リモートアクセス管理とは、企業内ネットワークに接続する社外からのアクセスを管理することですが、ただ単に権限をコントロールするだけでなく、アクセスの把握・アクセスの事前、事後のチェックないし検証など、多くの措置・施策・ルールを必要とする業務です。
リモートアクセス管理は、十分に行うと不正なアクセスによるセキュリティに対する脅威を少なくできることが最大のメリットですが、一旦起こってしまったセキュリティインシデントの原因究明にもメリットがあるとされています。
では、企業で十分にリモートアクセス管理を行うには何を具体的に実行したらよいのか、踏まえるべきポイントや施策の内容も併せてご紹介しますので、御社のリモートアクセス管理の問題点の検討にご活用ください。
リモートアクセス管理とは
リモートアクセス管理とは、企業内ネットワークに接続する社外からのアクセスを管理することです。
適切に行うことができないとセキュリティに対する脅威をもたらすので、十分な施策が必要ですが、リモートアクセス管理は、以下のような要素に大別されています。
アクセス制御
リモートアクセスの1つの要素がアクセス制御です。アクセス制御とは、アクセス権のコントロールのことをいいますが、最小限・不要なアクセスはそもそも設定しないこと、IDの管理や、パスワードの適切な設定がポイントです。
以下のようなルールと、これらのルールに即した運用が必要になります。また、ルールの文書化にも注意点があります。ポイントと、これに対応する施策およびルールをリスト化しましたので、ご確認ください。
- アクセス権は最小限にすること・不要なアクセス権は設定しないこと
-
- 適切なユーザーに必要最小限のアクセス権限を与え、リモートからのアクセスは最小限に制限すること。
- 組織内の移動や業務の変更が発生した場合は部署等のグループ内でアクセス権限の見直しを必須とする。
- 情報システムによって自動的に初期設定されるアクセス権は削除・あるいは変更する。
- アクセス権の設定は事前に管理者・上長に承認を必要とする。
- 管理者においてはアクセス権は人事異動・定期的な在籍確認の都度必ず見直し、権限を持つべきでない者は即削除。
- 異動時以外にも定期的に見直して、必要以上のアクセス権限が与えられていないか、グループ内・管理者において確認する。
- ID管理・パスワードの設定
-
- 共有IDを禁止、不要なIDは即削除する。適切なログイン権限と、IDが結びついているか、定期的にチェック。
- パスワードには桁数・文字列に「8文字・3種以上」などの制限をつける。桁数を増やして定期的に変更する。
- アクセス権限の管理についてのルールの注意点
-
- 原則として禁止、明確に許可があったときのみ、ある行為が許容されるような強い規則にする。
- 常に守るべき規則と、ある条件下で適用され守るべき規則の区別を明確にする。
ログの収集・分析
アクセスログの収集・分析は、アクセス制御がアクセスを「事前」にブロックする対策であるのに対して「事後」の分析材料として、アクセス権限の検証・インシデント・リスク発生の予防のために行います。
また、アクセスログだけではなく、イベントログ・セキュリティログなどの他の種類のログについてもあわせて収集・分析することにより、アクセスが行われた状況や、インシデントの原因分析などに役立てます。
弊社では、簡単導入・低コスト・シンプル操作のクラウド型PCログ管理サービス「セキュログ」をご提供しております。30日間の無料トライアルも実施中ですので併せてご検討ください。
ログ収集・分析等の利用にあたっては、以下のようなポイントを踏まえて行いましょう。
- ログ収集のポイント
-
- 必要な情報、アクセス時刻や継続時間、接続先ネットワークなどの履歴をあわせて保存すること。
- サーバーやクライアントの時刻は NTPを使用して標準時に常に合わせておくこと。
- ログにはファイアウォールやIDS等のログ、ルーターなどのログ、サーバーのログ、クライアントのログなど様々なログがあるので、どの種類のログも参照できるようにし、相関関係が分析しやすく整理されていることが望ましい。
- ログの利用のポイント
-
- 量が膨大になりやすいので、必要な情報のみを記録し分析する。例えばログの保管期間は、種類ごとに設定し、必要な情報に絞り込むなどの手法が取られる。
- ログを整理し分析するソフトウェアなどを活用し、見やすい形にしておく。そうでないと分析などの利用に支障がでるため。
- 取得ログおよびその解析情報は、改ざんされると正確にセキュリティ状況が見えなくなることや悪用の危険があることから、特に厳しいアクセス制限が必要。
