pr



icon
サーバからの情報漏えい、セキュリティの死角を打て!

特権ユーザーの権限を制限する
「CA Access Control」

企業で保持する以上、正しく取り扱う必要があるのが情報だ。今日、その管理に責任を持つ情報システム部門では、さまざまな対策を講じている。しかし、意外とその網の目から漏れているのがサーバ環境。特権ユーザー権限を使ってOSレベルでアクセスすれば、情報の「見る」「取る」「変える」が意のままになってしまう。
この脅威に対する解決策が、日本CAのサーバ・アクセス・コントロール製品であるCA Access Controlだ。OSの標準機能では対処できない、特権ユーザーの権限制御や詳細ログ取得機能を有し、企業個々のポリシーに応じた情報保護とその真正性証明を最小の管理工数で実現する。

    サーバにも“関所”が必要だ

 企業は保持する情報を、すべからく正しく取り扱わねばならない。重要情報が格納されたエリアにみだりに侵入させてはならないし、それに触れさせたり、ましてや書き換えや持ち出しを許してはならない。

 最も基本的な対応策は、“関所”を設けることだ。「入り鉄砲と出女」という言葉がある。これは江戸幕府が諸藩がクーデターを起こすのを防ぐために、武器が江戸に入ることと、ある意味人質として江戸に住まわせている藩主の妻が理由なく国に帰ることを、とりわけ関所で厳しく取り締まったことから生まれたもの。企業情報管理の領域でも、基本的にこれと同じことを行うべきだろう。

 では、どこにどのような関所を置くべきか。よく対策が施されるのは、オフィスの物理的な入退室管理や、クライアントPCやネットワークである。例えば、分かりやすい例でウイルス対策を考えてみよう。電子メールでやってくるウイルスからPCを守るために、ワクチンソフトを入れておくことはもはや基本中の基本である。企業内ネットワークの入り口にファイアウォールを設置することも、今日では一般的に行われている。しかし、意外に盲点となっているのが、サーバそのものでの防御だ。攻撃がすべてネットワーク経由で来るとは限らない。情報システムの幹であるサーバ環境を適切に監視・制御しないことには問題の根本解決につながらないのだ。

 実際、サーバ環境はウイルス対策以外の分野においても大きなリスクになり得る存在だ。なぜなら、これらのサーバで搭載されているUNIX、Linux、WindowsなどのOSはスーパーユーザーの概念が存在し、rootやAdministratorなどの特権ユーザー権限でアクセスすることで、すべてのファイル、プロセスに対して自由に閲覧・編集・取得が可能だからだ。こうしたサーバOSに関する知識を持った悪意あるユーザーが、無防備なサーバに対して興味を持ったらもうひとたまりもない。

    CA Access Controlがサーバを守るためにできること

 こうした企業を窮地に陥れる危険のある脅威に対して解決策を提供しているのが、日本CAの提供するセキュリティ・マネジメント・ツールであるCA Access Controlだ。

 この製品は、大きく3つの機能を有している。

 その第1は、サーバOSのカーネルに影響を与えることなく、特権ユーザー権限での作業に制限をかけられるという点である。

 具体的な業務の例で説明しよう。財務関連データがあるサーバ上に格納されているとする。財務部門の担当者は、このデータに対して読み書きできるが、その作業を記録したログファイルにはアクセスできない。このサーバのバックアップ管理を担当している技術者は、財務関連データと作業履歴ログを閲覧することはできるが書き込みはできない。システム監査担当者は、作業履歴ログを読み取ることはできる。しかし、財務関連データを閲覧できない。こうした職務権限に応じた適切なアクセスを、CA Access Controlを使ってコントロールすることが可能なのである(図1)。

図1 職務権限に応じたアクセスコントロールで内部統制を実現する

 第2の機能は、OSの標準機能では実現が難しい、「いつ」「誰が」「何に」「どこから」「どのようにして」アクセスしたかという詳細レベルのアクセスログが取得できるという点だ。

 また、CA Access Controlには改ざん不可能なアクセスログ取得機能が備わっており、記録の真正性を保証することができる。

 さらに、これはUNIXやLinuxでの機能になるが、特権ユーザーアカウントであるrootに切り替わる前の個人ログインユーザーでアクセスログを取得できるため、誰がその作業を行ったかを特定することが可能だ。加えて、UNIXやLinuxサーバで取得するアクセスログは、ローカル以外のサーバに二重化することもでき、監査用途に応じてきめ細かい世代管理も行える。日本CAには、CA AuditやCA Security Command Centerといった関連製品もあり、これらにアクセスログを送信することで、包括的な分析レポートの作成やセキュリティアラート処理を実現することもできる。

 第3は、マルチプラットフォーム対応で、複数のサーバを一元管理できるという点だ。

 アクセスポリシーの作成・配布・管理を一元的に扱うことができ、複数の異なるOSが混在するサーバ環境に対してこれらを適用できる。OSごとに専門技術者を用意することなく、ただ1つのスキルセットで全サーバの適正な情報管理体制を確立可能なのが大きな特徴だ(図2)。

