はじめに
システム管理者は、組織のサイバーセキュリティの鍵を握っています。しかし、そのアカウントは、企業にとってサイバーセキュリティのリスクの原因となる可能性もあります。サイバー犯罪者と悪意のある管理者の両方が、自分たちの利益のために特権を悪用する可能性があるからです。
この記事では、管理者アカウントに起因する主なリスクを調査し、組織の重要なシステムとデータへの管理者アクセスを保護するために採用できる、7つの効果的な方法を提案します。
*この記事はEkran System 社の公式ブログを翻訳したものです。原文はこちら(内容を一部変更しています)。
なぜ、システム管理者には特別な注意が必要なのか
鍵は家の中に入る時に役立ちますが、泥棒もまた、その鍵を使うことができます。システム管理者は、組織のコンピュータ・システム、ネットワーク、サーバーのインストール、メンテナンス、設定を担当する従業員です。ハードウェアとソフトウェアの両方を扱うため、企業の機密データとITインフラ全体のセキュリティを確保するために、厳格なサイバーセキュリティ・ポリシーに従わなければなりません。
システム管理者は、他の従業員よりも多くのアクセス権を持っています。
- 企業ネットワーク内のすべてのファイルとデータへのアクセス
- 一般アカウントと特権アカウントの作成と削除
- ユーザーアカウントへのアクセス権付与
- ソフトウェアのダウンロード、アップグレード、および削除
- コーポレートシステムの変更
システム管理者は、組織の種類と規模に応じて、次のように分類されます。
- データベース管理者 データの完全性、データベースシステムの効率性、保守性、および性能に責任を負う
- ネットワーク管理者 スイッチやルーターなどのネットワークインフラを保守し、ネットワークに接続されたコンピュータの動作に関する問題を診断する
- システムセキュリティ管理者 コンピュータとネットワークのセキュリティを担当し、一般的なセキュリティ対策を組織のスタッフに伝達する
- ウェブシステム管理者 社内外のウェブサイトへのアクセスを可能にするウェブサーバーサービスを管理し、ソフトウェアを管理する場合もある
- コンピューター設備管理者 バックアップテープの交換や、独立したディスクの冗長アレイの故障したドライブの交換など、コンピューター機器の日常的な保守とメンテナンスを行う
- 通信管理者 電話、ビデオ会議、コンピューター、ボイスメールシステムなどのデータおよび音声通信システムを提供する機器やネットワークの保守を担当する
組織によっては、システム管理者がこれらの役割のいくつか、あるいはすべてを担っていることもあります。システム管理者はこのように組織のインフラへ幅広いアクセス権を持つため、そのアカウントはシステムのセキュリティにとって大きな脅威となります。
システム管理者アカウントに対する脅威となる要因 トップ3
システム管理者のアカウントは、その高いアクセス権限のために、組織のサイバーセキュリティに対する潜在的なリスクを伴います。上位の特権は、悪用されると組織に損害を与える可能性があります。
システム管理者アカウントに対する主な脅威の要因は以下の通りです。
- 外部からのサイバー攻撃
- システム管理者の過失
- 悪意のあるインサイダー活動
これらを詳しく見ていきましょう。
外部からのサイバー攻撃
サイバー犯罪者は、システム管理者のアカウントを侵害することで、組織の機密データを盗んだり、破壊したりすることができます。侵害する手段は複数ありますが、ほとんどの場合、アカウントの認証情報を獲得する必要があります。
例えば、インサイダーによる認証情報の盗難は、2020年から2022年の間にほぼ倍増しています。2022 Cost of Insider Threats Global Report(英語のページ)によると、「認証情報(クレデンシャル)の盗難は修復に最もコストがかかるインシデントで、1件あたりの平均804,997ドルの損害が発生する」と言われています。
管理者アカウントが侵害された場合、より価値の高い資産にアクセスできる特権が与えられるため、復旧までにより大きなコストがかかる可能性があります。システム管理者のアカウントを侵害するために、サイバー犯罪者は以下の手段を使用します。
キーロガー型マルウェア
キーロガー型マルウェアは、ユーザーのキーストロークを記録し、ログイン名やパスワードを取得することが出来ます。この情報は、攻撃者に送信されます。このマルウェアは、悪意のある内部関係者や外部の攻撃者によって、意図的にマシンにインストールされることがあります。キーロガー型マルウェアをインストールする一般的な手法としては、ドライブバイダウンロード、マルウェアを感染させたUSBデバイス、水飲み場型攻撃(狙っているユーザーが使用するWebサイトを改ざんし、対象を攻撃する手法)などがあります。
