テストアカウント、もう一つのコンプライアンスリスク(CA Security Reminder) | ScanNetSecurity
2024.05.04(土)

テストアカウント、もう一つのコンプライアンスリスク(CA Security Reminder)

孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。

特集 特集
facebookLINE
CA Technologies社 Merritt Maxim氏
CA Technologies社 Merritt Maxim氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Merritt Maxim が、退職者のアカウントよりもリスクが大きい、テストアカウントの運用管理の具体案を示す。

--アイデンティティ管理およびアイデンティティ・ガバナンスを企業に適用することの主なメリットは、これらのソリューションによって「孤立アカウント」を見つけ、削除できることです。孤立アカウントとは、企業をすでに退職したユーザが使用していたアカウントです。コンプライアンスの観点から、孤立アカウントは、元社員および旧請負業者または旧サプライヤーが法的な認証情報を未だ所持し、社内システムにアクセスできるということで大きな懸念事項となっています。アイデンティティ管理およびアイデンティティ・ガバナンス ソリューションは孤立アカウントである可能性のものを特定し、ITおよび監査チームがそれらのアカウントは削除されるべきか否かを検討し、決定することを可能にします。孤立アカウントを積極的に監視および管理することで、企業はITリスクを減らし、社内ユーザおよびその権限をより効果的に管理することができます。

しかしながら、孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。その問題になっているアカウントは「テストアカウント」と言い、ほとんどすべてのアプリケーションに存在します。テストアカウントはとても重要な機能を果たし、特に企業がテスト環境から本番環境に、新しいアプリケーションまたはバージョンに移行しようとしている時に使用されます。テストアカウントによってそのアプリケーションの機能を確認することができます。アプリケーション要件によっては、ほとんどのテストアカウントに完全な管理権限が付与されており、特定のアプリケーション内におけるすべての機能にアクセスすることができます。そのため問題は、テストアカウントは重要な目的を果たしているが故に、完全に削除することができないということです。

推奨される最良の実践モデルは、テスト環境、または最大でもステージング環境でのみテストアカウントを設け、本番環境では絶対にそれを設けないことです。

しかしながら、今日の非常に複雑で異機種混合の分散システム環境ではよくあることですが、大抵の場合、テストアカウントは本番環境にも設けられています。さらにひどいことには、これらのテストアカウントは通常発見されないか、またはどこにも属さないアカウントが入れられる大きなグループの中に存在します。そして一般的に、アプリケーションが長く使用されていれば、それらのシステム内にテストアカウントが存在する可能性もより大きくなります。

では、テストアカウントを管理するための最善のアプローチはどのようなものでしょう?

(1) まず、本番環境にテストアカウントが存在するのであれば(それには法的なビジネス上の理由があるかもしれません)、そのアカウントに可能な限り低い権限を確実に割り当てます。それによって、アプリケーションすべてをさらすことなく、本番システムの基本的ないくつかのテストを実施することができます。

(2) テストおよびステージング環境用にフルテストアカウントを残しておきます。

(3) テストアカウント用に企業全体の共通シンタックスを導入します。それらを「test」またはその他の別の名前で呼ぶように統一します。それによって、ステップ4がより容易になります。

(4) 本番環境の定期的な監査を実施し、テストアカウントの可能性を特定できるようにします。これは骨の折れる手作業になるかもしれませんが、後に監査官(そしてその他の人々)に感謝されることでしょう。最も簡単な方法は、どこにも属さないアカウントが入れられるグループ(いかなる個人にも関係しないもの)および「test」または「12345」などの、通常、開発者がテストアカウントの名前に使用するシンタックスを見つけることです。

(5) テストアカウントの定期的なレビューを実施する際に、テストアカウントのアクティビティについてもレビューを行います。それによって、本番環境に影響を与える可能性のある実際の変更に誰がテストアカウントを使用したかを判断することができます。影響は間接的である場合があり(例:ステージング環境におけるポリシー変更が誤って自動的に、より大きな構成の一部として本番環境に適用された場合、本番に影響を与える可能性があります)、アクティビティを分析することでこれらの問題を防ぐことができます。

(6) テストアカウントすべて(特に稼働中のもの)を保護するために、特権ユーザ・パスワード管理(Privileged user password management:PUM)機能を活用します。PUMソリューションによって、テストアカウントを安全な暗号化された形で保護し、テストアカウントのリスクを緩和することができます。また、詳細なポリシーに基づいてパスワードへの適切なアクセスを保証することができます。そうすることで、テストアカウントのユーザに責任を持たせることもでき、以降、すべてのユーザによるアクションは安全に記録され、テストアカウントを匿名で使用できないようになります。

最後に、テストアカウントは敵ではありませんが、それはどのIT企業も管理すべき潜在的なリスクを持ったものなのです。

(Merritt Maxim)

筆者略歴:情報セキュリティ業界で、10年以上にわたる製品管理および製品マーケティングの経験を持ち、RSA Security、Netegrity、OpenPagesを経て現在、CA Technologiesのサイバー・セキュリティに関する製品マーケティングを行う

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  8. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  9. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 特集 特集 記事
TOP