特権アクセス管理 (Privileged Access Management - PAM) | アイディネットワークス株式会社

English -> Visit original BeyondTrust page

特権アクセス管理とは何ですか?
特権とは何ですか?またその作成方法は何ですか?
特権アカウントとは何ですか?
特権アカウントの種類
特権資格情報とは何ですか?
特権リスクと特権脅威 – PAM が必要な理由
特権的な脅威ベクトル – 外部および内部
特権アクセス管理の利点
特権アクセス管理の最適な運用方法
PAM の実装方法 / 主要なソリューション
成熟した特権アクセスセキュリティ制御への最善の道

特権アクセス管理とは何ですか?

特権アクセス管理 (Privileged Access Management – PAM) は、 IT 環境全体でユーザー、アカウント、プロセス、システムに対する昇格された (「特権」) アクセスと権限を制御するためのサイバーセキュリティ戦略とテクノロジーで構成されます。PAM は、特権アクセス制御を適切なサイズにすることで、組織の攻撃対象領域を凝縮し、外部攻撃や内部関係者の不正行為や過失から生じる被害を防止、または少なくとも軽減するのに役立ちます。

権限管理には多くの戦略が含まれますが、主な目標は、ユーザー、アカウント、アプリケーション、システム、デバイス (IoT など)、およびコンピューティングプロセスに対するアクセス権と許可を、必要な絶対最小限に制限することとして定義される最小権限の強制 ( BeyondTrust サイト英語 )です。日常的な許可された活動を実行します。

特権アカウント管理、特権アイデンティティ管理 (Privileged Identity Management – PIM)、または単に特権管理とも呼ばれる PAM は、アナリストや技術者によって、サイバーリスクを軽減し、高いセキュリティ ROI を達成するための最も重要なセキュリティプロジェクトの 1 つと考えられています。

特権管理の領域は、アイデンティティおよびアクセス管理 ( Identity and Access Management IAM) ( BeyondTrust サイト英語 )およびアイデンティティセキュリティのより広い範囲に含まれます。PAM と IAM を併用すると、すべての認証情報、権限、アクセスに対するきめ細かい制御、可視性、監査可能性が提供されます。

IAM コントロールは ID の認証を提供して、適切なユーザーが適切なタイミングで適切なアクセスを確実に行えるようにしますが、PAM は、特権 ID とセッションアクティビティに対して、より詳細な可視性、制御、監査を重ねます。PAM はアイデンティティセキュリティの中心であり、アナリストや IT リーダーは、ますます境界のない、どこからでも作業できる (Work-From-Anywhere – WFA) 世界で企業資産とユーザーを保護するための中心となると考えています。アイデンティティインフラストラクチャ自体 (IAM および IGA ツールセットを含む) はますます攻撃にさらされており、すべてを保護するための堅牢な PAM 制御に依存しています。

この用語集の投稿では次の内容について説明します。

コンピューティングのコンテキストにおいて特権が指すもの
権限の種類と特権アカウント/資格情報
一般的な特権関連のリスクと脅威ベクトル
特権アクセスセキュリティのベストプラクティス
PAMの実装方法

特権とは何ですか?またその作成方法は何ですか?

情報技術の文脈では、特権は、コンピューティングシステムまたはネットワーク内で特定のアカウントまたはプロセスが持つ権限として定義できます。特権は、特定のセキュリティ制限をオーバーライドまたはバイパスする権限を提供し、システムのシャットダウン、デバイスドライバーのロード、ネットワークまたはシステムの構成、アカウントとクラウドインスタンスのプロビジョニングと構成などのアクションを実行する権限が含まれる場合があります。

著者であり業界の思想的リーダーでもあるモーリー・ハーバー(Morey Haber)氏とブラッド・ヒバート(Brad Hibbert)氏は、著書『Privileged Attack Vectors』の中で基本的な定義を提供しています ( BeyondTrust サイト英語 ) 。「特権とは、特別な権利または利点です。それは通常よりも高いレベルであり、大衆に与えられた設定や許可ではありません。」

特権は、ユーザー、アプリケーション、およびその他のシステムプロセスが特定のリソースにアクセスし、仕事関連のタスクを完了するための昇格された権限を有効にすることで、重要な運用目的を果たします。同時に、内部関係者または外部の攻撃者による特権の悪用または乱用の可能性により、組織は恐るべきセキュリティリスクにさらされます。

さまざまなユーザーアカウントおよびプロセスの特権は、オペレーティングシステム、ファイルシステム、アプリケーション、データベース、ハイパーバイザー、クラウド管理プラットフォームなどに組み込まれています。特権は、システム管理者やネットワーク管理者など、特定の種類の特権ユーザーによって割り当てられることもあります。

システムによっては、人々への権限の割り当てや委任は、事業部門 (マーケティング、人事、IT など) などの役割ベースの属性や、その他のさまざまなパラメータ (例: 、年功序列、時間帯、特別な状況など）で決定されます。

特権アカウントとは何ですか?

特権アカウント( BeyondTrust サイト英語 )は、一般アカウントができるアクセスと特権を利用できるアカウントを指します。特権ユーザーとは、特権アカウントなどを介して現在特権アクセスを利用しているユーザーです。特権ユーザー/ 特権アカウントは、高い機能とアクセスにより、非特権アカウント/非特権ユーザーよりもかなり大きなリスクをもたらします。

スーパーユーザーアカウント( BeyondTrust サイト英語 )として知られる特別なタイプの特権アカウントは、主に専門の IT 従業員による管理に使用され、コマンドを実行したりシステムを変更したりするための事実上無制限の権限を提供します。スーパーユーザーアカウントは通常、Unix/Linux では「ルート」、Windows システムでは「管理者」として知られています。

スーパーユーザーアカウント権限は、完全な読み取り / 書き込み / 実行権限を備えたファイル、ディレクトリ、およびリソースへの無制限のアクセスを提供し、ファイルやソフトウェアの作成またはインストール、ファイルや設定の変更、削除など、ネットワーク全体でシステム全体の変更をレンダリングする権限を提供します。ユーザーもデータも。スーパーユーザーは、他のユーザーに対して権限を付与したり取り消したりすることもできます。これらの高い特権を持つアカウントは、誤用 (重要なファイルの誤削除や強力なコマンドの入力ミスなど) または悪意のある目的で悪用されると、システム全体、さらには企業全体に壊滅的な損害を与える可能性があります。

Windows システムでは、各 Windows コンピュータに少なくとも 1 つの管理者アカウントがあります。管理者アカウントを使用すると、ユーザーはソフトウェアのインストールやローカル構成や設定の変更などのアクティビティを実行できます。

一方、macOS は Unix に似ていますが、Unix や Linux とは異なり、サーバーとして展開されることはほとんどありません。Mac エンドポイントのユーザーは、デフォルトとして root アクセス権を使用して実行できます。ただし、macOS セキュリティのベストセキュリティ運用( BeyondTrust サイト英語 )として、特権のある脅威の可能性と範囲を制限するために、非特権アカウントを作成して日常的なコンピューティングに使用する必要があります。

最小権限の環境では、ほとんどのユーザーは 90 ～ 100% の時間、権限のないアカウントを使用して操作します。非特権アカウントは、最小特権アカウント(LUA) とも呼ばれ、一般に次の 2 つのタイプで構成されます。

標準ユーザーアカウントには、インターネットの閲覧、特定の種類のアプリケーション (MS Office など) へのアクセス、および役割ベースのアクセスポリシーによって定義される限られたリソースへのアクセスなど、限られた一連の権限があります。
ゲストユーザーアカウントは、通常、基本的なアプリケーションアクセスとインターネットブラウジングのみに制限されるため、標準ユーザーアカウントよりも権限が少なくなります。

特権アカウントの種類

ベストプラクティスとして、IT 以外のユーザーのほとんどは標準ユーザーアカウントへのアクセスのみを持つ必要がありますが、一部の IT 従業員は複数のアカウントを所有し、日常的なタスクを実行するために標準ユーザーとしてログインし、管理活動を実行するためにスーパーユーザーアカウントにログインする場合があります。

管理者アカウントは標準ユーザーアカウントに比べてより多くの権限を持っているため、誤用または悪用された場合のリスクが高まるため、PAM のベストプラクティスは、これらの管理者アカウントを絶対に必要な場合にのみ、必要な期間のみ使用することです。

通常、組織内の特権アカウントの例は次のとおりです。

ローカル管理アカウント
ローカルホストまたはインスタンスのみへの管理アクセスを提供する非個人アカウント。
ドメイン管理アカウント
ドメイン内のすべてのワークステーションおよびサーバーにわたる特権管理アクセス。
ブレークグラス (緊急またはファイアコールとも呼ばれる) アカウント
緊急時に安全なシステムへの管理アクセス権を持つ特権のないユーザー。
サービスアカウント
アプリケーションまたはサービスがオペレーティングシステムと対話するために使用する、特権のあるローカルアカウントまたはドメインアカウント。
Active Directory またはドメインサービスアカウント
アカウントなどのパスワード変更を有効にします。
アプリケーションアカウント
アプリケーションがデータベースにアクセスしたり、バッチジョブやスクリプトを実行したり、他のアプリケーションへのアクセスを提供したりするために使用されます。

