クラウドID管理のリスクと課題「特権アカウントの概要」

2021年2月16日

アカウントの種類

①非特権アカウント

最小権限の原則により、ほとんどのユーザーは90%以上の時間、非特権アカウントで操作しています。

最小特権アカウント(LUA:Least-privileged User Account)とも呼ばれる非特権アカウントは、次の2つのタイプで構成されます。

標準ユーザーアカウント

標準ユーザーアカウントは、「インターネット接続」「オフィスアプリケーション」などの通常業務で最低限度必要なアクセスが許可されます。

ロールベースアクセスポリシーによって定義される「限られたリソースへのアクセス」など、制限された一部特権も保有します。

ゲストユーザーアカウント

ゲストユーザーアカウントは、通常、「インターネット接続」と「基本的なアプリケーションアクセス」のみに制限されているため、標準ユーザーアカウントよりも、さらに特権が少なくなります。

②特権アカウント

特権アカウントは、「スーパーユーザーアカウント」とも呼ばれる特別な種類のアカウントです。

管理用アカウントとして「非特権アカウントの制限を超えてのアクセス」と「最大級の権限」が付与されます。

「特権アカウント」とは

概要

特権アカウント(スーパーユーザーアカウント)は、主に専門のITスタッフによる管理に使用され、コマンドを実行してシステムを変更するためなどに使用されます。

実質的に無制限の権限を有しています。

OS別特権アカウント(スーパーユーザーアカウント)

UNIX(Linux)

UNIX(Linux)でのスーパーユーザーアカウントは「root」と呼ばれます。

自己システムを破壊できるほどの最大権限を有しています。

Windows

Windowsでのスーパーユーザーアカウントは「Administrator」と呼ばれます。

Windowsシステムでは、各Windowsコンピューターに少なくとも1つの管理者アカウントがあります。

ユーザーは管理者アカウントを使用することで、「ソフトウェアインストール」や「ローカル構成設定」などの操作を実行できます。

権限

・「ファイル」「ディレクトリ」「リソース」への無制限アクセス
・完全な「読み取り権限」「書き込み権限」「実行権限」
・ソフトウェアインストール
・完全なシステム変更権限
・ネットワーク全体に体系的な変更をレンダリングする権限 など

リスク

特権アカウントは、非特権アカウントよりも大幅に強力な権限による操作が許可されているため、非常に大きなリスクをもたらす危険性があります。

「操作ミス」「悪意のある操作」などが発生した場合、「システム完全停止」「機密情報流出」などにより、企業存続にまで影響を与える可能性があります。

そのため、特権アカウント管理は、ID管理の中でも最も重点的に管理しなければならない対象とされています。

「特権アカウント」の例

ローカル管理アカウント(システムアカウント)

ローカル管理アカウント(システムアカウント)は、ローカルホスト(インスタンス)のみへの管理アクセスが許可される非個人アカウントです。

主として、メンテナンスを実行するためにITスタッフによって日常的に使用されます。

ドメイン管理アカウント

ドメイン管理アカウントは、ドメイン内のすべてのサーバに対する特権的管理アクセスが許可されます。

ネットワーク全体で広範囲なアクセスを提供します。

緊急アカウント

緊急アカウントは、緊急時に、特権のないユーザーに対して安全なシステムへの管理アクセスを提供します。

「Firecall」または「Breakglass」アカウントと呼ばれることもあります。

サービスアカウント

サービスアカウントは、アプリケーション(サービス)がOSと対話するために使用する特権アカウントです。

アプリケーションアカウント

アプリケーションアカウントは、アプリケーションが「データベースアクセス」「バッチジョブ実行」「スクリプト実行」「他アプリケーションへのアクセス」などを実行するために使用するアカウントです。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト