【ITニュース解説】How to Secure Different User Types in Linux: A Guide for IT Teams

Linuxにおけるユーザーアカウントのセキュリティ対策は、ユーザーの種類によって異なり、組織のセキュリティを維持するために重要である。

まず、モバイルコンピュータやハンドヘルド端末のような共有デバイスを扱うユーザーについて。これらのデバイスは業務に不可欠であり、頻繁なパスワード変更は生産性を阻害する可能性がある。そのため、パスワードの有効期限を設定しない、または180〜365日と長めに設定し、アカウント自体も期限切れにならないようにすることが推奨される。ただし、セキュリティリスクを軽減するために、SSH経由でアクセスするアプリケーションを必要最小限の機能に絞り、SSH設定でMatchとForceCommandディレクティブを使用してユーザーの操作を制限する。また、これらのデバイスが隔離されたサブネット内で動作する場合は、SSH Matchブロックにそのネットワークセグメンテーションを反映させる。

次に、一般のビジネスユーザーについて。パスワードの有効期限は60〜90日程度に設定されることが多いが、パスワードの有効期限自体を設定しない場合もある。アカウントの有効期限は、従業員の雇用形態によって異なり、一時的な労働者や契約社員の場合は契約終了日に合わせて設定される。正社員の場合は、アカウントを期限切れにするよりも、非アクティブな状態が45日以上続いた場合や、アカウントが侵害された疑いがある場合にアカウントをロックすることが推奨される。多要素認証（MFA）やSSHキー認証は、技術的な制約ではなく、人事ポリシーや認証デバイスの配布の難しさから、ビジネスユーザーレベルではまだ普及していない。

アプリケーション開発者や管理者レベルのユーザーは、複数の環境で作業し、高いアクセス権限を持つため、攻撃者にとって魅力的な標的となる。そのため、セキュリティ要件はより厳しくなる。契約社員の場合は契約終了日に合わせてアカウントを期限切れにする。パスワードの有効期限は30〜60日に設定されることが多い。ビジネスユーザーと同様に、アカウントを期限切れにするよりも、30〜45日間の非アクティブ期間後にアカウントをロックすることが推奨される。SSHキーベース認証とMFAは一般的であり、これらのユーザーはキーの生成とローテーションを管理する技術スキルを持っていることが前提となる。

システム管理者は、インフラストラクチャへの深いアクセス権を持つため、セキュリティポリシーはさらに厳格になる。パスワードの有効期限は15〜30日と短く設定することが推奨される。管理者は、パスワードを安全に保管およびローテーションするためにパスワード vaultを使用し、SSH認証キーまたは有効期間の短いSSH証明書、および必須のMFAを使用することが一般的になっている。アカウントのロックは、15〜30日間の非アクティブ期間後に推奨される。

これらの対策は、組織が目指すべき最低限の基準と考えるべきである。環境の機密性、リスク許容度、およびビジネス要件に応じて、追加のセキュリティポリシーを適用する必要がある。重要なのは、これらの推奨事項を上限としてではなく、構築するための基盤として扱うことである。ユーザーセキュリティを強化する最初のステップは、現在のプラクティスを文書化し、目指すべき標準を定義することである。現状と望ましいセキュリティ体制のギャップは大きいと感じられることが多いが、小さな改善を段階的に実施することで、そのギャップを徐々に埋めることができる。