情報セキュリティポリシー内での取り決め
その他、自社のセキュリティポリシーの中で、次のようなことを取り決めておきましょう。以下は、利用者の機器が、会社支給のものではないものが含まれていることを前提とした例ですが、どの会社におけるポリシーでも参考になる内容なので紹介します。
- 管理者の遵守すべきポリシーの例
- リモートアクセス管理者は利用者に対し以下の事項を遵守させなければならない。
- 接続用ユーザ名やパスワード等の秘守情報を漏洩しないこと、またサービス利用者は申請者本人のみであること。
- ガイドラインに準じて、リモートアクセスする利用者側機器のセキュリティ管理を行うこと。
- 利用者の遵守すべきポリシーの例
- リモートアクセスの利用者は、以下の事項を遵守しなけれればならない。
- リモートアクセスする利用者側機器のトラブルには各自で対処すること。
- ネットワーク利用内規に準じた利用のみを行うこと。他の内容での利用は禁止する。
- 届出済みのリモートVPN接続する機器に変更があった場合には、リモートアクセス管理者に速やかに届け出ること。
- その他、リモートアクセス管理者が別途マニュアルで定めたリモートアクセス利用方法に従って利用すること
リモートアクセス管理をすることによるメリット
多くのポイントや、施策・ルールをご紹介してきましたが、このようにリモートアクセス管理には手間と時間をかけることを要します。しかし、手間と時間をかけた分だけ、以下のようなメリットがあります。
誰がどの情報にアクセスするかを把握できる
必要な情報に必要なメンバーがアクセスできていること、必要のないメンバーはアクセスできないことが確認できるようになり、アクセス権のコントロールが適切にできているか検証がしやすくなります。
また、権限の追加の際にも、その必要性を検討できて、不必要な権限を増やすおそれが少なくなり、リスクコントロールがしやすくなります。
セキュリティリスクを減らせることが最大のメリットですが、あらかじめ対策しておくことにより、迅速に業務を行える点でもメリットが大きいのです。
サイバー攻撃の原因究明の材料にできる
大量のログは、不正アクセス・サイバー攻撃など、インシデントが発生したときの分析対象・検証材料になります。インシデントの解決のほか、被害の拡大の予防にも役に立てられます。アクセスログ・イベントログなど、多種類のログから、何が要因で被害が拡大、または抑えられたのかも含め、きめ細かい原因究明ができます。
内部不正もセキュリティの脅威の上位にあげられるものの1つですが、アクセスログを中心にその他のログも含めてトレースすると原因究明がしやすくなります。
ただし、ログは大量であること、また分析は多要素を一気に分析することが必要になります。そこで、ログの分析ツールによる自動の分析などを利用し、より迅速なインシデントの解決に役立てます。
リモートアクセス管理の手順
最後に、簡単にリモートアクセス管理の手順に触れます。台帳等を使ってアクセス権全体の棚卸を行い、管理対象の漏れや欠けがないことを確認します。また、コントロール手段が、どのアクセス権も確実にカバーしているか、という観点からの棚卸も必要です。
アクセス権の設定にはツールを使って自動で行う方法、手動で行う方法がありますが、これらは双方変更履歴をすべてとる必要があります。ログの保存には各機器における保存方法がありますが、ログデータは抽出し、DB化して、ツールで使えるようにしておきます。
ルールは文書化を行いますが、すでにある情報セキュリティのルールに足りないところを加筆、修正することが必要となります。施行には経営陣からのメッセージなどもつけて周知徹底を行い、教育研修プログラムでも理解を促し、従業員一人一人が意識を高くし遵守できるようにすることも管理の一部として必要です。
まとめ
リモートアクセス管理は、リモートワークの増加で必要性が大きくなっています。外部からのアクセスを管理する方法ですので、厳格に行うことや、必要最小限にアクセス権を絞ることのほか、ログによる記録・分析の徹底も求められます。 リモートアクセスの管理を行うことにより、経営課題であるセキュリティ体制が向上し、インシデントの予防・解決につながる大きなメリットがある他、セキュリティに関する事務処理の効率化・1人1人の意識向上にもつながりますので、ぜひ徹底して取り組んでみましょう。
弊社では、従業員のPC操作をはじめとするログを取得できるサービス「セキュログ」をご提供しております。情報セキュリティ上必要十分な機能だけを備えることで、高いコストパフォーマンスを実現しています。
30日間の無料トライアルを実施中ですので、まずはお気軽に使用感をお試しください!
