システムのセキュリティーを診断するときの注意点(3)

呉井嬢次(Johji Kurei) 2005-12-26 22:47:00

 一般に社内システムの利用者は事前に登録されている。しかし不明なアカウント、不要になったアカウントを放置すると、不正にシステムを利用される危険性が発生する。これを防止するために、セキュリティー診断では、ユーザー管理のチェックは欠かせない。

まず診断対象となるパスワードファイルに注目

 システムのユーザーを管理するポイントは、ユーザーのアカウントと対になっているパスワードに注目する。そこで、セキュリティ診断の対象となるパスワードを5つに分類して考えるといい。以下に各パスワードの特徴を簡単に説明する。

・ログイン時に用いるパスワード(システム管理者、一般ユーザー)
 ログインして利用するユーザーは、パスワードファイルに登録される。ユーザー管理の状況は、パスワードファイルを調べることで確認できる。通常パスワードファイルは、一つのファイルに格納されるが、シャドウパスワード、秘密分散方式を使ったシステムでは関連するファイルが複数存在することがある。

・システム管理者のパスワード(システム管理者、データベース管理者、プリンター制御用)
 小規模なネットワーク環境でシステムを使っている場合、データベース管理、プリンター管理などのシステムの管理者権限をrootが兼ねる。しかし、セキュリティを意識した商用利用では、業務の分離、セキュリティ確保の点から、別ユーザーに権限を分けている。

・ファイル共有、リモート接続用のパスワード
 ユーザーが利用する共有サービスのパスワードは、サービスを提供するソフトウエアによって一括管理されている。保守を行っているX社では、保守用リモート接続用に、勝手にIDが作っているケースもある。電話線接続であっても、外部からシステムを利用するユーザー管理には十分に注意が必要だ。

・個別アプリケーションで使われるパスワード(暗号ソフト、バックアップ、ウェブサービス利用アカウント)
 利用者自身がパスワードファイルを所有するために、システム管理者はパスワードを格納したファイルの場所を確認できないことがある。また、暗号ソフトウエアによっては、利用者のパスワードを暗号化したファイル内に格納するタイプもある。アプリケーション毎に利用者を登録する場合、ユーザー管理はアプリケーション単位で考えなければならない。

・外部ネットワークに接続するためのパスワード(プロバイダー接続用、電子商取引用)
 システムのユーザー管理という点では、パスワードが外部システムと同一または推測されるパスワードで登録、設定されていないか確認する。セキュリティ診断対象のシステム上には格納されていないため、利用者にはインタビューもしくは質問票による回答を行う。

 これらのパスワードを利用するユーザーをチェックすれば、システム全体のユーザー管理が把握できる。

ユーザー管理状況を診断するポイント

 5つに分類したパスワードを持つユーザー管理状況は、次のようなチェックリストを作って確認することができる。

□ 不要になったアカウントが残っている(退職者、一時的なアカウントなど)
□ 利用者、目的が特定できないアカウントが存在している
□ 一般ユーザーに不必要なシステム管理者権限を与えている
□ ネットワーク上のサービスを提供するアカウントにコマンドが実行できる環境を提供している
□ システム管理者が把握していないアカウントがある
□ 一人の利用者が一般ユーザーのアカウントを複数所有している
□ 複数の利用者がアカウントとパスワードを共有して利用している
□ 不適当な権限の割り当てがある(ユーザー権限に関する一覧表が存在しない)
□ 個々のアカウントに規則性がない
□ アカウントの発行、停止、削除の書類がない

最後にツールを上手に使いこなそう

 安易なパスワードを見つけ出す方法として、ツールを活用する方法がある。例えば、Cain & Abelというツールは、ワンタイムパスワードに対応している。ワンタイムパスワードを使っているシステムでも安全とは限らない。ランダムに表示される予定の値が画面に次々と表示されるのを見れば、ツールもまた進化していることに驚かされる。

Cain & Abel  http://www.oxid.it/

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?