フィッシング詐欺
どんなに高性能なファイアウォールがあったとしても、ソーシャルエンジニアリングが侵入してくると力を発揮できない場合があります。サイバー犯罪者は、信頼できる情報源を装って攻撃対象者へメールを送り、メールの受信者をだまして重要なデータやアカウント認証情報を漏えいさせます。また、フィッシングを狙うメールには悪意のあるファイルが含まれていることもあります。一見すると普通の文書のように見えますが、添付ファイルを開くとマルウェアに感染する可能性があります。
ユーザーデータベースのハッキング
従業員は、プライベートと業務、両方のアカウントで同じパスワードを利用する傾向があります。そして、攻撃者はECサイトやソーシャルメディアのWebサイトをハッキングし、ユーザー情報やアカウント情報等が詰まったデータを得る場合があります。人々が使用するパスワードの73%は重複していると言われているため、攻撃者は漏れた認証情報を使って、企業のアカウントに侵入することが出来る可能性があります。
Pass the hash攻撃
攻撃者は、完全なパスワードを盗むのではなく、メモリに残っているパスワードのハッシュ値を盗みます。認証時に使用されるパスワードのハッシュ情報を不正に取得し、そのハッシュ情報を使用して認証を行う、なりすまし攻撃です。攻撃者は、メモリに保存されているユーザーの認証情報をダンプ(ファイルやメモリに保存された内容を、ディスクに出力)するか、ローカルユーザーのアカウントデータベースをダンプします。
クレデンシャルスタッフィング攻撃とパスワードスプレー攻撃
クレデンシャルスタッフィング攻撃は、既に漏洩している大量のアカウント情報を使って攻撃対象に自動ログイン要求を行い、不正アクセスを狙う攻撃です。クレデンシャル(認証情報)スタッフィング(総当たりで確認する)という意味です。パスワードスプレー攻撃は、攻撃者が既にユーザー名のリストを持っており、よくあるパスワードをユーザー名に紐づけてログインを行う攻撃です。ログイン時にアカウント名が毎回変わるため、システム側からロックをかけることが出来ません。他にも、複数のIPアドレスを使用してパスワードの繰り返し試行の制限を回避するものもあります。
脆弱性の悪用
サイバー犯罪者は、システムの脆弱性やシステム管理者の過失を利用して、システム管理者アカウントを乗っ取ることがあります。ハッキングされたコンピュータに気づかずシステム管理者がログインした場合、そのアカウントは危険にさらされる可能性があります。
システム管理者の過失
システム管理者自身が、知らず知らずのうちにアカウント漏洩の原因になっていることがあります。外部からの攻撃は、システム管理者の過失によって成功することが多くあります。ここでは、管理者が認証情報の漏洩を助長する可能性がある方法を見ていきましょう。
安全でないエンドポイントへのログオン
境界の外にある保護されていないコンピュータに管理者アカウントでログオンすると、そのアカウントが攻撃者にさらされる可能性があります。感染症流行により、システム管理者であってもテレワークが推奨されている現代では特に重要です。コンピュータがマルウェアに感染したり、何らかの方法でハッキングされたりすると、特権アカウントは簡単に危険にさらされることになります。
管理者アカウントの共有
システム管理者は、複数のIDを持つ代わりに管理者アカウントを共有して、多くのタスクを実行することがあります。例えば、管理者Aさんが新入社員のコンピュータをセットアップしている間に、管理者Bさんが会社のネットワークを設定するために、同じアカウントを使用することがあります。共有の管理者アカウントが悪用された場合、犯人の特定が難しくなる可能性があります。
このようなアカウントがエンドポイントの一つで侵害された場合、システム全体が危険にさらされることになります。さらに、高度な特権を持つアカウントを回復したり無効にしたりすることは困難です。
管理者アカウントを日常業務に使用する
同様のリスクは、電子メールのチェック、ソーシャルメディア上のチャット、コンテンツのダウンロード、単なるネットサーフィンなど、日常的なタスクの実行に管理者アカウントを使用する場合にも発生します。一見、何の問題もないように見えますが、これらの行為には、管理者アカウントを危険にさらすリスクが数多く隠されており、攻撃者にはチャンスとなります。
漏洩したアカウントがActive Directoryの管理者権限を持っている場合、ドメイン全体が危険にさらされる可能性もあります。
不適切なパスワード管理
