1.ユーザーID(IDentification)
ユーザーを識別するための名前
コンピュータシステムやネットワークを利用するときには、
誰かを特定するために、ユーザーIDとパスワードの入力を求められる
ユーザーIDには2種類の使用者を設定することができる
管理者権限を持つユーザ・・・特権IDを付与して他のユーザと区別する
一般ユーザ・・・ユーザIDを付与して、ユーザ同士を区別する
双方とも使用する際にはパスワードの入力を必須にすることが多い
2.特権IDの重要性
一般にシステム管理者が使う、高レベルの権限を持ったシステムID
Windowsでは【administrator】
UNIXやLinuxでは【root】
システムに対する重要な操作が可能なIDです
サーバの起動や停止
アプリケーションのインストール
システム設定の変更
全データへのアクセス 等々
オールマイティーな権限は非常に便利だが、弊害もある
何でもできるということは、ちょっとしたミスで重大事故を引起こしかねない
特権IDが悪意のある者に使わるようなことがあれば、被害は甚大になる
情報漏洩から始まり、破壊や機能停止まで、あらゆる危険に晒される
3.特権IDの利用状況
こういった形で使われている
複数の管理者で共有利用
ローカルな特権IDの管理状況は不明
長期間、同じパスワードを利用
複数のデバイスで同じパスワードを利用
利用状況が不明確
懸念事項(特権IDの管理が適切に行われていない場合)
攻撃を受けやすく
インシデント発生時の追跡が困難
4.管理方法
・アクセス管理
特権IDで直接サーバにログインしているケース
ログインする際は少ない権限の一般ユーザIDでログインし
必要に応じて特権IDを利用する
Linux/UNIX
一般ユーザでログイン後、【su】コマンドや【sudo】コマンドで
一時的に特権を利用する
Windows
【runas】コマンドで一時的に特権を利用する
・利用者識別(本人確認と認証の強化)
脆弱なパスワードや長期間同一パスワードを利用している場合
パスワードが推測され、なりすましの危険性がある
複数のユーザでパスワードを共有している場合
誰が特権IDを利用しているか不明になる恐れがある
セキュリティ事故が発生した時に特権IDの利用者を識別できないため
調査や原因の特定が遅れ被害を拡大させることになる
対応策
ユーザごとに一意のIDを割り当て、複雑なパスワードを利用する
パスワードは定期的に変更する
ワンタイムパスワードなどの2要素認証を利用する
・トレーサビリティ
事故が発生した場合、調査や原因の特定をおこなうためには証跡が必要
証跡の内容に必要な項目
特権ID利用者
特権ID利用日時
特権IDを利用したサーバ
利用した特権ID
・その他の管理項目
・パスワード ポリシーの強制
パスワードポリシーを自動的に適用する
・デフォルトで設定されているIDやパスワードの変更
サーバ、データベース、アプリケーション、ネットワーク機器など
既知のIDは攻撃者のターゲットとなりやすい
・コーディングされているIDやパスワードの削除
スクリプトファイル、設定ファイルなど
・ローカル管理者アカウントの定期的な調査
不要なアカウントは攻撃者のターゲットになりやすい
標的型攻撃のバックドアとしてローカル アカウントが作成される
・重要なサーバと利用者の環境を論理的な分離
標的型攻撃で利用者PCがマルウェアに感染した場合
重要なサーバへのアクセスやマルウェアの拡散を防止する