はじめに
特権ユーザーのアクセス権を管理することは、データ・セキュリティにおける土台の1つです。そのため、特権アクセス管理(PAM)市場には、複数のツールや手法が紹介されており、活況を呈しています。その結果、私たちの周りには様々なPAMの選択肢が存在するようになりました。そして、どの実践方法や管理手法が組織にとって本当に有益なのかを見極めることが難しくなっています。
この記事では、組織に合った特権アクセス管理(PAM)の実践手法を選択するために、以下のことをご紹介します。
- ITコンプライアンス要件で求められる6つの必須PAM管理方法
- 複雑、多様化するインフラストラクチャにおけるアクセス保護を強化するための5つの先進的な実践方法
*この記事はEkran System 社の公式ブログを翻訳したものです。原文はこちら(内容を一部変更しています)。
なぜPAMが重要なのか?
特権アカウントは、利用者の悪意の有無にかかわらず、セキュリティ・インシデントに巻き込まれることがあります。特権アカウントの利用者がサイバーセキュリティのルールを疎かにする…例えば、怪しいWebサイトにアクセスしてしまったり、不審なファイルをチェックせずにダウンロードしたりして、意図せずインシデントを引き起こすことがあります。また、ハッカーが特権アカウントの認証情報を取得すると、組織のシステムやデータに干渉することができるようになってしまいます。
特権アクセス管理(PAM)は、特権的なアクセス権を持つユーザーに起因するセキュリティリスクを軽減するための一連のツール、技術、および手法です。大手マーケティングリサーチ企業においても「PAMは、特権アカウントが行うアクセスを管理・監視することにより、組織が重要な資産への安全な特権アクセスを提供し、コンプライアンス要件を満たすことを支援する」と明言しています。
PAMツールとその実践においては、以下のようなことが可能です。
- 特権アカウントの検出
- 特権ユーザー資格情報の管理
- 特権アカウントへのアクセス制御
- 特権アクセスセッションの監視と監査
- その他
PAMの導入は、サイバーセキュリティの強化につながるだけでなく、以下のようなビジネス上のメリットをもたらします。
特権アクセス保護の効果とニーズの高まりが、PAMソフトウェア市場の急速な発展を後押ししています。アライドマーケットリサーチによると、2020年の市場規模は24億7000万ドルで、2030年には193億7000万ドルに成長すると予想されています。
このように巨大で多様な市場には、アクセス管理のための数多くのツール、ソリューション、アプローチが存在します。そのため、必要な実践方法を選択し、組織に合った特権アクセス管理を実施することが難しい場合があります。次のセクションでは、特権アクセス管理の最適な手法をどのように選択し、どれが必須と見なされるかを検討します。
6つの基本的な特権アクセス管理実践手法
PAM の最適な実践方法を選択するには、サイバーセキュリティに関する主要な法律、標準、および規制によってリクエストされる特権アクセス管理制御を調査するのが最も良い方法です。従うべきITコンプライアンス要件リストは、組織ごとに異なります。
要件リストは、一般的に組織の所在地や事業内容、その組織が処理する機密データの性質によって異なります。しかし、大半の組織は、NIST SP 800-53、GDPR、またはISO 27001に準拠しなければならないと言ってよいでしょう。これらには、特権ユーザーを安全に管理するための必須の管理策と実践方法が含まれています。
ここでは、これらの標準や規制に含まれる主要なアクセス管理手法を紹介します。
1.ユーザーのアクセス権を設定し、確認する
各ユーザーには、業務に必要なアクセス権限のみを割り当てるようにします。セキュリティ担当者は、ユーザーやユーザーグループに対する特権的なアクセス権を細かく設定し、以前に付与されたアクセス権を確認したり取り消したりできるようにしておく必要があります。これで、組織は特権侵害を回避し、想定される攻撃対象領域を限定することができます。
2.アクセス管理ポリシーを徹底
全社的なアクセス管理ポリシーは、「誰が」、「どのリソースに」、「どのような条件」でアクセスできるかを明確に定義するものです。組織を厳重で詳細な一つのポリシーで管理することで、一般ユーザーと特権ユーザーの両方にとって、アクセス管理の手順が透明で効率的なものになります。
3.特権ユーザー認証のセキュリティ強化
特権アカウントの盗難は、ハッカーや内部不正犯がよく利用する侵入方法です。特権アカウントのログイン手順に多要素認証(MFA)を追加することで、特権アカウントを保護することができます。MFAは、特権アクセスを提供する前に、ユーザーが知っていること、ユーザーの生体認証、またはユーザーが所持しているものをチェックして実施します。
