DevOps時代にはますます重要に、特権アカウント管理のススメ：内側に入られた後の悪用を監視するCyberArk

認証だけでなく特権アカウントも狙われる

　近年、「認証」の重要性が認識されるようになり、多要素認証や二段階認証を採用してシステムへの入り口を強化する企業やサービスが増えている。

　では、入り口を通過した後はどうだろうか？　外から内に入る関門を厳しくして、さらに内側に入った後はさまざまな防御が施されているために比較的安心、という思い込みはないだろうか。アカウント、特に特権アカウントの管理が甘くなっていないだろうか。

CyberArk Software プロダクトマネジメント担当シニアバイスプレジデント Roy Adar氏

　その部分にこそ攻撃者が付け込む隙があると、イスラエルを本拠とするセキュリティ企業CyberArk Softwareでプロダクトマネジメント担当シニアバイスプレジデントを務めるRoy Adar氏は指摘する。

　例えば数年前から脅威となり続けている標的型攻撃では、メールの添付ファイルや悪意あるWebサイトを介して攻撃者がクライアントPCに侵入する。中には、フィッシング詐欺で盗み取ったアカウント情報が悪用されるケースもあるかもしれない。

　ただ最初の侵入はあくまで「足掛かり」にすぎない。攻撃者はその後、弱い認証を突破したり、Active Directoryを攻撃するために、Kerberos認証の脆弱（ぜいじゃく）性を悪用したりして、より多くの権限を持つ管理者アカウント（特権アカウント）を乗っ取る。または「Golden Ticket」や「Silver Ticket」と呼ばれる認証チケットを不正に作成し、組織内部で横へ横へと侵害範囲を広げていく。最終的には、企業の生命線を握る機密情報や顧客情報の持ち出しにつながる恐れがある ＊1）。

　Adar氏は、「Forrester Researchの調査によると、大規模な侵害の80％は特権アカウント管理の不備に起因している。特権アカウント管理は、重要なセキュリティレイヤーの1つだ」と指摘し、rootやAdministrator、データベース管理者（DBA）といった、企業内のさまざまな特権アカウントを適切に管理することが不可欠だと述べた。

特権アカウントの洗い出し、モニター、分析を支援

　CyberArk Softwareは1997年にイスラエルで設立されたセキュリティ企業だ。セキュリティ企業というと、マルウェア対策やネットワークセキュリティといった分野が頭に浮かぶだろう。だが、同社がフォーカスしているのは、アカウント管理。それも、管理者権限など特別な権限を持ったアカウントの管理だ。

　特権アカウントは、IT部門など組織内でも限られたユーザーしか利用しないものであり、手作業でも管理できるのではないか、と感じる方がいるかもしれない。

　しかしAdar氏によると、特権アカウントは意外に多く存在するという。「1ユーザー当たり3〜4個はある。オンプレミスやクラウド、DevOpsなど、特権アカウントを利用する場面は多い。さらに制御システムのICT化やIoTの潮流に伴い、今後ますます増えていくだろう」。そして、特権アカウントの数が増えれば増えるほど、悪用された場合のリスクは膨らむというわけだ。

　CyberArk Softwareはこうした状況に対し、「一般ユーザーから権限を昇格させ、少しずつ侵害範囲を広げ、さらに別の特権アカウントを入手するという攻撃者の攻撃サイクルを各所で切断することによって対策を支援する」（Adar氏）。同社は、特権アカウントの「洗い出し」「モニター」「分析」という3つの機能を中心に、複数の製品を組み合わせてサービスを提供している。

　1つ目の「Enterprise Password Vault」は、文字通り、特権アカウントのパスワードを格納する「金庫」だ。WindowsにおけるAdministratorやLinuxのroot、ネットワーク機器やセキュリティ機器の管理者権限やデータベースのDBAなど、システム内で使われているさまざまな特権アカウントを洗い出し、1カ所で管理する。パスワードや秘密鍵情報を安全に保管しつつ、定期的に変更することで、攻撃者が特権アカウントを見つけにくくする。

　2つ目のモニターを支援するのが「Privileged Session Manager」で、特権アカウントがどこにアクセスできるかを管理するとともに、いつ、どのように使われたかを把握する。Administratorとしてログインしたユーザーが、そのセッションでどんなコマンドを実行したか、時系列に沿って把握することもできる。このため、セキュリティはもちろん、内部不正に備えた監査を効率よく行える。

　攻撃者によるなりすましログインの難しいところは、システムから見ればあくまで「正規のアカウント」にしか見えないことだ。そこでCyberArk Softwareは、アカウントの挙動を分析し、普段と異なる動きがないかどうかを検出する「Privileged Threat Analysis」も提供している。これが3つ目の分析だ。

　「就業時間外、それも夜中の3時にアクセスがあった」「いつもは数台にしかログインしないのに、突然数十台にログインを試行した」といった具合に、いつもとは異なる挙動を検出すると、リスクスコアを上げ、しきい値を超えた場合にアラートを発する仕組みだ。Privileged Threat Analysisは、SplunkをはじめとするSIEM（Security Information and Event Management）製品と連携し、より詳細な分析を行うことも可能という。

CyberArk Software日本法人の執行役員社長 智田公徳氏

　多くの企業が不正アクセスの増加に直面した結果、さまざまな場面で多要素認証が広がり、ログイン時のセキュリティを強化する動きが広がっている。CyberArk Softwareの製品は、それを補完するものと表現できるだろう。

　「多要素認証によってシステムの入り口の認証を強化しつつ、入った後のアカウントの挙動をCyberArk Softwareの特権アカウント管理ソリューションで監視することで、セキュリティのレイヤーをもう1つ追加する」と、CyberArk Software日本法人の執行役員社長、智田公徳氏は述べた。

　特権アカウント管理を支援するため、同社はこれら製品群に加え、管理のベストプラクティスを示した「サイバー衛生プログラム」や、特権アカウントの利用状況をアセスメントする無償の評価ツール「CyberArk DNA」なども提供する。

DevOpsが広がる中、安全にシークレットを管理するすべを提供

　CyberArk Softwareは、日々の運用における特権アカウント管理に加えて、エンドポイント（PC）やDevOpsといった領域でも、特権アカウント管理を支援するという。

　セキュリティのベストプラクティスでは、エンドポイントでも権限は最小限にとどめるべきとされている。

　だが、残念ながら現実はその通りにはなっていない。アプリケーションを動作させるためにローカル管理者権限が付与されていたり、IT部門による管理の都合上、ローカルディスクに管理者アカウントのハッシュが残っていたりすることは珍しくない。この状況では、ひとたび侵入を受けてしまった場合の影響は甚大だ。

　「Endpoint Privilege Manager」は、そうした不必要な管理者権限を排除するとともに、ホワイトリストに基づくアプリケーションコントロールと、ローカルにおける認証情報の保護を実現するという。

　もう1つ同社が力を入れているのが、DevOpsの分野だ。「DevOpsの適用範囲が広がり、クラウドの採用が広がるにつれ、認証に用いる秘密情報をどのように保護するかが、課題になっている。人だけではなく、アプリケーション同士、あるいはアプリケーションとデータベースがスクリプトやAPIを介して認証を行う際、パスワードをハードコードするのではなく、安全にシークレットを共有し、管理できる手段を提供する」（Adar氏）。秘密鍵も含め、認証に用いられるさまざまな「秘密情報」（シークレット）を適切に扱えるようになるということだ。

　そのために「App Identity Manager」の他、オープンソースソフトウェアの「Conjur」を提供する。Conjurは、DevOpsのパイプライン全体にまたがって、暗号化キーをはじめとするさまざまなシークレットを安全に管理できるツールだ。コンテナ管理プラットフォームやJenkinsなどの継続的インテグレーション／継続的デリバリー（CI／CD）ツール、Chef、Puppet、Ansibleといったツールとの連携も可能だ。

　こうした仕組みを通じて、「開発者が複雑なことを意識しなくても、安全にDevOpsを展開できるよう支援する」（Adar氏）という。