システム管理者の仕事は、システムをリスクにさらすのではなく、システムのセキュリティを促進する事が仕事です。そのため、パスワードを不適切に管理することは許されません。にも関わらず、一部のシステム管理者は不適切なパスワード管理をしています。
いくつか例を挙げてみましょう。
- 別の管理アカウントに同じパスワードを使用する
- 定期的にパスワードを更新しない
- ブラウザのキャッシュにパスワードを保存する
- 同僚と認証情報を共有する
このような不適切な運用は、明らかに、管理者アカウント漏洩のリスクを含んでいます。
システム内の管理者アカウントが多すぎる
管理者アカウントを過剰に配置すると、攻撃対象が拡大することになります。組織のネットワークに管理者アカウントが多ければ多いほど、そのうちの1つが危険にさらされるリスクが高くなるからです。
さらに、大量のアカウントを維持・管理することは困難です(定期的なパスワードのローテーション、不要になったアカウントのアクセス権の削除、アカウントの活動状況の把握など)。
悪意のあるインサイダー活動
組織のシステムに対する特権を悪用すれば、さまざまな形で組織に害を及ぼす可能性があります。悪意のあるシステム管理者は、この権限を利用し、さまざまな形で組織に害を及ぼす可能性があります。
- ファイルや機密データを操作する
- 機密情報を第三者に転送する
- 企業のシステムやネットワークを改ざんする
- 高い権限を持つバックドアアカウントを作成する
- 他の従業員のアカウントで行動する
- マルウェアやシャドーITのインストール
- 企業ネットワークが持つ脆弱性を利用する
悪意のあるインサイダーを特定することは、インサイダーが個人的な利益追求をしていたとしても、産業スパイのように外部から管理されていたとしても、非常に困難です。
システム管理者は、自らの行動をカモフラージュすることが得意です。高いアクセス権を利用して他の従業員のアカウントを使用したり、利用したアプリケーションを削除したり、イベントログを消去、または変更することで、サイバー犯罪の痕跡を隠すことができるからです。
例えば、2017年に実刑判決を受けたC氏は、2013年に会社での仕事を終えたわずか2日後に、ペンシルバニア州のクリニックグループのコンピュータシステムにフルアクセスし、非公開の管理者アカウントを作成しました。彼は、クリニックグループがシステム管理者の資格を変更する2015年半ばまで、不正な技術購入やコンピュータの設定、データの削除を行っていました。彼の行為により、同グループは約6万ドルの経済的損失を被りました。
システム管理者の特権アカウントを保護するための7つの方法
このように、管理者アカウントは様々な方法で危険にさらされる可能性があります。ここからは、特権ユーザーとシステム管理者がもたらすリスクを最小化するために適用できる、システム管理者の特権を保護するための方法についてお話します。
1.システム管理者がもたらすリスクの評価
重要な資産と、それらに無制限にアクセスできる人物をすべて特定します。自分の組織には今、何人のシステム管理者がいるかを確認します。彼らはどのようなアクセス権を持っているのか。そして、システム管理者がセキュリティ・ポリシーに従うようにするには、どうすればよいかを検討します。
これらの情報をもとに、適切なセキュリティ対策を選択し、管理者特権アカウントのセキュリティに関する効率的な戦略を実施します。
2.堅牢なセキュリティ・ポリシーの策定
会社のネットワークやシステムを使用する際のポリシーを文書化します。文書には、組織内で適用されているすべてのサイバーセキュリティ対策を明確に記述します。スタンフォード大学の「システム管理者のためのガイド」(英語のページ)やアリゾナ大学の「システム管理者のための利用規定」(英語のページ)を参考にできます。
3.パスワード管理の強化
鍵はマットの下に隠すだけではいけません。強力なパスワード管理は、サイバーセキュリティとコンプライアンスの両方の観点から必要不可欠です。
複雑なパスワードの作成、定期的な更新、アカウントごとに異なるパスワードの使用など、健全なパスワードの習慣について説明し、セキュリティポリシーを充実させましょう。
しかし、これだけでは十分でない場合もあります。組織内のルートおよび管理者の認証情報を保護するために、業界に関連するサイバーセキュリティ規制や基準によって推奨される慣行を適用します。例えば、専用のパスワード管理ソリューションを使用することができます。Ekranを始めとする特権アクセス管理(PAM)機能を備えたインサイダーリスク管理プラットフォームで、管理者の認証を安全に保管、配信、処理することができます。
4.アカウントを適切に使用、管理する
