TOPセキュリティ > 効果的なアクセス制御とは(上)

セキュリティ

効果的なアクセス制御とは(上)

2019/09/09

James A. Martin CSO

 認証と認可がなければ、データセキュリティもないとCrowley氏は言い切る。また、米SAP National Security ServicesのTed Wagner最高情報セキュリティ責任者(CISO)は次のように話す。「どのデータ流出でも、真っ先に調査対象となるポリシーの1つがアクセス制御ポリシーだ。エンドユーザーが適切に防御していなかった機密データが意図せず流出した場合であれ、公開Webサーバーのソフトウエアに残っていた脆弱性を利用されて機密データが流出したEquifaxのような事例であれ、アクセス制御は重要な構成要素だ。導入や維持管理が適切になされていなければ、悲惨な結果をもたらしかねない」

 社員がインターネットに接続する企業、つまり現代のいかなる企業も、何らかのレベルのアクセス制御が欠かせない。「社員がオフィス以外で仕事を行い、会社のデータリソースやサービスに社外からアクセスせざるを得ない企業には、アクセス制御は特に必要だ」と、米サイバーセキュリティ企業empowのAvi Chesla最高経営責任者(CEO)は述べている。

 また、アクセス権限がない人にとって価値があるデータを保持している企業には、強固なアクセス制御が必要だとCrowley氏は言う。

暗号通貨マイニングと情報収集

 アクセス情報を不正に収集してダークウエブで販売するという問題も拡大しつつある。例えば、米Carbon Blackの最近のレポートによると、暗号通貨のマイニングを行うボットネット「Smominru」は、マイニングの機能だけでなく、内部IPアドレス、ドメイン情報、ユーザー名、パスワードなど、機密性の高い情報を収集する機能も持つ。Carbon Blackは、ボットネットの黒幕がこうした情報をアクセス情報の闇市場で販売した可能性が高いと考えている。その購入者がリモートアクセスで攻撃を仕掛けていた可能性もある。

 レポートでは、こうした闇市場について、「サイバー犯罪者がシステムや企業へのアクセス情報を手軽に購入できる場になっている」と指摘し、「こうしたシステムを、大規模な攻撃の際にゾンビとして利用したり、標的型攻撃の糸口として利用したりできる」と説明している。アクセス情報の闇市場の1つであるUltimate Anonymity Services(UAS)では、3万5000のクレデンシャルを扱っている。平均販売価格はクレデンシャル1件あたり6.75ドルだ。

 サイバー犯罪者によるアクセス情報の収集や闇市場での販売は今後増えていくとCarbon Blackは見る。儲けが非常に大きいからだ。アクセス情報が流出したユーザーが、必要以上に高い権限を持っている場合、企業のリスクは高まる。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