テストアカウント、もう一つのコンプライアンスリスク(CA Security Reminder) | ScanNetSecurity
2024.03.28(木)

テストアカウント、もう一つのコンプライアンスリスク(CA Security Reminder)

孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。

特集 特集
CA Technologies社 Merritt Maxim氏
CA Technologies社 Merritt Maxim氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Merritt Maxim が、退職者のアカウントよりもリスクが大きい、テストアカウントの運用管理の具体案を示す。

--アイデンティティ管理およびアイデンティティ・ガバナンスを企業に適用することの主なメリットは、これらのソリューションによって「孤立アカウント」を見つけ、削除できることです。孤立アカウントとは、企業をすでに退職したユーザが使用していたアカウントです。コンプライアンスの観点から、孤立アカウントは、元社員および旧請負業者または旧サプライヤーが法的な認証情報を未だ所持し、社内システムにアクセスできるということで大きな懸念事項となっています。アイデンティティ管理およびアイデンティティ・ガバナンス ソリューションは孤立アカウントである可能性のものを特定し、ITおよび監査チームがそれらのアカウントは削除されるべきか否かを検討し、決定することを可能にします。孤立アカウントを積極的に監視および管理することで、企業はITリスクを減らし、社内ユーザおよびその権限をより効果的に管理することができます。

しかしながら、孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。その問題になっているアカウントは「テストアカウント」と言い、ほとんどすべてのアプリケーションに存在します。テストアカウントはとても重要な機能を果たし、特に企業がテスト環境から本番環境に、新しいアプリケーションまたはバージョンに移行しようとしている時に使用されます。テストアカウントによってそのアプリケーションの機能を確認することができます。アプリケーション要件によっては、ほとんどのテストアカウントに完全な管理権限が付与されており、特定のアプリケーション内におけるすべての機能にアクセスすることができます。そのため問題は、テストアカウントは重要な目的を果たしているが故に、完全に削除することができないということです。

推奨される最良の実践モデルは、テスト環境、または最大でもステージング環境でのみテストアカウントを設け、本番環境では絶対にそれを設けないことです。

しかしながら、今日の非常に複雑で異機種混合の分散システム環境ではよくあることですが、大抵の場合、テストアカウントは本番環境にも設けられています。さらにひどいことには、これらのテストアカウントは通常発見されないか、またはどこにも属さないアカウントが入れられる大きなグループの中に存在します。そして一般的に、アプリケーションが長く使用されていれば、それらのシステム内にテストアカウントが存在する可能性もより大きくなります。

では、テストアカウントを管理するための最善のアプローチはどのようなものでしょう?

(1) まず、本番環境にテストアカウントが存在するのであれば(それには法的なビジネス上の理由があるかもしれません)、そのアカウントに可能な限り低い権限を確実に割り当てます。それによって、アプリケーションすべてをさらすことなく、本番システムの基本的ないくつかのテストを実施することができます。

(2) テストおよびステージング環境用にフルテストアカウントを残しておきます。

(3) テストアカウント用に企業全体の共通シンタックスを導入します。それらを「test」またはその他の別の名前で呼ぶように統一します。それによって、ステップ4がより容易になります。

(4) 本番環境の定期的な監査を実施し、テストアカウントの可能性を特定できるようにします。これは骨の折れる手作業になるかもしれませんが、後に監査官(そしてその他の人々)に感謝されることでしょう。最も簡単な方法は、どこにも属さないアカウントが入れられるグループ(いかなる個人にも関係しないもの)および「test」または「12345」などの、通常、開発者がテストアカウントの名前に使用するシンタックスを見つけることです。

(5) テストアカウントの定期的なレビューを実施する際に、テストアカウントのアクティビティについてもレビューを行います。それによって、本番環境に影響を与える可能性のある実際の変更に誰がテストアカウントを使用したかを判断することができます。影響は間接的である場合があり(例:ステージング環境におけるポリシー変更が誤って自動的に、より大きな構成の一部として本番環境に適用された場合、本番に影響を与える可能性があります)、アクティビティを分析することでこれらの問題を防ぐことができます。

(6) テストアカウントすべて(特に稼働中のもの)を保護するために、特権ユーザ・パスワード管理(Privileged user password management:PUM)機能を活用します。PUMソリューションによって、テストアカウントを安全な暗号化された形で保護し、テストアカウントのリスクを緩和することができます。また、詳細なポリシーに基づいてパスワードへの適切なアクセスを保証することができます。そうすることで、テストアカウントのユーザに責任を持たせることもでき、以降、すべてのユーザによるアクションは安全に記録され、テストアカウントを匿名で使用できないようになります。

最後に、テストアカウントは敵ではありませんが、それはどのIT企業も管理すべき潜在的なリスクを持ったものなのです。

(Merritt Maxim)

筆者略歴:情報セキュリティ業界で、10年以上にわたる製品管理および製品マーケティングの経験を持ち、RSA Security、Netegrity、OpenPagesを経て現在、CA Technologiesのサイバー・セキュリティに関する製品マーケティングを行う

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  9. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る