テストアカウント、もう一つのコンプライアンスリスク(CA Security Reminder) | ScanNetSecurity
2024.05.18(土)

テストアカウント、もう一つのコンプライアンスリスク(CA Security Reminder)

孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。

特集 特集
facebookLINE
CA Technologies社 Merritt Maxim氏
CA Technologies社 Merritt Maxim氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Merritt Maxim が、退職者のアカウントよりもリスクが大きい、テストアカウントの運用管理の具体案を示す。

--アイデンティティ管理およびアイデンティティ・ガバナンスを企業に適用することの主なメリットは、これらのソリューションによって「孤立アカウント」を見つけ、削除できることです。孤立アカウントとは、企業をすでに退職したユーザが使用していたアカウントです。コンプライアンスの観点から、孤立アカウントは、元社員および旧請負業者または旧サプライヤーが法的な認証情報を未だ所持し、社内システムにアクセスできるということで大きな懸念事項となっています。アイデンティティ管理およびアイデンティティ・ガバナンス ソリューションは孤立アカウントである可能性のものを特定し、ITおよび監査チームがそれらのアカウントは削除されるべきか否かを検討し、決定することを可能にします。孤立アカウントを積極的に監視および管理することで、企業はITリスクを減らし、社内ユーザおよびその権限をより効果的に管理することができます。

しかしながら、孤立アカウントと同様の問題を抱えたもう一つの種類のアカウントも存在します。それらのアカウントは、通常、認証およびガバナンスプロセスから見逃されています。その問題になっているアカウントは「テストアカウント」と言い、ほとんどすべてのアプリケーションに存在します。テストアカウントはとても重要な機能を果たし、特に企業がテスト環境から本番環境に、新しいアプリケーションまたはバージョンに移行しようとしている時に使用されます。テストアカウントによってそのアプリケーションの機能を確認することができます。アプリケーション要件によっては、ほとんどのテストアカウントに完全な管理権限が付与されており、特定のアプリケーション内におけるすべての機能にアクセスすることができます。そのため問題は、テストアカウントは重要な目的を果たしているが故に、完全に削除することができないということです。

推奨される最良の実践モデルは、テスト環境、または最大でもステージング環境でのみテストアカウントを設け、本番環境では絶対にそれを設けないことです。

しかしながら、今日の非常に複雑で異機種混合の分散システム環境ではよくあることですが、大抵の場合、テストアカウントは本番環境にも設けられています。さらにひどいことには、これらのテストアカウントは通常発見されないか、またはどこにも属さないアカウントが入れられる大きなグループの中に存在します。そして一般的に、アプリケーションが長く使用されていれば、それらのシステム内にテストアカウントが存在する可能性もより大きくなります。

では、テストアカウントを管理するための最善のアプローチはどのようなものでしょう?

(1) まず、本番環境にテストアカウントが存在するのであれば(それには法的なビジネス上の理由があるかもしれません)、そのアカウントに可能な限り低い権限を確実に割り当てます。それによって、アプリケーションすべてをさらすことなく、本番システムの基本的ないくつかのテストを実施することができます。

(2) テストおよびステージング環境用にフルテストアカウントを残しておきます。

(3) テストアカウント用に企業全体の共通シンタックスを導入します。それらを「test」またはその他の別の名前で呼ぶように統一します。それによって、ステップ4がより容易になります。

(4) 本番環境の定期的な監査を実施し、テストアカウントの可能性を特定できるようにします。これは骨の折れる手作業になるかもしれませんが、後に監査官(そしてその他の人々)に感謝されることでしょう。最も簡単な方法は、どこにも属さないアカウントが入れられるグループ(いかなる個人にも関係しないもの)および「test」または「12345」などの、通常、開発者がテストアカウントの名前に使用するシンタックスを見つけることです。

(5) テストアカウントの定期的なレビューを実施する際に、テストアカウントのアクティビティについてもレビューを行います。それによって、本番環境に影響を与える可能性のある実際の変更に誰がテストアカウントを使用したかを判断することができます。影響は間接的である場合があり(例:ステージング環境におけるポリシー変更が誤って自動的に、より大きな構成の一部として本番環境に適用された場合、本番に影響を与える可能性があります)、アクティビティを分析することでこれらの問題を防ぐことができます。

(6) テストアカウントすべて(特に稼働中のもの)を保護するために、特権ユーザ・パスワード管理(Privileged user password management:PUM)機能を活用します。PUMソリューションによって、テストアカウントを安全な暗号化された形で保護し、テストアカウントのリスクを緩和することができます。また、詳細なポリシーに基づいてパスワードへの適切なアクセスを保証することができます。そうすることで、テストアカウントのユーザに責任を持たせることもでき、以降、すべてのユーザによるアクションは安全に記録され、テストアカウントを匿名で使用できないようになります。

最後に、テストアカウントは敵ではありませんが、それはどのIT企業も管理すべき潜在的なリスクを持ったものなのです。

(Merritt Maxim)

筆者略歴:情報セキュリティ業界で、10年以上にわたる製品管理および製品マーケティングの経験を持ち、RSA Security、Netegrity、OpenPagesを経て現在、CA Technologiesのサイバー・セキュリティに関する製品マーケティングを行う

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  6. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  7. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  8. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  9. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  10. DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

    DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP