使える! 情シス三段用語辞典40「特権アカウント」

2017/04/06

常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなるとさらに難しくなります。本用語辞典では数々のIT用語を三段階で説明します。

一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け 「特権アカウント」の意味

OSや様々なシステムの管理者に与えられる「特権アカウント」は、システムの構築や運用のための設定や構成の変更、データの更新や変更、削除、システムの再起動や停止が行えるなど、その名の通り「特権的」な操作を行うことができるアカウントを指す。

このアカウントの情報が、何らかの理由で流出し、悪意を持った攻撃者に使われると、データの改ざんや消去、システムの強制停止や破壊など、企業にとっては大きなセキュリティの脅威になる。また、特権アカウントは正規アカウントのため、通常のセキュリティ対策では全く検知することができない。

このように特権アカウントは、管理の仕方次第ではセキュリティや内部統制の大きなリスクにつながるので、慎重な管理が必要になる。最近では、リスク低減のため、特権アカウントを使ってシステムにログインするのに、別の管理者の承認を必要とする仕組みや、特権アカウントの権限を細分化し、1つの特権アカウントが実行できる権限に制限を設ける「特権アカウントの分散」、ログ監査の強化、IDを知っていてもログインできないようにするためのワンタイムパスワードの導入などの特権アカウントを管理する方法が考えられている。

二段目 ITが苦手な経営者向け

システムを管理するために管理者が使うのが特権アカウントです。この特権アカウントを悪用したセキュリティ事件は数多く起きており、9割以上のサイバー攻撃が何らかの形で特権アカウントを利用しているといわれています。

コンピューターで使われるOS(基本ソフト)でいうと、Windowsでは「Administrator」、LinuxやUNIXとは「root」と呼ばれるユーザーIDが特権アカウントになります。これらのユーザーIDはよく知られているため、攻撃者は「総当たり攻撃」と呼ばれる、パスワード辞書ツールを使って片っ端からログインを試す方法で攻撃されることが多く、簡単なパスワードを設定していると、攻撃者に侵入を許してしまいます。

特権アカウントを悪用したケースでは大手教育サービス会社の顧客情報で約2000万人分が不正に持ち出され名簿業者に販売された事件が記憶に新しいところでしょう。事件の犯人はこの企業に派遣されていた外部システム会社の元担当者で、顧客データベースにアクセスできる特権アカウントを利用してデータの持ち出しを行っていました。

最近ではIoT(モノのインターネット)機器の特権アカウントを使ったセキュリティ攻撃も行われています。マルウェア「mirai(ミライ)」は、WebカメラやDVDレコーダーなどのネットワークに接続された機器によく使われている特権アカウントのIDとパスワードを辞書に持ち、この辞書を使ってログインに成功すると、マルウェアを送り込み、特定のサーバーを攻撃するDDoS攻撃を行います。これは比較的変更されることのない、IoT機器の特権アカウントを狙った攻撃手法です。

このように、さまざまなセキュリティ問題の危険性を持つ特権アカウント。経営者には情報システム担当者と連携しながらこれまで以上に慎重な管理が必要とされているのです。

三段目 小学生向け

みなさんや、みなさんのまわりでも、最近スマートフォン(スマホ)を使っている人はたくさんいると思います。スマホを使うときには暗証番号を入れたり、最近だと指紋を使ってロックを解除したりしますね。この暗唱番号などを「アカウント」といいます。このアカウント、パソコンなどでは、ID(名前)とパスワードの組み合わせて使います。

さて、大きなコンピューターのシステムでは、そのシステムを使えるように設定したり、きちんと使い続けられるよう管理したりする「管理者」という人がいます。この管理者の人たちが使うアカウントを「特権(とっけん)アカウント」といいます。

特権アカウントを持った管理者は、システムを使えるようにしたり、逆にいらなくなったので使えなくするようにしたりと、まるで「神様」のようにシステムをいろいろ変えることができます。だから、特権アカウントは「神アカ(神アカウント)」といえるでしょう。

この「神アカ」が悪い人に知られたらどうなるでしょう? 悪い人は、システムを止めたり、使えなくしたりして、システムを使っている人に迷惑をかけようときっとするでしょう。また、中に入っているデータ(情報)を見せたくない人にも公開したり、壊したりもするでしょう。

みなさんも、仲のいい友達とだけやり取りしてる内緒のメールとかメッセージがありますよね? もし「神アカ」である「特権アカウント」を悪い人に勝手に使われたら、みなさんが知らない間に内緒のやり取りをみんなに知らされてしまうかもしれないのです。だから「特権アカウント」は大切に守らないといけないのです。

関連記事

情シス求人

  1. 登録されている記事はございません。
ページ上部へ戻る