アプリケーションパスワード管理

English -> Visit BeyondTrust Original Page

アプリケーション パスワード管理 (APM) とは何ですか?

アプリケーション パスワード管理 (Application Password Management -APM アプリケーション間パスワード管理とも呼ばれる) とは、アプリケーションの資格情報を識別、制御し、安全に保存する方法を指します。

アプリケーション間のパスワード管理ソリューションは、監査可能な方法でアプリケーション パスワードと資格情報の識別、セキュリティ、配布を自動化するように設計されています。このアプローチにより、公開されたアプリケーション パスワードが機密情報へのアクセスやネットワークへの侵入に使用される場合の侵害のリスクが軽減されます。アプリケーション パスワード管理ツールは、アプリケーション パスワードの管理、資格情報要求の承認、および人為的ミスや過失の影響を受けるその他のタスクの手動の負担を軽減します。

特権認証情報( BeyondTrust 英語サイト )は通常、アプリケーション間 (Application-to-Application A2A) およびアプリケーションとデータベース間 (Application-to-Database A2D) の通信とアクセス要求の認証に必要です。これらの要求は通常、自律的に発生します。アプリケーションはログインするために認証情報を要求 (または呼び出し) し、制御アプリケーション、データベース、またはサーバーは、定義された要件が満たされている場合に認証情報要求を認証して許可します。

管理されていないアプリケーション パスワードのリスクは何ですか?

既存の資格情報の可視性の欠如

アプリケーション資格情報は人間や機械以外の資格情報の一種であるため、ユーザーに直接関連付けられていない場合があり、追跡が困難な場合があります。

ハードコーディング

ハードコーディング、またはプレーンテキスト ストレージとは、ソース コードに資格情報とパスワードをプレーンテキストとして保存する方法を指します。これらの埋め込まれた秘密は、悪意のある第三者によって発見されると簡単にアクセスでき、IT チームやセキュリティ チームの可視範囲を超えて存在することがよくあります。

デフォルトの資格情報

多くのアプリケーションやシステムは、アカウントに埋め込まれたデフォルトの認証情報を使用してデプロイされます。DevOpsツールチェーン、シークレット、スクリプト、テスト サーバー、および実稼働ビルド内にも認証情報が埋め込まれている場合があります。これらの種類の人間以外の特権認証情報とシークレットは、スクリプト、コード、またはファイル内にプレーン テキストで保存されることもよくあります。

サードパーティアカウント

ベンダー、請負業者、その他のサードパーティ アカウントは、契約範囲を超えてアプリケーション アカウントへの特権アクセスを保持している可能性があります。これらの資格情報は、ハードコードされているか、プレーン テキストで保存されている可能性が高く、組織のパスワード管理ツールの範囲外に存在する可能性があります。

アプリケーション パスワード管理の利点は何ですか?

アプリケーション パスワード管理ソリューションの利点は次のとおりです。

  1. 集中化された安全なアプリケーション資格情報ストレージ: パスワードのハードコーディングが不要になります。すべてのアプリケーション資格情報は識別され、安全に保管されるため、資格情報セキュリティのベスト プラクティスを一貫して適用できます。
  2. 暗号化 と認証プロトコル: アプリケーションによるすべてのパスワード要求は確実に認証されます
  3. きめ細かな認証制御:アプリケーションごとまたは認証情報要求ごとに固有のポリシーを許可します
  4. 監査証跡:コンプライアンスとフォレンジックに使用できるセッションアクティビティのクリーンな監査証跡

アプリケーション間のパスワード管理のベストプラクティス

  • アプリケーション資格情報を識別する
    アプリケーション アカウント、キー、資格情報が環境全体で使用されている場所を正確に特定し、資格情報の境界内の最も弱いポイントがどこにあるかを把握します。これにより、適切な行動方針を絞り込むことができます。
    特権アカウント検出アプリケーションなどのツールを使用すると、既存の特権アカウントをすばやくスキャンして、注意を喚起することができます。
  • アプリケーションパスワードマネージャーを活用する
    アプリケーション パスワード マネージャー ソリューションは、アプリケーション パスワード管理ライフサイクル全体を自動化するように設計されています。これには、ハードコードされた/埋め込まれたアプリケーション資格情報を見つけて削除し、API 呼び出しなどで置き換えることが含まれます。
  • API呼び出しを実装する
    API 呼び出しを実装することは、人間以外のアプリケーションおよびマシン アプリケーションの資格情報全体でスクリプト、ファイル、コード、およびキーを制御するためのもう 1 つの便利な戦術です。これにより、特にアプリケーション間の通信で、ハードコードされた資格情報や埋め込まれた資格情報が漏洩するリスクがさらに排除されます。
  • 動的なシークレット生成
    静的な資格情報をアカウントに埋め込む代わりに、アカウントの作成とアクセス時に動的かつポリシーベースの資格情報を自動的に生成するツールとパスワード管理ソリューションを活用します。
  • リスクベースのパスワード変更
    パスワードは、アプリケーションとそのアクセスの機密性に関連するポリシーに基づいてローテーション (変更) できます。また、潜在的な侵害や脆弱性などのリスク要因の増加に基づいて変更することもできます。このソリューションでは、ビジネスの継続性を確保するために、必要に応じてこれらの変更が同期されるようにすることができます。
  • 監査セッションアクティビティ
    パスワード管理が統合され集中化されるほど、A2A または A2D で使用されているリスクにさらされているアカウント、キー、システムに関するレポートを簡単に生成できるようになります。

図 1: ハードコードされた資格情報を置き換える API 呼び出しの例

特権パスワード管理と特権アクセス管理

アプリケーション パスワード管理 (Application Password Management: APM) またはアプリケーション間パスワード管理ツールは、特権パスワード管理 (Privileged Password Management: PPM) の 1 つのコンポーネントを構成します。一部の限定的なアプリケーション パスワード管理機能はスタンドアロン ツールで利用できる場合もありますが、より完全な機能は通常、エンタープライズ特権パスワード管理製品の一部として提供されます。

特権パスワード管理(BeyondTrustサイト 英語)とは、特権パスワードを安全に保存、共有、作成、処理することです。理想的には、特権資格情報管理戦略によって、組織全体のすべての企業の特権資格情報 (人、マシン/アプリケーション、従業員、ベンダー) の特権アカウントと資格情報の検出、オンボーディング、アクセス制御、集中保護と保存、ローテーション、アラート、レポート、監視が自動化されます。

特権パスワード管理自体は、特権アクセス管理 (Privileged Access Management: PAM)の中核となる柱の 1 つです。特権アクセス管理は、IT 環境全体のユーザー、アカウント、プロセス、システムの特権アクセスと権限を制御するためのサイバーセキュリティ戦略とテクノロジで構成されます。

Password Safe をご覧ください: アプリケーションを含む、人間とマシンのすべての特権認証情報を管理するソリューションです。