テストアカウント、もう一つのコンプライアンスリスク(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.26(火)

テストアカウント、もう一つのコンプライアンスリスク(CA Security Reminder)

特集 特集

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Merritt Maxim が、退職者のアカウントよりもリスクが大きい、テストアカウントの運用管理の具体案を示す。

--
アイデンティティ管理およびアイデンティティ・ガバナンスを企業に適用することの主なメリットは、これらのソリューションによって「孤立アカウント」を見つけ、削除できることです。孤立アカウントとは、企業をすでに退職したユーザが使用していたアカウントです。コンプライアンスの観点から、孤立アカウントは、元社員および旧請負業者または旧サプライヤーが法的な認証情報を未だ所持し、社内システムにアクセスできるということで大きな懸念事項となっています。アイデンティティ管理およびアイデンティティ・ガバナンス ソリューションは孤立アカウントである可能性のものを特定し、ITおよび監査チームがそれらのアカウントは削除されるべきか否かを検討し、決定することを可能にします。孤立アカウントを積極的に監視および管理することで、企業はITリスクを減らし、社内ユーザおよびその権限をより効果的に管理することができます。

しかしながら、孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。その問題になっているアカウントは「テストアカウント」と言い、ほとんどすべてのアプリケーションに存在します。テストアカウントはとても重要な機能を果たし、特に企業がテスト環境から本番環境に、新しいアプリケーションまたはバージョンに移行しようとしている時に使用されます。テストアカウントによってそのアプリケーションの機能を確認することができます。アプリケーション要件によっては、ほとんどのテストアカウントに完全な管理権限が付与されており、特定のアプリケーション内におけるすべての機能にアクセスすることができます。そのため問題は、テストアカウントは重要な目的を果たしているが故に、完全に削除することができないということです。

推奨される最良の実践モデルは、テスト環境、または最大でもステージング環境でのみテストアカウントを設け、本番環境では絶対にそれを設けないことです。

しかしながら、今日の非常に複雑で異機種混合の分散システム環境ではよくあることですが、大抵の場合、テストアカウントは本番環境にも設けられています。さらにひどいことには、これらのテストアカウントは通常発見されないか、またはどこにも属さないアカウントが入れられる大きなグループの中に存在します。そして一般的に、アプリケーションが長く使用されていれば、それらのシステム内にテストアカウントが存在する可能性もより大きくなります。

では、テストアカウントを管理するための最善のアプローチはどのようなものでしょう?

(1) まず、本番環境にテストアカウントが存在するのであれば(それには法的なビジネス上の理由があるかもしれません)、そのアカウントに可能な限り低い権限を確実に割り当てます。それによって、アプリケーションすべてをさらすことなく、本番システムの基本的ないくつかのテストを実施することができます。

(2) テストおよびステージング環境用にフルテストアカウントを残しておきます。

(3) テストアカウント用に企業全体の共通シンタックスを導入します。それらを「test」またはその他の別の名前で呼ぶように統一します。それによって、ステップ4がより容易になります。

(4) 本番環境の定期的な監査を実施し、テストアカウントの可能性を特定できるようにします。これは骨の折れる手作業になるかもしれませんが、後に監査官(そしてその他の人々)に感謝されることでしょう。最も簡単な方法は、どこにも属さないアカウントが入れられるグループ(いかなる個人にも関係しないもの)および「test」または「12345」などの、通常、開発者がテストアカウントの名前に使用するシンタックスを見つけることです。

(5) テストアカウントの定期的なレビューを実施する際に、テストアカウントのアクティビティについてもレビューを行います。それによって、本番環境に影響を与える可能性のある実際の変更に誰がテストアカウントを使用したかを判断することができます。影響は間接的である場合があり(例:ステージング環境におけるポリシー変更が誤って自動的に、より大きな構成の一部として本番環境に適用された場合、本番に影響を与える可能性があります)、アクティビティを分析することでこれらの問題を防ぐことができます。

(6) テストアカウントすべて(特に稼働中のもの)を保護するために、特権ユーザ・パスワード管理(Privileged user password management:PUM)機能を活用します。PUMソリューションによって、テストアカウントを安全な暗号化された形で保護し、テストアカウントのリスクを緩和することができます。また、詳細なポリシーに基づいてパスワードへの適切なアクセスを保証することができます。そうすることで、テストアカウントのユーザに責任を持たせることもでき、以降、すべてのユーザによるアクションは安全に記録され、テストアカウントを匿名で使用できないようになります。

最後に、テストアカウントは敵ではありませんが、それはどのIT企業も管理すべき潜在的なリスクを持ったものなのです。

(Merritt Maxim)

筆者略歴:情報セキュリティ業界で、10年以上にわたる製品管理および製品マーケティングの経験を持ち、RSA Security、Netegrity、OpenPagesを経て現在、CA Technologiesのサイバー・セキュリティに関する製品マーケティングを行う
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

    工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. ISMS認証とは何か■第1回■

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  8. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×