4.疑わしい特権アクセスの場合は、通知する
セキュリティ担当者は、特権アクセスに対する不審なリクエストに目を光らせておく必要があります。しかし、すべてのアクセスリクエストを制御することは不可能であるため、リスクの高いリクエストや疑わしいリクエストに対して常に注意を払うためのツールも必要です。セキュリティ担当者は、特定のリクエストケースに対して、カスタマイズした通知を設定できるようにする必要があります。
5.ユーザー認証情報を安全に管理
ハッカーは、ブルートフォース(総当り)方式で特権アカウントを特定したり、ソーシャルエンジニアリングを利用して特権ユーザーの認証情報を取得しようと企みます。また、ユーザー側が弱いパスワードを設定したり、複数のアカウントに同じパスワードを使用する可能性もあります。そのため、専用のソフトウェアで認証情報を管理することで、認証情報を自動でローテーションさせ、ユーザーが弱いパスワードを作成するのを防ぎ、認証情報の漏洩をほぼ不可能にすることができます。
6.特権ユーザーアカウントの定期的な見直し
特権アカウントの定期的な見直しは、非アクティブなアカウント、不必要な権限昇格、保護されていないシステムアカウントや緊急用アカウントを発見するために必要な作業です。この作業を行うことで.、セキュリティ担当者は、潜在的なハッキングポイントを発見し、保護することができます。
これらの方法は特権的なアクセスを保護し、ITにおける基準や 規定に準拠するための基本的な要件を満たしています。しかし、多くの機密データを扱い、複雑なインフラを持つ大企業や組織では、より柔軟で高度な手法が必要になる場合があります。次のセクションで、そのいくつかを見てみましょう。
5つの高度なアクセス管理の実践
高度なアクセス管理の実践は、セキュリティ担当者がアクセス管理手順を簡素化し、組織のニーズに合わせて調整し、より柔軟なセキュリティを確立する際に役立ちます。ただし、前項で説明した手法よりも、導入の難易度とコストが高くなります。したがって、高度なPAMを導入する前に、それが本当に必要なのか、それによってどのようなセキュリティ問題が解決されるのかを判断してください。また、これらのツールを導入するためのコストと労力を、そこから得られるメリットと比較してください。
アクセス管理機能を強化する必要があると判断された場合、Ekranの機能を利用して以下のような運用を検討されてはいかがでしょうか。
1.一定期間のアクセス許可
特権を持つユーザーが機密性の高い情報を保管したシステムにアクセスする時に「正当な理由」があり、「限られた時間だけアクセスできること」を保証するために設計されているのが、一定時間のアクセス許可機能です。この運用では、特権ユーザーはシステムへの常時アクセスはできず、作業するための十分な時間を与えられてアクセスを許可されます。
インサイダーリスク管理プラットフォームであるEkranは、この運用を実現するためのツールを提供しています。
- ワンタイムパスワード:機密性の高い情報を保管したシステムへのアクセスをほとんど必要としないユーザーに対して提供します。
- 一定期間のアクセス許可:機密データへの特権的なアクセスを限られた時間だけ許可できます。
- 手動でのアクセスリクエスト承認:ログインをしたいタイミングで、ユーザーからシステム管理者にアクセスリクエストを送信させます。機密へのアクセスが必要な理由を確認し、管理者はアクセスを承認するか拒否するかを決定します。
- チケットシステムとの統合:書面によるリクエストと、機密性の高いリソースを使用する必要性の証明をもってアクセス権を付与します。
2.特権アカウントとセッションの管理
特権アカウントとセッションの管理(PASM)はPAMの主要な要素の1つと言われています。PASMは、特権アカウントの保護と、そのセッションの監視と管理に重点を置いています。
特に、PASMを使用すると、特権ユーザーの資格情報を安全に付与、取り消し、ローテーションしたり、ユーザーセッションを記録して確認したりできるようになります。これにより、アカウントの盗難や悪意のあるインサイダーの活動を防止したり、迅速に検出したりすることができます。
- ユーザーアクティビティのモニタリング:この機能により、あらゆるレベルの権限を持つユーザーセッションを監視、記録、レビューすることができます。Ekranのプラットフォームは、すべての画面操作とユーザーアクションに関する多くのメタデータをキャプチャし、記録を暗号化して盗難から保護します。管理者は、内蔵のビデオプレーヤーを使って、ユーザーセッションをリアルタイムで記録し、レビューすることができます。
