ID・アクセス管理の落とし穴－「可視化」の重要性とその障壁

信頼できるシステムにはID・アクセス管理が欠かせない

ゼロトラストの浸透により、クラウドおよびオンプレミス環境におけるID統合管理は、企業がビジネスを効率的に推進するうえで大前提となる取り組みとなりつつあります。一方で、ランサムウェア被害は依然として発生し続けており、ネットワーク機器の脆弱性やフィッシングメールを入り口として企業の環境に侵入した後、そこでIDを奪取し、さらにそのIDを悪用して攻撃を横展開するケースが定石となっています。

その原因として挙げられるのが、昨今の働き方の多様化や業務委託の増加により、IDのライフサイクル管理が追い付いていないことや、業務効率を重視して過剰な権限を付与しすることによって発生する、退職者IDや用途不明の特権が付与されたアカウントの放置です。

企業のITインフラを俯瞰して見ると、ID・アクセスを個別に管理しているシステムが存在する、部門単位でIDの払い出しが行われる、権限付与のルールが異なっているなど、ID・アクセスの統合管理は部分的に留まっていると言えます。このような状況下で攻撃者側は、攻撃を通じて奪取したアカウント情報をダークウェブで売買し、マネタイズとIDの悪用を繰り返しています。

重要なのは、「どのようなIDや権限が、どこに存在し、どのようなリスクを持つのか」を可視化することです。不要なIDや過剰権限付与の実態を把握しないままでは、企業のシステム全体を「信頼できる前提」として扱うことはできません。しかし、ID・アクセス管理状況の可視化は、関係者の多さ、システム横断的な整合性担保の難しさなどから後回しにされがちです。本稿では、ID・アクセス管理状況を可視化するためのアプローチと、その過程で直面しやすい障壁を整理しています。

可視化の第一歩―現状把握

ID・アクセス管理状況の可視化は、まずIDを管理しているシステムの棚卸しから始まります（図表1）。業務システム、基盤系システム、クラウドサービスなど関連するシステムやサービスを横断的に洗い出し、それぞれに存在するアカウント種別（一般ユーザー、特権ユーザーなど）を整理していきます。仕組みとしては単純な作業に聞こえますが、実際にはここが最初の大きな壁となります。

図表1：ID・アクセス管理状況可視化のアプローチ

全ての資産を棚卸しするのは非現実的なため、いくつかの軸を設けて実施します。まずはビジネスへの影響が大きいシステムに優先的に対応し、顧客情報や設計情報など、機密情報が含まれるシステムへの侵入経路を確認して、その経路で処理される認証を特定します。特に注意したいのは、Single Sign On（SSO）非対応かつビジネスへの影響が大きいシステムです。こうしたシステムがIT・セキュリティ部門が定めたルールとは異なるルール下で運用されている場合、不要なIDや過剰に権限を持つIDが存在している可能性が高いと言えます。次に優先するのは、認証の中核を担う統合認証基盤です。その理由は明確で、統合認証基盤上のIDが侵害されると、横展開を許し、さらに被害が拡大するからです。

統合認証基盤は、その名の通り多くの企業において、複数の業務システムやクラウドサービスと連携するID・アクセス管理の中核を担っているため、その影響範囲は極めて大きくなります。一方で、業務影響や現行構成を正確に把握していないといった理由から、問題を認識しつつも十分な見直しが行われないケースは少なくありません。管理者権限グループに役割変更後も従来のユーザーアカウントが残り続けている、用途不明のサービスアカウントが高権限を保持している、人事データベースと未連携のまま運用されることで実態とIDの整合性が取れていないといった状態を放置したままでは、後続のID統合やツール導入の前提そのものが不安定となります。

棚卸しの段階ではIDやアクセス権の妥当性が判断できないため、ここでのアカウント種別の整理は機械的に実施しても問題ありません。しかしその際は、図表2に示すIDの管理構成要素を意識して整理する必要があります。いくつもの組み合わせがあるため複雑性が増すのも障壁の1つですが、攻撃者から見た際にこの組み合わせのいくつかが穴になり得ることや、後続のフェーズで対策を行う際のインプット要素になることから、重要な作業となります。
加えて、運用に関するヒアリングも重要な要素です。運用状況をこの段階で明らかにすることで不要IDの残存や過剰権限付与の改善ポイントも見えてきます。

図表2：IDの管理構成要素とその複雑性

アカウントの健全性評価―明確な判断基準の欠如にどう対応するか

現状把握の次に行うのが、アカウント健全性の評価です。ここでの障壁はシステム上の設定と業務実態の乖離に尽きます。これはいくつかの形で現れてきます。

1つ目は、ユーザーのアクティブ／非アクティブの判断です。判断にあたっては人事データを正とすべきですが、必ずしも人事データとユーザー名が完全に紐づくとは限らないため、関連部門への確認など、手動による対処が必要になります。

2つ目は、オーナーが不明なアカウントの存在です。運用・保守の業務フローの中でリクエストに応じてID・アクセスの追加・変更・削除が必要になっても、オーナーが不明のアカウントはどのような影響が生じるかが判断できないため、手を入れづらいのが実情です。

3つ目は、実際の業務に対して本当に必要最小限の権限が割り当てられているか判断できない点です。ID・アクセス権の払い出しのタイミングで何らかのレビューが入るのは一般的ですが、その際IT・セキュリティ部門はシステムやセキュリティの観点からしか判断できません。一方、実務を担うビジネス部門では、割り当てられた権限で業務が円滑に行えるかが肝心であり、業務内容は判断できてもその権限が最小権限になっているかどうかまではあまり慎重に見ない場合が多いでしょう。

これらの障壁に対する打ち手の1つが、システム横断的なID・アクセスのレビューです。類似したユーザー名やユーザーロールを確認し、それらに割り当てられている権限も横串でレビューをすることで、過剰な部分や実態に即していないところが見えてきます。レビューに際しては、システムやセキュリティの観点だけでなく、そのシステムを利用する部門・ユーザー・業務内容、それらに応じた権限が一定の基準に基づいて割り当てられているかを確認していく必要がありますが、その際、是正を行うことを念頭に、いくつかの厳格なルールを定めておくことも大事です。例えば、カスタマイズされたロールの定義を避けることや、親子関係になっているロールがある場合は同一ユーザーに両方を割り当てないこと、2つ以上のシステム間に同一と思われるユーザーが存在する場合はそのうちの最小権限に合わせることなどが挙げられます。この作業を通じて、健全性の評価を行うとともに、共通で適用可能なロール、権限の設計、例外対応を排除したシンプルな運用の設計のインプットができ上がります。

ここまでの作業を終えると、属人化した運用や例外対応が常態化している実態が浮き彫りになります。例えば、「統合認証基盤上ではIDが無効化されているが、あるSaaS上では有効化された状態で残っている」「本来の業務には必要ない権限を付与している。もしくは、適切な権限を持つグループが存在せず、やむを得ず本来より強い権限を持つグループに割り当てている」「部門独自の管理方法やルールに基づいたID・アクセス権の付与が行われている」などの状態が可視化されます。

可視化のソリューションと費用対効果

ID・アクセス管理は、自社にとってセキュリティ上重要な防御ポイントであると同時に、社員や外部委託先、顧客がセキュアかつ不自由なく必要なリソースにアクセスしたり、サービスを提供・享受したりするためにも不可欠です。ID・アクセス管理状況の可視化は、一定の工数を要し、短期的には成果が見えにくい取り組みと言えます。しかし、初期の段階で課題や改善余地を明らかにし、対応可能な部分から着実に是正を進めておくことで、将来的なIDaaS（Identity as a Service：一元的なIDアクセス管理を提供するクラウドサービス）やIGA（Identity Governance and Administration：IDガバナンス・管理）などのツール導入時の要件漏れの防止、設計精度向上、導入後の運用工数削減に寄与します。こうした作業は多くの関係者を巻き込む必要があり、複雑かつ多大な工数を要し、長期間に及ぶことが少なくありません。そのため、ツールや外部の支援を活用するアプローチが現実的です。PwCコンサルティングでは、ツールを用いた効率的かつシステム横断的なID・アクセス権のレビューや、統合認証基盤のアセスメントサービスを提供しています。

可視化は地道な工程ではありますが、その積み重ねがビジネスの成果とセキュリティのバランスを両立させるID・アクセス管理につながります（図表3）。まさに、ID・アクセス管理全体の未来を切り拓くための、最も重要で意義深いチャレンジと言えるでしょう。