危険!情報セキュリティ担当の40%が初期パスワードをそのまま利用
企業や大学、官公庁などの組織内において、情報セキュリティ企画・管理運用をリードすべき立場にある情報セキュリティ担当者ですが、実は自身のセキュリティ意識がそこまで高くなかったという事実が明らかになっています。
特権ユーザーのID・パスワード管理はなぜ重要か
特権ユーザー(システム管理権限があるユーザー)は、通常ユーザーが持っていない多くの権限を持っています。例として、以下に特に重要な権限をあげてみます。
- 閲覧・編集範囲の限定がなく、全データへのアクセスが可能
- データのインポート、エクスポート、削除
- ユーザー権限の変更
- セキュリティ設定の変更を含む、システム全般の設定変更
- システム・サービスの契約情報の変更
特に、個人情報の保護という観点を考えると「全データへのアクセス」ができ、「データのエクスポート」が可能という点が重要です。特権ユーザーのアカウントをハッキングしてしまえば、当該システムで管理している情報を全て持ち去れるためです。
もちろん、こうした攻撃に対して、いつ、どのユーザーが、どのIPからアクセスして、どのような操作を行ったかは全てログとして残されています。しかし、ハッカーの多くは不正に乗っ取ったアカウントを利用して、IPを偽装してアクセスするため、ログの意味をなさないことが多いのです。また、いくらログから犯人を突き止められたところで、一度流出してしまった情報は「ダークウェブ」と呼ばれるブラックマーケットで流通してしまうため、手元に戻ってくるわけではありません。
つまり、特権ユーザーのID・パスワードを用いた不正アクセスは、一般ユーザーのそれとは比較にならないほど深刻な打撃を与えます。よって、特権ユーザーのID・パスワードは、より高いセキュリティを持って管理すべきなのです。
ずさんな特権ユーザー管理が横行
では、実際に多くの組織でどのように特権ユーザーのID・パスワードが管理されているのでしょうか。特権ユーザーならび情報セキュリティ担当者に関するアメリカの調査報道によると、以下の事実が明らかになっています。
1.特権ユーザーの18%は、紙にID、パスワードを書き留め管理
「パスワードを紙に書いて記録しないようにしましょう」というのは、パスワード管理の初歩の初歩です。紙に書いたID・パスワードは、その紙を見つけた第三者が容易に不正利用することができるだけでなく、スマホのカメラで撮影することで多くの人が簡単に共有できてしまうためです。一般ユーザーの多くでも行わないような、ずさんな管理を行っている特権ユーザーが18%もいます。
2.特権ユーザーの36%は、スプレッドシートを利用してID、パスワードを管理している。
Microsoft ExcelやGoogle Documentsなどのスプレッドシートを用いて、IDとパスワードを管理する方法を用いている管理者も、全体の36%もいます。スプレッドシートによりID・パスワードを管理するのは、紙に書くのに比べて「見やすい」「どこでも確認できる」「コピペできて便利」といったメリットがあります。
この方法は、「スプレッドシートに保存した情報ならびファイルが不正アクセスを受けたら、一網打尽に情報が流出する」ということです。そして紙と違って、物理的な流出(「パソコンを紛失した」「ファイルを入れたUSBメモリを置き忘れた」など)だけでなく、ネットワークからの攻撃による流出も起こるため、紙での管理以上に危険とも言えます。
3.情報セキュリティ担当の40%が、デフォルトパスワード(初期パスワード)を変更せず利用。
システムやサービスの初期設定を行う場合、初期パスワードが付与されることがあります。多くのシステムでは、初期パスワードを変更しないとシステム・サービスが利用できませんが、いくつかのシステムでは「初期パスワードを変更しなくてもシステム・サービス利用が可能」なものがあります。
初期パスワードは変更されることを前提として作成されているので、多くの場合「大文字、小文字、数字、記号で8桁」である場合が多いです。一般ユーザーのパスワードであれば、この程度の強度で十分と言えるかもしれませんが、特権ユーザーのパスワードはより強固であるほうが望ましいと言えます。例えば、桁数を増やす、パスフレーズを利用するなどです。
上記のような脆弱な特権ユーザーのID・パスワード管理は、企業全体の情報を危険にさらす行為であるため、改める必要があります。
特権ユーザーの適切なID・パスワード管理とは
では、特権ユーザーがどのようにID・パスワード管理を行うべきでしょうか。以下3つのポイントをあげてみます。
1.ID・パスワード管理規定を作成・修正する
大手企業であれば、過去に「ITセキュリティポリシー」が作成している場合も多いかと思いますが、中小企業だとこうしたポリシー自体がない場合が大多数と考えられます。企業において、従業員が入社・退社を繰り返して入れ替わるのと同じで、特権ユーザーも移り変わっていきます。
例えば、特権ユーザーのAさんが多くのシステム・サービスのID・パスワードを管理していたとします。そしてAさんが退社した後に入ってきたBさんは、かつてAさんが管理していたID・パスワードを管理しますが、このAさんの管理方法とBさんの管理方法が全く違うということが実はよくあります。
この例の場合、AさんがBさんに業務を引き継ぐ時間が十分にあればよいですが、Aさんが交通事故などで突然死してしまった場合、AさんがどのようにID・パスワードを管理していたのか誰も知らないかった、ということさえ起こります。この場合、システム・サービスの利用に大きな影響を及ぼすだけでなく、最悪データへのアクセスが全く行えなくなってしまうことさえ考えられます。
こうした事態を防ぐためにポリシーの作成ならび徹底が必要になります。その際には、一般ユーザーのID・パスワード管理よりも、特権ユーザーの管理はセキュリティ強度を高める必要があります。
2.定期的に管理運用状況チェック・検査を行う
これは、大手企業であれば毎年の「システム監査」などのタイミングで行われている作業です。ITセキュリティポリシーが正しく運用されているかを、第三者または当該部門以外のスタッフによりチェック・検査を行う作業です。
現場部門にとっては、システム監査は面倒な作業でしかなく、時間も取られるため嫌がられるのですが、万が一の事態を防ぐためには必要な作業です。何をどの程度検査する必要があるか、誰が検査するのか(社内スタッフか、社外の第三者かなど)などは、検査にかけられる時間や予算により異なりますので、無理のない形で始め、続けていくことが重要となります。
3.IDaaSなどID・パスワード管理ツールを利用する
特権ユーザーのID・パスワード管理を属人的な管理手法に依るのではなく、ツールを使って統一的に行うという方法も普及しはじめています。個人での利用が想定されている「パスワードマネージャー」ではなく、複数人で利用できるユーザー管理機能が搭載された「IDaaS (クラウド型ID・パスワード管理サービス)」を利用するのが一般的です。
クラウド上で安全にID・パスワードが管理され、それを特権ユーザー権限を持つ複数人で共有できるため、手元の紙やスプレッドシートで管理するよりはるかに安全性が高く、かつ「IDaaSログイン時の、1つの複雑なパスワードだけ覚えておけば、各システムへのログインパスワードを覚えている必要がない」ため、「パスワードが記憶できないから、使い回す」こともありません。
弊社GMOグローバルサインは、IDaaS製品「トラスト・ログイン」の開発を行っております。他のIDaaS製品と異なり、登録アプリ数無制限、登録ユーザー数無制限、そして自社の社内システムなどへのシングルサインオンも提供する機能が搭載されています。貴組織の特権ユーザーID・パスワードの管理体制強化のため、ぜひご活用ください。