情報システムの特権管理に関する問題
【H21春SC午後1問4】
- 上場企業情報システム部のサーバ(80台)
- 複数のOS、DBMS、APが稼動
- それぞれのOS、DBMS、APにシステム管理特権が付与された特権IDが一つずつ登録されている
- システム管理者10名ですべての特権IDとパスワードを共用している
- セキュリティ診断の結果、情報システムの特権ID管理が十分でない(内部者の不正使用を防止及び発見する仕組みが構築されていない)との指摘をうけたため、改善することとした。
1.特権ID管理の要件
上場企業を対象に、内部統制の評価及び報告を求める法律
⇒ 金融商品取引法
特権IDの共用
⇒ 改善が必要。ログからはだれが不正使用を行ったのか特定できない。
内部不正を発見する仕組み
- 特権IDの使用目的、使用者、使用する特権IDを記入した特権ID利用申請書を使用日ごとに課長に提出し、事前に申請してもらう運用にする。
- ログのレビューを月に1回実施し、不正な使用がなかったことを確認する。
2.特権ID管理の運用
UNIXでログを収集、転送する方式
⇒ syslog
あるサーバのOSで特権IDの利用申請があったのに、ログが残っていないものがあった。確認したところ、ある従業員が誤ってシステムのリストアの際にログファイルを上書きしてしまったとのこと。
ログを保護するための対策
⇒ ログサーバの特権ID使用者とほかのサーバの特権ID使用者を分離(ログサーバを購入)
不正の可能性が考えられる特権IDの使用が発見されたときだけアラートを発生させ、電子メールで通知する仕組みをログサーバに導入
【アラートの発生条件】
- ひとつのサーバで1ヶ月ログインしていない特権IDでログインされたとき(普段使わないIDの使用)
- 全サーバ累計で一人が1日で10回ログインを行ったとき(頻繁な使用)
- ログアウト時にログインからの時間が2時間を超えているとき(長時間の使用)
- 特権IDの追加が行われたとき
- システム設定が変更されたとき
- DBMSに対してSQLが実行されたとき
特権IDをもっていない人が特権IDを使用しようとする行為があったときのアラート
⇒ 特権IDの認証が失敗したとき
アラートを設定していることはシステム管理者に周知するが、具体的なアラートの発生条件は伝えない
- システム管理者による不正行為の実行を抑止するために周知する。
- アラートの発生条件を回避しようとする行為を防止するため、アラートが発生しないような不正使用方法を発見されないようにするために、具体的なアラートの発生条件は伝えない。
DBには財務に関わる重要なデータが管理されている。財務報告の信頼性を確保するために、
特権IDに関するDBのログの個々の記録について確認する内容
- 特権IDでDBのデータを変更した処理のログに対応する特権ID利用申請書が提出されていること
- DBのデータを変更した処理が、すべて業務目的に基づいていること
立証しようとしていること