【Special】

特権ID管理と脆弱性診断、企業システムを脅威から守る基本は“2軸”の備え

2014年3月28日(金)

巧妙化するサイバー攻撃の手口。サーバー群を脅威から守る基本は、特権ID管理などに代表される「予防的統制」と、脆弱性を洗い出して対処する「発見的統制」の2つを実直にこなすことだという。システム運用高度化を標榜しセキュリティ関連製品を展開する株式会社ブロード。同社の製品ポートフォリオを題材に、ユーザーが念頭におくべきことを整理する。

 ビジネスの成長エンジンとしてITの本領を発揮させるためには、何にも増してシステムマネジメントの高度化が欠かせない──。強い信念の下、IT資産管理や情報セキュリティなどの分野に軸足を置いて事業展開しているのが株式会社ブロード(東京都千代田区)だ。設立は1987年。以来、四半世紀以上にわたって、国内企業の旧態依然としたシステム運用体制に警鐘を鳴らし続けている。

 「ユーザー企業の実務担当者が何に困っているかを知り、その解決の一助になりたい」とする姫野惠悟・代表取締役社長は、その具現化に向けて「コンピュータ運用を考える会」を1991年から企画・運営してきた。大手ユーザー企業や情報サービス企業を中心に会員を募り、システム運用に関わる課題やあるべき姿を、本音ベースで議論する場である。この活動を通して顕在化してきたニーズに応えるソリューションを姫野社長自身が国内外から探し出し、それが、同社が販売・サポートする製品ポートフォリオへとつながっている。

 中核の1つとなるのが、サーバーを脅威から守るための製品群だ。大規模な情報漏洩につながる標的型サイバー攻撃が年に何度もメディアを賑わすように、昨今は第三者によるアタックの手口がどんどん巧妙化している。ルパン三世さながらに狙った宝物は必ず盗み出す、ユーザーの立場からすれば狙われたが最後、覚悟を決めるしかない、かのようにも語られている。

 しかし、多くの事件の実態をつぶさに見ると、「ユーザーの脇が甘いことに起因するものが少なくない」と同社執行役員・山岸雄一郎氏は指摘する。既知の脆弱性に対して手が打たれていない“抜け穴”からマルウェアを仕込まれる。それを足がかりに、管理が行き届いていない、サーバー機能のすべてを制御できる“特権ID”とそのパスワードが盗まれる─。こうした例などは、典型的だという。

 裏を返せば、明るみになった脆弱性に即座に対処し、厳格な特権IDの管理を実践しておくことで「被害は未然に食い止められる」(山岸氏)ということだ。にもかかわらず、これらに対する組織的、計画的な取り組みは決して多くはない。OSやミドルウェアなどに対するパッチ当ては場当たり的。必要以上の管理者権限を発行する一方で利用実態を把握していない。運用の一環として行われるこれら業務で“人任せ”が横行し、結果、ミスや漏れが発生して、いつ緊急事態に発展してもいたしかたない状況を生んでいるのだ。

 「サーバーのセキュリティに関わる運用業務にこそ、ITのポテンシャルを最大限に活かすべき」(姫野社長)──。管理の一元化、可視化、自動化などの徹底を図ることで、リスク排除のみならず、作業負荷の軽減やコスト削減を見込むことができる。

 これまで言及してきた背景の下、サーバーを脅威から守るための同社のソリューションは、大きく2つの性格を持つ製品で構成されている。それは、「予防的統制」を図る製品と、「発見的統制」を図る製品である(図)。

 

 

 予防的統制は、サーバーにアクセスするユーザーに対して、必要最小限の権限しか与えないことを徹底する。限定的な低い権限だけを持たせることを基本とし、作業ニーズに応じて必要な権限を都度付与するわけだ。同時に、その人が「何をやったか」を記録するといったことも担う。所定のポリシーに則ったパスワードの自動変更などにも対処する。一般的な機能名で記すなら特権ID管理、アクセス管理、ログ管理といったものを網羅している。

 この領域でブロードは「パワーセキュリティ」というブランド名称で製品を展開する。企業ITセキュリティの分野で地歩を築く米Beyond Trust社のソフトウェア製品「Power Broker」シリーズを中心に据えながらも、日本企業特有のニーズに応える機能を独自に補完し、スイート製品に仕上げている。ユーザーの目的に合わせて、必要なソフトやオプションを組み合わせることが可能だ。

 もう1つの「発見的統制」は、自社システム内に潜在する脆弱性を洗い出し、パッチ当てなどの対処を手間をかけず速やかに実施したり、リスクの高さと照らして何を優先して対処すべきかを見える化したりする役割を果たす。OSやミドルウェアなどの不備に逐一個別に対応するのではなく、すべてを統合して一元的に臨む仕組みを整える。ジャンルとしては、脆弱性スキャナと呼ばれるタイプのものだ。

 ブロードが提供するのは、前出Beyond Trust社の「Beyond Insight」シリーズである。Beyond Trust社は、特権IT管理「PowerBroker」と脆弱性スキャナ「Retina CS」を統合し、2014年春に「Beyond Insight」というスィート製品を前面に出すようになった経緯がある。ブロードが発見的統制の製品として位置づけるのは、実質的にはRetina。こちらも顧客ニーズに応じて、様々な機能を取捨選択して、社内システムに適用することができる。

 以上、サーバーを脅威から守るためにブロードが注力するソリューションの位置づけを概観した。製品個別の機能詳細については、別稿に譲るので、そちらを参照されたい(注:今後、当サイトに順次公開予定です)。

特権ID管理と脆弱性診断、企業システムを脅威から守る基本は“2軸”の備え巧妙化するサイバー攻撃の手口。サーバー群を脅威から守る基本は、特権ID管理などに代表される「予防的統制」と、脆弱性を洗い出して対処する「発見的統制」の2つを実直にこなすことだという。システム運用高度化を標榜しセキュリティ関連製品を展開する株式会社ブロード。同社の製品ポートフォリオを題材に、ユーザーが念頭におくべきことを整理する。

PAGE TOP