システム管理者のアカウントを安全に使用・管理する方法について、以下のヒントをご確認ください。
- 管理者アカウントの使用を制限する システム管理者は、必要なときだけ管理者アカウントを使用し、日常的な作業には通常のアカウントを使用するようにしてください。また、管理者アカウントは常にサインアウトしておくようにします。常時サインインしていると、アカウント漏洩の可能性が高くなります。
- 業務別に管理者アカウントを作成する 管理者が実行する必要のあるタスクと必要なアクセスレベルに基づいて、管理者用の個別のロール(役割)を作成します。1つの上位管理者アカウントと、複数のロールベース(役割ごと)に権限を限定した管理者アカウントを作成します。このように、各管理者が持つ権限を制限し、権限の乱用が起こりうる範囲を最小化することができます。
- 管理者アカウントの共有は避ける 一つの管理者アカウントを複数のユーザーで共有すると、特定のユーザーの行動を監視・監査することが不可能になります。やむを得ず共有アカウントを使用する場合は、二次認証の適用をご検討ください。共有アカウントを使用するユーザーを特定することができます。
管理者アカウントをより効率的に管理するために、PAM機能を使用することができます。これにより、システム管理者のアカウントに異なるレベルのアクセス権を設定することができます。
5.重要なシステムへのアクセスを限定する
システム管理者のアカウントは、悪意のあるユーザーにとって魅力的なものです。システム管理者のアカウントが侵害される可能性を最小限に抑えるには、最小権限の原則を導入します。管理者に直接の職務を遂行するために必要な権限のみを与えることを検討してください。さらに重要な資産を保護したい場合は、認証されたユーザーのみが保護されたデータやシステムにアクセスできる「ゼロ・トラストモデル」の導入を検討します。
Ekranでは、以下の機能が役立ちます。
- システム管理者と一般ユーザーのすべてのアカウントを可視化
- インフラストラクチャにおけるシステム管理者のアクセス権管理
- システム管理者の重要なエンドポイントへのリモートアクセスの保護
- 2ファクタ認証によるシステム管理者の身元確認
6.システム管理者の活動を監視する
ユーザーの行動を監視することは、サイバーセキュリティの強化に繋がります。ユーザー・セッションの記録は、誰が、いつ、どこで、何をしたかという情報を提供します。また、これらの記録は、サイバーセキュリティに関連するインシデントが発生した際、証拠として使用することができます。
Ekranでは、以下の事が可能になります。
- システム管理者や他のユーザーの行動を監視し、ビデオ形式で記録
- YouTubeのような直感的なプレーヤーで、記録されたユーザーセッションやライブセッションを見る
- 起動したアプリケーション、訪問したWebサイト、入力したキーストローク、実行したコマンドやスクリプトなど、さまざまな要素で検索
- システム管理者が使用するUSBデバイスを管理し、承認されていないデバイスを自動的にブロック
- カスタマイズ可能なレポートをエクスポート
- 記録を内部監査に利用可能
7.強固なインシデント対応計画の策定
システム管理者のアカウントが侵害された場合、担当者がどのような行動を取るかについて、十分な計画を立ててください。手順を形に残しておくことで、危機的な状況下でスタッフが効果的に、かつ効率的に対応できるようになります。インシデント対応計画は、外部からの攻撃や内部からの侵入による被害を最小限に抑えるのに役立ちます。
組織内のセキュリティ・インシデント処理の最適化と自動化を考える際に、Ekranでは以下の機能が役立ちます。
- 不審なイベントに関するアラートメール通知を受信し、タイムリーに対応
- 検出された脅威に対して、ユーザーやプロセスをブロック
- 違反者に警告メッセージを表示
まとめ
システム管理者の役割と、特権的なアクセス権がもたらすリスクは、組織に過小評価されがちです。しかし、特権が悪用されてしまえば、それが熟練したハッカーでも、悪意のある内部関係者でも、セキュリティ・システムや機密データに深刻な損害を与える可能性があります。
そのような事態を避けるため、考えられるリスクを評価し、管理者アカウントの使用に関する効果的なポリシーを確立して、セキュリティを確保する必要があります。
効率的なインサイダーリスク管理プラットフォームとして、EkranはIT管理者のアクセスを適切に保護することができます。信頼性の高いアクティビティモニタリング、自動化されたインシデント対応、アクセス管理の機能により、組織における特権アカウントの侵害の可能性を大幅に減らすことができます。