- パスワード管理:パスワード管理。この機能は、特権的な認証情報(クレデンシャル)を使用するあらゆるアクティビティの自動化とセキュリティ確保を支援します。強力な認証情報を作成・保存し、必要なときにユーザーに提供し、一定期間経過後に失効させます。また、Ekranはすべての認証情報を暗号化し、パスワードの漏洩や盗難をほぼ不可能にしています。
3.最小特権の原則とゼロトラスト
最小特権の原則は、ユーザーのアクセス権を、ユーザーが必要とするリソースのみに制限するように設計されています。ゼロトラストの原則は、重要な資産へのアクセスを許可する前に、ユーザーとデバイスの認証を必須とする考え方です。
- ニーズに応じたきめ細かなユーザーアクセス権の設定
- 不正アクセスや過度のアクセスから機密データを保護
- 内部および外部からのサイバーセキュリティの脅威の可能性を低減
以下のEkran Systemの機能を使って、最小特権とゼロトラストを導入できます。
- ユーザーグループや個々のユーザーのアクセス権を設定し、迅速に権利を確認し、役割ベースのアクセス制御モデルを実装するためのきめ細かいアクセス管理システム
- 特権ユーザーの身元を確認するための多要素認証機能
セキュリティシステムにゼロトラスト原則を導入する場合、ワンタイムパスワード、時間ベースのアクセス、手動によるアクセスリクエストの承認などを用いることもできます。
4.多様な環境に対応するクロスプラットフォーム対応
現代の企業のIT環境は、複数のプラットフォームを利用するエンドポイント、オンプレミスやクラウドサービス、実機や仮想マシンで構成されています。多くのサイバーセキュリティソリューションは、限られた範囲のプラットフォームしかサポートしていないため、企業のすべてのインスタンスで特権アクセスを保護することは困難な場合があります。
Ekranは、Windows、Linux、macOS、Citrix、仮想デスクトップなど、複数のエンドポイントを保護することができるプラットフォームであるため、課題への取り組みをサポートすることができます。AWSとMicrosoft Azureの環境にEkranを導入することができます。また、新しい仮想マシンを作成するたびに新しいライセンスをリクエストするのではなく、既に購入したEkran Systemのライセンスをエンドポイント間で簡単に再割り当てすることができます。
5.特権ユーザーの行動分析
各ユーザーは、データを操作する際に、独自の特徴を持つデジタル証跡を残します。その痕跡には、通常のログインとログアウトの時間、1日の平均的な活動、タイピングのリズム、典型的なマウスの動きなどが含まれます。機械学習と人工知能アルゴリズムに基づくソフトウェアは、ユーザーの行動の詳細を分析し、基準プロファイルを作成し、標準から逸脱した行動に対して警告を発することができます。
各ユーザーが在宅勤務などで、各自都合の良い時間に企業ネットワークに接続している環境を考えてみましょう。あるユーザーAさんは、いつも午前9時頃にログインしているとします。そんなAさんがもし、午後10時に企業ネットワークに接続しようとしていたら、奇妙なことです。EkranのUEBAは、このような異常なイベントを検知して警告し、セキュリティ事故の可能性を調査・防止する可能性を提供することができます。
ユーザー行動解析は、特にアカウントのハッキングや盗難を検知するのに有効です。ハッカーが特権アカウントの認証情報を取得した場合、このアカウントには高い権限があるため、ルールベースで動作するセキュリティ・システムは、そのアクセスの試みを疑わしいとは考えないでしょう。しかし、ユーザー行動分析においては、通常とは異なる行動を認識し、IT管理者にセキュリティ侵害の可能性を警告することができます。
まとめ
PAM 市場にはさまざまなソリューションがあり、サイバーセキュリティや ITの 関連法案、標準・規制への準拠という点で、組織のニーズに合ったソフトウェアを選択することは困難かもしれません。多くのツールが必須アイテムと謳われて販売されていますが、実際には特定のタイプの組織にしか必要ないものもあります。このような状況では、サイバーセキュリティの予算が膨らみ、不要なセキュリティソリューションでインフラが複雑化する危険性があります。
Ekranは、組織が特権アクセスを制御、安全かつ効率的に管理、サイバーセキュリティ要件に準拠できるよう支援する、堅牢で多様なPAMツールセットを提供します。Ekranは2つのエディションと購入ライセンス数に基づいた価格設定により、組織が必要とする機能の範囲によって、ライセンスを選択することが可能です。
以上で、今回の記事を終わります。
