IBM i管理者が2FAを使用すべき時
最新のPCI要件によると、規制の多い業界で働くシステム管理者は、近々、サーバーへのサインインの際に2要素認証(2FA)の使用が必要となるとのことです。この業界規制は、あらゆる種類のコンピューター システムで作業している管理者たちに大きな影響を及ぼすことになるとみられますが、おそらく2017年遅くか2018年初めに正式に施行されるとセキュリティの専門家は述べています。
以前のバージョンのPCI DSS(Payment Cardholder Industry Data Security Standard:ペイメント カード業界データ セキュリティ基準)では、2FAの使用が義務付けられていたのは、リモートの管理者だけでした。2FAは、パスワードのような「本人が知っていること」と、キー フォブや自動生成されるコードのような「本人が持っているもの」とを組み合わせて提示することをユーザーに求めることにより、サインオン プロセスのセキュリティを強化する認証方式です。
しかし、昨年末のPCI DSSバージョン3.2のリリースの際に、その標準化団体はそれまでの規定を変更し、現在では、すべての管理者が(ローカルのサインオンでも)2FAまたは多要素認証(同団体が推奨する呼称)を使用するよう義務付けられることとなっています。
こうした変化は、企業を取り巻く環境において進化を続けるサイバーセキュリティ上の脅威への対応を迫られる中で生じたものだ、とTownsend Security社の創業者でCEOのPatrick Townsend氏は述べます。
「考え方としては、ローカルかどうかを問わず、管理特権を持つ誰もが、その環境におけるリスクの源となるというものです」とTownsend氏は 『IT Jungle』に述べます。「今日では、ユーザーのPCを巻き込む形で発生する攻撃が非常に多くなっています。私は今ここに座っていてIBM iサーバーにアクセスしています。私が管理者の権限を持っていて、私のPCがマルウェアに感染したとしたら、サーバー環境へたどり着くルートを攻撃者に与えてしまったも同然なのです。」
すべてのシステム管理者に対して2FAが求める特別な認証手順を取ることを義務付けることにより、PCI標準化団体は、機密データの管理に関して保護の層が1枚加えられることを期待しています。「このガイドラインが反映しているのは、まさに攻撃が分散化されているという認識なのです」とTownsend氏は述べます。「組織内にあるすべてのPC、すべてのサーバーが、クレジット カード データに対する攻撃ポイントになります。そのため、どこからログインするかにかかわらず、ログインできる誰もが2FAを使用するべきなのです。」
今のところ、PCI団体は、たとえばシステムで注文処理を行う顧客サービス担当者などのような、クレジットカードデータを扱うエンド ユーザーに対してまでは、2FAの使用を義務付けているわけではありません。PCI DSSの規定のなかには、強い権限の運用に関する基準もあり、企業がきちんとそれらの基準を順守していれば、通常のユーザーには、彼らにスーパーユーザーの権限を付与するユーザー プロファイルが与えられることはありません。
管理者は現にそのような権限を持っているため、そうしたユーザー プロファイルの使用をロックしておくことが重要だとTownsend氏は述べます。「前提となるのは、その顧客サービス担当者が元々IBM iサーバーで管理権限を持っていないということです」と彼は述べます。「しかし、仮に私がIBM i QSECOFRである場合、またはALLOBJ権限を持っている場合、私が高度な特権を持っていて、そこでクレジットカードの処理が行われているとしたら、管理者たちはシステムに2FAを実装する必要があります。」
PCIDSSバージョン3.2は、昨年秋に発効となりました。PCIは、新たな規定の順守を正式に求め始める前に、そのガイダンスを実装するための6~12か月の移行期間を設けるのが通例です。ただ、時計の針は進んでいます。「今はまだ移行期間内ですが、おそらく来年の初めには厳しい要件となっていることと思われます」とTownsend氏は述べます。
RSA社のようなセキュリティ企業は、数十年に渡って、乱数ジェネレータを用いた2FAシステムを構築してきましたが、ビジネスの世界で2FAの使用が広がりを見せたのは、比較的まだ新しい現象です。米国の消費者が「chip plus PIN」認証方式のバージョンの2FAを使用し始めたのはごく最近のことです。「chip plus PIN」では、PINが「本人が知っていること」を表わし、カードに付けられたチップ(chip)が「本人が持っているもの」を表わします。
3年前、Townsend Security社は、自動生成され、SMSを介してユーザーに送られるPINを、2FAパズルの2つ目のピースとして使用する、Alliance Two Factor Authenticationと呼ばれるIBM i向けの 2FAソリューションをリリースしました 。同製品の売上はそれほど多いものではありませんでしたが、PCIがそのガイダンスを通じて強制力を強めていったら、業績は上向いていくだろうとTownsend氏は考えています。
「朝起きて『ああ、今日は実にセキュリティの問題に取り組みたい気分だ』などと思う人はいません。人々は、実に受動的なものです」とTownsend氏は述べます。「IBM iかどうかにかかわらず、普通の顧客は、どうしても行わなければならなくなるまでは、セキュリティの問題への取り組みを先送りしようとしがちです。それが現実なのです。」
IBM iプラットフォームで利用可能な2FAソリューションを提供しているIBM iソフトウェア ベンダーには、ほかにも、Kisco Information Systems社、mrc社、Arpeggio Software社、およびLinoma Software社などがあります。