はじめに
こんにちは、Juna1013です。
今回は私が活動していた生徒会にて導入していた特権アクセス管理(PAM)についてまとめていこうと思います。
特権アクセス管理(PAM)とは?
特権アクセス管理(PAM:Privileged Access Management)とは、情報システムにおいて非常に強い権限を持つID(特権ID、特権アカウント)を、不正な利用から守るためのセキュリティ対策のことです。特権ID管理とも呼ばれます。
特権IDとは?
システムやアプリケーション、データベースなどの設定変更、起動・停止、データへのアクセスなど、システム全体に大きな影響を与える操作ができる最高レベルの権限を持つIDです。一般的に「Administrator」や「root」などと呼ばれます。
なぜ特権アクセス管理が必要か?
特権IDは非常に強力な権限を持つため、もし攻撃者に悪用されたり、内部の人間が誤って操作したりすれば、情報漏洩、データ改ざん、システムの停止など、企業にとって甚大な被害につながる可能性があります。近年、サイバー攻撃が高度化し、内部不正も増加しているため、特権IDの適切な管理が不可欠になっています。
特権アクセス管理の主な目的と対策
PAMは主に以下の目的のために様々な対策を実施します。
- 最小特権の原則の適用
- 特権IDの厳格な管理
- 利用状況の可視化
- ワークフローによる統制
特権アクセス管理は、組織の重要なシステムとデータを保護し、サイバーリスクを低減するための、現代の企業にとって非常に重要なセキュリティ対策の1つです。
生徒会で導入してみた!
ざっくりと一般企業におけるPAMについて説明したため、続いては実際に生徒会で導入した事例について説明していきたいと思います。
生徒会におけるPAMとは、生徒会活動におい役員が持つ一般の学生にはない特別な権限や情報へのアクセスを適切に管理し、不正利用や誤用を防ぐための考え方や仕組みを指します。
導入ケース
導入理由
デジタル管理の担当者が導入し始め、理由は「生徒会業務の効率化」だった記憶です(このまま手段と理由が逆転しなければな…)。
特権IDの保持者
管理権限を持っていたのは以下のメンバーです。
- デジタル担当の責任者
- 会長・副会長
- 部署の責任者
- デジタル担当の部員
なぜ「会長」よりも「デジタル担当の責任者」が上に書かれているのか、それは後ほど分かります。
導入事例
大きく分けて以下の3点の管理が実施されました。
①クラウドへのアクセス権限
うちではクラウドとしてGoogleDriveを使用していました。理由は学校の授業がGoogleWorkspaceを中心に利用して進められていたからです(課外活動でも利用できるということで)。他校では比較的Microsoft派が多かった印象ですね。
実際に管理されていた情報は以下の通りです。
- 個人情報(メールアドレスなど)を含む名簿
- 会計の帳簿
- 会議の議事録類
- イベントの写真(←なぜ?)
このイベントの写真が管理対象だった件は後ほど詳しく解説します。
②会室用PCのアクセス制限
続いて、生徒会室のPCへのアクセス制限ですね。以下のようなアクセス制限が設けられていました。
- 全アカウントのパスワード
- Microsoft365のパスワード
- アプリの追加の禁止(PAMかは微妙)
「ここまで制限して大丈夫なのか?」と思った読者さんは感が鋭いです。パスワードが分からないと困る場面なんていくらでもありますもんね。この制限の不満から生まれたトラブルについ後ほど詳しく解説します。
③利用状況の監視
会室のPCにログインした後、必ず(外注した謎のPythonのデスクトップアプリ)自身の使用履歴を登録しなければなりませんでした。
ちなみに僕はCanvasを使っている割にUIがなんとも言えないあのアプリが苦手でした(フロントエンドの人間なので…)。
結果
PAMを導入した結果は、大失敗でした。上手く行かなかった理由は以下の通りです。
①たいして効果がない
そもそも学生の部活動なので、そこまで重要な機密情報を取り扱っていませんでした。導入したての頃に教員からも「そこまでやらなくても…」と言われましたね。費用対効果が悪すぎてみんなが制度に対して不満を持つようになりました。
②制度が形骸化
効果がないのに制度だけが存在し続けると、もちろん形骸化してきます。PCのパスワードも厳重に管理していたはずが、スクリーンショットが部員間で回されていました。やはり、セキュリティ上の最大の敵は人間か…。
③PAMの乱用
この制度が失敗に終わった最大の原因ですね。導入初期は業務効率化のために一元化したルールを定めるという方向性でしたが、時間が経つにつれてデジタル関連の全てに責任者がルールを好きに定められる免罪符に成り下がってしまいました…。イベントで撮影した写真にアクセス制限かけたり、勝手に予算で数万円もするNASを買っちゃったり。手段と目的が逆転してしまった、とても分かりやすい反面教師の例でした。
終わりに
今回の大失敗から学んだことは「どんな制度も扱う人間の技量次第」ということです。実際に企業での導入事例もある以上、素晴らしい制度だとは思っています。
しかし、給料ももらっていないような子供が扱えるものではありませんでした!やはり、技術ベースの考え方ではなく目的ベースで進めていくことが大切だと痛感しました。
「手段よりも目的を」、今後の戒めです。