管理者すら把握不十分になりがちな特殊なアカウント
認証の重要性に異論を唱える人はいないだろう。「このシステムにアクセスしようとしているAさんは、本当にAさんなのか」を正しく判断できない企業では、不正アクセスを防ぐのはまず不可能だ。データが漏洩したり、サービスを悪用されたりする可能性が高い。
近年注目を集める「ゼロトラストセキュリティー」の実現でも認証は扇の要となる。ゼロトラストセキュリティーでは、すべての通信やデバイスを疑い、誰がリソースにアクセスしようとしているかを都度識別して、厳密に制御する。認証に問題があれば、企業のセキュリティー対策は根本から揺らいでしまう。
ただ、厳密な認証管理を実現するためのアプローチに、意外な穴があることに気付いていない人は多い。例えば近年、本人確認を厳格化するために、MFA(多要素認証:Multi-Factor Authentication)を導入する企業が増えている。IDとパスワードだけでなく、生体認証やワンタイムパスワードなどを組み合わせて認証を強化するものだ。だが、「MFAを導入すれば安心」というわけにはいかない。それはなぜか。
MFAがカバーするのは、認証管理の一部にすぎないからだ。例えば「サービスアカウント」の存在は盲点になりがちだ。管理者の持つ特権アカウントやユーザーに割り当てられる標準アカウントのほかに、システム同士のやり取りに用いられる特殊なアカウントが存在する。それがサービスアカウントだ。これらはシステム導入時に設定した仮のID/パスワードのまま、長年変更なしで利用されているケースが多い。
特に問題なのは、管理者でさえもこのサービスアカウントをあまり意識していないことだ。しかも、サービスアカウントには大きな権限が付与されているケースが多い。そのため、サイバー攻撃者にとって“魅力的”なターゲットとなり、サービスアカウントは特に攻撃にさらされやすい。大きな権限が付与されたアカウントとしては特権アカウントもあるが、これはたいてい守りが堅い。比較的守りの薄いサービスアカウントを乗っ取ろうと攻撃者が考えるのは自然だろう。
認証を突破されて不正アクセスを受けた場合の被害は大きい。自社の認証管理は本当に強固か、改めての見直しが急務となる。次のページからは、その具体的な方法を考察しよう。