テストアカウント、もう一つのコンプライアンスリスク（CA Security Reminder）

孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。

特集特集

2012年10月29日（月） 08時00分

CA Technologies社 Merritt Maxim氏

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Merritt Maxim が、退職者のアカウントよりもリスクが大きい、テストアカウントの運用管理の具体案を示す。

--アイデンティティ管理およびアイデンティティ・ガバナンスを企業に適用することの主なメリットは、これらのソリューションによって「孤立アカウント」を見つけ、削除できることです。孤立アカウントとは、企業をすでに退職したユーザが使用していたアカウントです。コンプライアンスの観点から、孤立アカウントは、元社員および旧請負業者または旧サプライヤーが法的な認証情報を未だ所持し、社内システムにアクセスできるということで大きな懸念事項となっています。アイデンティティ管理およびアイデンティティ・ガバナンスソリューションは孤立アカウントである可能性のものを特定し、ITおよび監査チームがそれらのアカウントは削除されるべきか否かを検討し、決定することを可能にします。孤立アカウントを積極的に監視および管理することで、企業はITリスクを減らし、社内ユーザおよびその権限をより効果的に管理することができます。

しかしながら、孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。その問題になっているアカウントは「テストアカウント」と言い、ほとんどすべてのアプリケーションに存在します。テストアカウントはとても重要な機能を果たし、特に企業がテスト環境から本番環境に、新しいアプリケーションまたはバージョンに移行しようとしている時に使用されます。テストアカウントによってそのアプリケーションの機能を確認することができます。アプリケーション要件によっては、ほとんどのテストアカウントに完全な管理権限が付与されており、特定のアプリケーション内におけるすべての機能にアクセスすることができます。そのため問題は、テストアカウントは重要な目的を果たしているが故に、完全に削除することができないということです。

推奨される最良の実践モデルは、テスト環境、または最大でもステージング環境でのみテストアカウントを設け、本番環境では絶対にそれを設けないことです。

しかしながら、今日の非常に複雑で異機種混合の分散システム環境ではよくあることですが、大抵の場合、テストアカウントは本番環境にも設けられています。さらにひどいことには、これらのテストアカウントは通常発見されないか、またはどこにも属さないアカウントが入れられる大きなグループの中に存在します。そして一般的に、アプリケーションが長く使用されていれば、それらのシステム内にテストアカウントが存在する可能性もより大きくなります。

では、テストアカウントを管理するための最善のアプローチはどのようなものでしょう？

(1) まず、本番環境にテストアカウントが存在するのであれば（それには法的なビジネス上の理由があるかもしれません）、そのアカウントに可能な限り低い権限を確実に割り当てます。それによって、アプリケーションすべてをさらすことなく、本番システムの基本的ないくつかのテストを実施することができます。

(2) テストおよびステージング環境用にフルテストアカウントを残しておきます。

(3) テストアカウント用に企業全体の共通シンタックスを導入します。それらを「test」またはその他の別の名前で呼ぶように統一します。それによって、ステップ4がより容易になります。

(4) 本番環境の定期的な監査を実施し、テストアカウントの可能性を特定できるようにします。これは骨の折れる手作業になるかもしれませんが、後に監査官（そしてその他の人々）に感謝されることでしょう。最も簡単な方法は、どこにも属さないアカウントが入れられるグループ（いかなる個人にも関係しないもの）および「test」または「12345」などの、通常、開発者がテストアカウントの名前に使用するシンタックスを見つけることです。

(5) テストアカウントの定期的なレビューを実施する際に、テストアカウントのアクティビティについてもレビューを行います。それによって、本番環境に影響を与える可能性のある実際の変更に誰がテストアカウントを使用したかを判断することができます。影響は間接的である場合があり（例：ステージング環境におけるポリシー変更が誤って自動的に、より大きな構成の一部として本番環境に適用された場合、本番に影響を与える可能性があります）、アクティビティを分析することでこれらの問題を防ぐことができます。

(6) テストアカウントすべて（特に稼働中のもの）を保護するために、特権ユーザ・パスワード管理（Privileged user password management：PUM）機能を活用します。PUMソリューションによって、テストアカウントを安全な暗号化された形で保護し、テストアカウントのリスクを緩和することができます。また、詳細なポリシーに基づいてパスワードへの適切なアクセスを保証することができます。そうすることで、テストアカウントのユーザに責任を持たせることもでき、以降、すべてのユーザによるアクションは安全に記録され、テストアカウントを匿名で使用できないようになります。

最後に、テストアカウントは敵ではありませんが、それはどのIT企業も管理すべき潜在的なリスクを持ったものなのです。

（Merritt Maxim）

筆者略歴：情報セキュリティ業界で、10年以上にわたる製品管理および製品マーケティングの経験を持ち、RSA Security、Netegrity、OpenPagesを経て現在、CA Technologiesのサイバー・セキュリティに関する製品マーケティングを行う

テストアカウント、もう一つのコンプライアンスリスク（CA Security Reminder）

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

ガートナークラウドクッキング教室～ CCoE 構築の重要性

OWASP データブリーチ

カテゴリ別新着記事

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

訃報：セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

OWASP データブリーチ

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Linux の GSM ドライバにおける Use-After-Free の脆弱性（Scan Tech Report）

Armeria-saml に SAML メッセージ取り扱い不備

LINE client for iOS にサーバ証明書の検証不備の脆弱性

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性

WordPress 用プラグイン Forminator に複数の脆弱性

インシデント・事故 記事一覧へ

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

笛吹市商工会へのサポート詐欺被害、調査結果公表

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず

調査・レポート・白書・ガイドライン 記事一覧へ

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性

国内カード発行会社のドメイン毎の DMARC 設定率 36.2％「キャッシュレスセキュリティレポート（2023年10-12月版）」公表

社員のセキュリティ意欲高める施策とは？ 罰則は逆効果 ～ プルーフポイント「2024 State of the Phish」日本語版公表

セキュリティにおける効果は実感できるのか ～ SECURITY ACTION 宣言「得られた効果はない」最多

セキュリティ対策は株価を上げるのか ～ 株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍 時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

研修・セミナー・カンファレンス 記事一覧へ

スペシャリスト集結！ マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

製品・サービス・業界動向 記事一覧へ

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース

情報処理学会、高等学校情報科の全教科書の用語リスト公開

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

セキュリティ診断会社と開発会社が業務提携 ～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位

警察庁、サイバー事案通報の統一窓口を設置

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

訃報：セキュリティの草分けロス・アンダーソン氏死去 67 歳、何回分かの生涯に匹敵する業績

ガートナークラウドクッキング教室～ CCoE 構築の重要性

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書・ガイドライン記事一覧へ

社員のセキュリティ意欲高める施策とは？罰則は逆効果～プルーフポイント「2024 State of the Phish」日本語版公表

セキュリティにおける効果は実感できるのか～ SECURITY ACTION 宣言「得られた効果はない」最多

セキュリティ対策は株価を上げるのか～株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

研修・セミナー・カンファレンス記事一覧へ

スペシャリスト集結！マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは？ AeyeScan 導入企業との公開対談

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校チーム「HEXAGON」優勝

製品・サービス・業界動向記事一覧へ

セキュリティ診断会社と開発会社が業務提携～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ国内 1 位

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