Ponemon Institutesによる2022年の特権ユーザー脅威に関するレポートによると、特権ユーザーを狙った攻撃は2020年に44%急増し、攻撃1件あたりのコストは1,538万ドルに達しました。特権ユーザー攻撃がもたらす甚大な被害により、悪意のある特権ユーザーによるセキュリティ脅威と、彼らが組織に及ぼす可能性のある脅威を回避することが、これまで以上に重要になっています。
特権ユーザーとは誰ですか?
特権ユーザーとは、企業の機密情報へのアクセス権限を持つ従業員を指します。特権ユーザーとなる条件を理解することは、組織が悪意のある特権ユーザー攻撃を監視し、軽減するのに役立ちます。多くの場合、特権ユーザーには企業のソースコード、ネットワーク、その他の技術分野へのより高いアクセス権が付与されます。こうした追加の権限によって、組織内の機密データが脆弱な状態に陥ることになります。
一部の従業員に特権アクセスを付与することは、組織の運営を成功させる上で重要ですが、これらの特権を定義し、ユーザーがアクセスを許可されていない領域に十分な制限を設けるように注意する必要があります。
特権ユーザー攻撃を理解する
特権ユーザーによる攻撃は、一般的に組織の脆弱性、つまりシステムの設定ミス、バグ、あるいは無制限のアクセス制御といった脆弱性を悪用します。標準ユーザーは機密ファイルやシステムデータベースへのアクセスが制限されていますが、特権ユーザーはこれらの機密リソースへの特権アクセスに加えて、はるかに広範なアクセス権限を持つ場合があります。
特権ユーザーは、目的に応じて、より多くのシステムの制御権を取得したり、管理者権限やルート権限を取得したりすることで、環境全体を完全に制御できるようになります。こうすることで、低レベルのユーザーアカウントを制御し、権限を拡大することが容易になります。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
特権ユーザーの脅威が現れる方法
1. 資格情報の悪用
ユーザー名やパスワードなどの認証情報は、特権攻撃を開始するための一般的な手段です。
この場合、攻撃者はシステム管理者のアカウントが機密データやシステムファイルに対してより高い権限を持っているため、その認証情報を盗み出そうとする可能性があります。悪意のある特権ユーザーが認証情報を取得すれば、それを悪用するのは時間の問題です。
2. 特権の脆弱性を悪用する
脆弱性とは、悪意のある攻撃に悪用される可能性のあるコード、設計、実装、または構成上の欠陥のことです。言い換えれば、特権ユーザーが悪用できる脆弱性は、オペレーティングシステム、ネットワークプロトコル、アプリ、オンラインアプリ、インフラストラクチャなど、多岐にわたるものに影響を与える可能性があります。
脆弱性は、特権ユーザー攻撃が成功することを保証するものではなく、リスクの存在を示すだけです。
3. 不適切なシステム構成
悪用される可能性のある脆弱性のもう 1 つのタイプは、構成の問題です。
特権ユーザーが悪用できる設定の問題の多くは、セキュリティ設定の不備に起因します。システム設定が不備な例としては、システム管理者のパスワードをデフォルトのまま使用すること、認証されていないクラウドストレージをインターネットに公開すること、新しくインストールしたソフトウェアをデフォルトのセキュリティ設定のままにしておくことなどが挙げられます。
4. マルウェア
ルートアクセスとウイルスやマルウェアに関する高度な知識を持つ特権を持つ攻撃者は、企業のシステム構成におけるセキュリティ上の抜け穴を悪用する可能性もあります。さらに、特権ユーザーはシステム環境へのルートアクセス権限を持っているため、トロイの木馬やランサムウェアなどのマルウェアを使用するのが容易になる可能性があります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
企業が特権ユーザー攻撃を阻止する方法
企業組織が特権ユーザー攻撃の発生を防止または軽減する方法はいくつかあります。これらの予防策はどの企業でも活用できますが、軽減策は攻撃の種類によって異なります。
1. 最小権限アクセス
多くの組織は、従業員に業務上必要な範囲を超える特権アクセスを許可するという過ちを犯しています。残念ながら、この慣行は、特権ユーザーによる悪意のある攻撃を助長する脆弱性を生み出します。
このような状況を回避する方法の一つは、最小権限アクセスの原則を採用することです。この原則は、権限を持つユーザーのアクセスを、その役割を遂行するために必要なデータ、システム、アプリケーションのみに制限することをサポートする組織のセキュリティプラクティスです。
そのため、これを実践するには、組織内のすべての役割と必要な権限を、社内のトップセキュリティ専門家が監査する必要があります。これにより、ユーザーに不当なアクセスを許可する状況を防ぐことができます。重要な監査対象領域には、システム管理者、ドメイン管理者、データベース管理者、給与管理者、ルートユーザーが含まれます。
2. セキュリティポリシーは特権ユーザーを導くべきである
特権ユーザーのセキュリティポリシーを整備し、特権ユーザーの権限と権限外の権限を明確に規定してください。このポリシーには、ユーザーがセキュリティポリシーに違反した場合にどのような対応をすべきか、また、その影響についても規定する必要があります。また、特権ユーザーが退職した場合や社内での役割が変更になった場合にどのような対応をすべきかについても規定する必要があります。
ほとんどの組織におけるベストプラクティスは、ユーザーが退職する前に付与されているすべてのセキュリティ権限を解除することです。特権ユーザーの役割が変更される場合は、新しい役割に新しい権限を付与する前に、以前のユーザー権限を取り消し、以前の権限がどのように管理されていたかを監査してください。
3. 定期的なセキュリティ監視を実施する
悪意のある特権ユーザー攻撃の脅威を軽減するもう一つの方法は、すべての特権ユーザーが職務遂行においてどのようにアクセス権限を使用しているかを定期的に監視するセキュリティ監視チームを編成することです。このセキュリティ監視は、トップレベルのセキュリティ専門家チームが手動で行うことも、セキュリティ観測ツールを使用して自動化することもできます。
さらに、すべての従業員がこの定期的なセキュリティ監視プロセスについて認識していることを確認しますが、悪意のある特権ユーザーが痕跡を隠してしまう状況を回避するために、特定の日付は知らせないようにします。
権限を徹底的に監視するには、ユーザーが読み取り、破棄、作成、変更の各アクセスをどのように管理しているかに注目してください。アクセスに疑わしい兆候がある場合は、アクセスを取り消すか、多要素認証システムに紐付けて、脆弱性の顕在化を未然に防ぎましょう。
4. 多要素認証を実装する
組織内で悪意のある特権ユーザーによる攻撃の発生を阻止するもう一つの方法は、多要素認証を導入することです。これにより、一部のユーザー権限では、アクセスを許可する前に認証が必要になります。これはワークフローの障害となる可能性がありますが、重要なシステムアクセスが悪意のある特権ユーザーの手に渡ってしまうよりはましです。
