを一元的に管理

マルウェアによる諜報活動や内部者の不正アクセス試行などの行動を捕捉

ID/パスワードで保護されるあらゆるシステムの申請・承認プロセスを一元化

まとめ

昨今、内部不正や標的型攻撃など、企業におけるセキュリティリスクは益々深刻化しています。

これらの問題に対して講じるべき対策の共通項として特権IDの管理があります。

弊社エンカレッジ・テクノロジは、内外のセキュリティリスクの対策の一環として、特権IDおよび証跡管理ソフトウェアをご提供し、企業における対策をご支援しています。


まとめ


展示ブースのご案内

是非お立ち寄りください

弊社展示ブースで、ご紹介した弊社製品の実機デモがご覧いただけます。またハンズアウトでお配りしていない資料各種を配布しております。

□各種ホワイトペーパー□その他のお客様導入事例

ご清聴ありがとうございました。

エンカレッジ・テクノロジ検索

Documents

内外のセキュリティ脅威から重要データを守る 特権アクセス認証 …€¦ · 地方銀行のatm保守ベンダー社員がキャッシュカードを偽造し現金約

内外のセキュリティ脅威から重要データを守る特権アクセス認証 …€¦ · 地方銀行のatm保守ベンダー社員がキャッシュカードを偽造し現金約