こんばんは、北野です。

東京は雨が降り出しましたが、今週末はいかがお過ごしでしたか？

さてヤフーさんから2200万人分のIDが盗まれたわけですが。。。LAC・西本さんの記事 がアップされていますね。いろいろ重要なポイントを指摘されていますが、特に管理者権限について考えさせられますね。

標的型攻撃で大きな被害が出たケースを見ると、侵入された後、サーバなどの管理者権限を悪用されているケースが多いようです。OSの場合もあるでしょうし、ファイルサーバや、データベース管理者の場合もあるのではないでしょうか。いずれにしても

１）なるべく必要最低限の場合にしか管理者権限を使わない。
２）認証強度と管理に十分配慮が必要。
３）利用状況を監視し、履歴が確認できる状態にする。

といった留意が必要です。特にrootやAdministrator、DBA（オラクルならsys）などは個人に割り当てられない共有のIDとして運用せざるをえませんから、特に注意が必要なわけです。当然、このままでは誰が使ったのかわからなくなりますから、「今rootを使っているのは誰か」をわかるようなしくみを何らかの形で構築しておく必要があるでしょう。

可能な限りは管理者権限を「一時貸し出し」にするほうが望ましいですね。UNIX系のrootであれば、rootのパスワードを教えて使わせるのではなく、必要なときだけ「su」する権限を割り当てて利用し、不要になったら（例えばroot権限が必要なメンテナンス作業が終わったら）権限を削除してしまう、というような運用です。ちょっとめんどうですが、

１）使いたい人が申請
２）管理者が承認（承認者が複数いても良い）
３）使いたい人にsuする権限を付与
４）作業実施
５）終了後、suする権限を削除

といった段取りにするわけです。これは通常アイデンティティ管理製品を使うとシステム化できますから、慣れれば結構簡単に運用ができます。しかもこれをシステム化すると、誰がいつ、どういう理由で管理者権限を使ったのか、誰がOKしたのか」といった情報が自動的に記録されますから、後日問題が起きた際に確認できますし、定期的にシステム監査やセキュリティ監査を行っている場合には証跡としても利用できるでしょう。

さて、こういう管理をすると困るのが突発的な障害などで、緊急に管理者権限が必要な場合です。また、上記の運用では通用せず、どうしても共有IDとしてのrootやAdministratorを使わなければならない状況が発生することもあり得ます。こうした「共有管理者IDの緊急一時貸し出し」の問題は、オープン系システムでは課題の１つで、一部企業では、内製（手作り）で「一時貸し出し用システム」を構築しているところもあります。このしくみもあらかじめシステム化して準備しておくことができるので、検討しておくと良いと思います。

管理者権限については、せっかくなので、明日以降また続きを書きたいと思います。