「ユーザーに管理者権限を与えなければある種の脅威に対するセキュリティが向上する」ということくらい常識で分かる。ただ,どの程度セキュリティが向上するのだろうか。ユーザーから管理者権限を取り上げれば,何件の脅威を緩和できるのだろうか。
この問いに答えるため,米国のセキュリティ・ベンダーBeyondTrust社は米Microsoftから2008年に出されたセキュリティ情報を分析した。深刻度とセキュリティ・ホールの種類で分け,「問題を緩和する要素」セクションに「コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは,管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます」と書いてあるセキュリティ情報が何件あったか調べた。
その結果,Microsoftが公表した深刻度「Critical(緊急)」のセキュリティ・ホールのうち92%は,ユーザーに管理者権限を与えなければ脅威の緩和が可能であると分かった。特定種類のセキュリティ・ホールをみると,遠隔コード実行に悪用可能なセキュリティ・ホールの87%がこの対策で緩和できそうだ。影響を受けるソフトウエア別だと,この対策は「Microsoft Office」「Internet Explorer(IE)」関連セキュリティ・ホールの4分の3以上,「Windows」関連セキュリティ・ホールの半数以上に効果がある。
BeyondTrustのCEOであるJohn Moyer氏は「当社の調査から,こうした脅威の対抗手段として,管理者権限を制限することの重要性が浮き彫りになった。必要最低限の権限だけを与える,という簡単なセキュリティ戦略1つで実施可能な対策」と述べる。同社はWebサイトで調査報告書(PDF形式)を公開している。同社は,ITシステムに必要最低限のアクセス/使用権限を設定するセキュリティ・ソリューションを提供している企業だ。