図2 マルチOSのサーバ環境で、一元的な情報管理体制を確立できる

    現場にも、経営者にも大きな効果と安心をもたらす

 CA Access Controlの導入は、日常業務として情報を管理する最前線の技術者、そして情報管理に最終責任を負う経営者にとっても大きなメリットがある。

 技術者にとって福音といえるのは、サーバ上の情報に堅牢な防御壁をめぐらせることができることだ。特権ユーザー権限での管理作業を企業の制定したポリシーのもとに制御できるだけではなく、サーバ上のすべての活動はアクセスログに漏れなく記録される。万が一何かが発生した場合も確実に追跡できる。それは、企業ブランドを守るうえで何ものにも代え難い安心感といえるだろう。

 またこれは、技術者自らが身の潔白を証明するための手段でもある。実際、インターネット・データセンターで導入されたケースでは、監査運用を含めたトータルアクセスコントロールが可能になるというのが、CA Access Controlの選択理由だった。改ざん不能なアクセスログを顧客に提示することで、システム運用の透明性を立証することができると判断されたのだ。

 一方、経営者にとって大きいのは、1つのテクノロジで広範な情報管理ニーズに対応できるというポイントだ。情報管理といっても、セキュリティという観点もあれば、情報の真正性の証明という観点もある。CA Access Controlはいずれの場合においても実現可能であるため、投資を最大化できるとともに、課題に対してゆとりを持って対応することができる。個人情報保護法対応で導入したCA Access Controlが、日本版SOX法対応においてもそのまま生かすことができたという企業は、日本でも数多いという。

 サーバ環境の情報管理体制をつきつめて設計すれば、CA Access Controlという答えにたどり着く。ひとたび足を踏み出したならば、そのプロセスを貴社でもご体験いただけることだろう。


ホワイトペーパー

情報漏えいの原因に占める「内部」の不正行為の割合は高く、その対策が急務だ。そこで、認証、許可、管理の、いわゆる「3A」に加え、監査(Auditing)という4番目のAがクローズアップされてくる。

 日本企業における情報漏えいの原因に占める「内部犯罪・内部不正行為」の割合は高く、内部セキュリティ対策は個人情報保護の観点からは大変重要な要素だといえる。

 外部セキュリティが不特定ユーザー対策であるのに対し、内部セキュリティは、認証されたユーザーへの対策である。この対策には、ユーザーを特定する「Authentication」、適切なアクセス権を設定する「Authorization」、ルールを設定する「Administration」の「3A」がポイントとなる。

 CAは内部セキュリティ対策として、アクセス管理製品「CA Access Control」を提供する。CA Access Controlは3Aに加え、監査証跡を取得する「Audit」の機能を併せ持つ「4A」を実現。情報漏えい対策に必要な「職務別のシステム権限付与」「追跡可能な監査」「ユーザーとアクセス権の一元管理」の各機能を提供し、部門単位から大規模な企業全体まで、あらゆる規模の組織にフレキシブルに導入が可能である。

提供:日本CA株式会社
企画:アイティメディア 営業本部
制作:@IT情報マネジメント編集部
掲載内容有効期限:2008年12月31日

クライアントPCセキュリティ一元管理ソリューション SecureCube / PC Check
NRIセキュアテクノロジーズ

企業を取り巻く環境は、コスト削減を目的としたアウトソーシング、オフショアリング、在宅勤務の増加など、日々変化している。それらの環境変化により新たなセキュリティリスクが生まれるため、セキュリティ対策の継続的な見直しと新たな対策を講じることが企業に強く求められている。本稿では柔軟で総合的なセキュリティ対策の重要性と、有効な対策方法と期待できるNRIセキュアテクノロジーズの「SecureCube / PC Check」について解説する。

指紋認証によるID・パスワード管理ソリューション DigitalPersona Pro
ヒューマンテクノロジーズ

ITシステムを情報漏えいから守るためには、パスワードによるセキュリティ保護が欠かせない。だがパスワードの運用方法を間違えると、大きなセキュリティホールになることもある。USBキーやカード認証などと併用する方法もあるが、他人によるなりすましを防ぐことはできない。そこでパスワードの代わりとして利用したいのが、生体認証だ。ここでは生体認証の中でも最も機能性に優れた指紋認証にフォーカスする。

CA Access Control
日本CA

企業で保持する以上、正しく取り扱う必要があるのが情報だ。今日、その管理に責任を持つ情報システム部門では、さまざまな対策を講じている。しかし、意外とその網の目から漏れているのがサーバ環境。特権ユーザー権限を使ってOSレベルでアクセスすれば、情報の「見る」「取る」「変える」が意のままになってしまう。

変化するセキュリティリスクにどう対応する?運用規模別に見る情報漏えい対策
情報漏えい事故はなくならず、セキュリティリスクは企業の外部環境に合わせて変化している。企業に求められる、次々と変化するセキュリティリスクにも対応できる解決法を紹介する。

管理者によるパスワード管理が情報漏えい防止のカギ
情報漏えい事故を起こす企業にはある一定の法則が存在する。その法則をパスワード管理システムで克服することができるとしたら? 世界で最も導入の進んでいるセキュリティーシステムを紹介する。

強固な「4A」で情報漏えいを防ぐ内部セキュリティ対策の切り札
情報漏えいの原因に占める「内部」の不正行為の割合は高く、その対策が急務だ。そこで、認証、許可、管理の、いわゆる「3A」に加え、監査(Auditing)という4番目のAがクローズアップされてくる。