特権アカウントは、人間の ID ではなく、マシン IDに関連付けられることが増えています ( BeyondTrust サイト英語 )。RPA やその他の自動化されたワークフローなどのマシンアカウントの急増により、IT 環境のセキュリティが大幅に複雑になり、PAM システムの重要な使用例が提供されます。

特権資格情報とは何ですか?

特権資格情報 (特権パスワードとも呼ばれる) ( BeyondTrust サイト英語 ) は、アカウント、アプリケーション、およびシステム全体に昇格されたアクセスと権限を提供する資格情報のサブセットです。特権パスワードは、人間、アプリケーション、サービスアカウントなどに関連付けることができます。SSH キー( BeyondTrust サイト英語 )は、サーバーにアクセスし、機密性の高い資産への経路を開くために企業全体で使用される特権認証情報の 1 つのタイプです。

場合によっては、特に DevOps 環境全体で、特権資格情報は「シークレット」と呼ばれます。

特権アカウントのパスワードは、「IT 王国への鍵」と呼ばれることがよくあります。スーパーユーザーパスワードの場合、認証されたユーザーに、組織の最も重要なシステムとデータに対するほぼ無制限の特権アクセス権を与えることができます。これらの特権には非常に強力な権限が備わっているため、内部関係者による悪用の機が熟しており、ハッカーからも非常に切望されています。Forrester Research は、セキュリティ侵害の 80% に特権資格情報が関係していると推定しています。

特権リスクと特権脅威 – PAM が必要な理由

特権関連の主なリスクと課題には次のようなものがあります。

特権ユーザー、アカウント、資産、資格情報の可視性と認識の欠如
長い間忘れられていた特権アカウントは、組織全体に分散しているのが一般的です。これらの孤立したアカウントは数百万に上る可能性があり、退職したもののアクセスを保持している元従業員など、攻撃者に危険なバックドアを提供します。
権限の過剰なプロビジョニング
特権アクセス制御が過度に制限されている場合、ユーザーのワークフローが中断され、フラストレーションが生じ、生産性が妨げられる可能性があります。エンドユーザーが特権が多すぎることについて不満を言うことはほとんどないため、IT 管理者は従来、エンドユーザーに広範な特権セットをプロビジョニングしてきました。さらに、従業員の役割は流動的なことが多く、使用しなくなった、または必要なくなった権限を保持しながら、新しい責任とそれに対応する権限を蓄積するように進化する可能性があります。

このような過剰な権限が積み重なると、攻撃対象領域が肥大化します。個人の PC ユーザーを使用する従業員の日常的なコンピューティングには、インターネットの閲覧、ストリーミングビデオの視聴、MS Office および SaaS (Salesforce.com、GoogleDocs、Slack など) を含むその他の基本アプリケーションの使用が伴う場合があります。Windows PC の場合、ユーザーは多くの場合、必要な権限をはるかに超えた管理者アカウント権限を使用してログインします。これらの過剰な権限により、マルウェアやハッカーがパスワードを盗んだり、Web サーフィンや電子メールの添付ファイルを介して配信される可能性のある悪意のあるコードをインストールしたりするリスクが大幅に増加します。その後、マルウェアまたはハッカーはアカウントの権限セット全体を悪用し、感染したコンピュータのデータにアクセスしたり、ネットワークに接続された他のコンピュータやサーバーに対して攻撃を開始したりする可能性があります。

共有アカウントとパスワード
IT チームは通常、ルート、Windows 管理者、その他多くの特権資格情報を便宜上共有しているため、必要に応じてワークロードと職務をシームレスに共有できます。ただし、複数のユーザーがアカウントのパスワードを共有している場合、アカウントで実行されたアクションを 1 人の個人に関連付けることは不可能な場合があります。これにより、セキュリティ、監査可能性、およびコンプライアンスの問題が生じます。
ハードコーディングされた/埋め込まれた資格情報
特権資格情報は、アプリ間 (A2A) およびアプリケーションからデータベース (A2D) の通信とアクセスの認証を容易にするために必要です。アプリケーション、システム、ネットワークデバイス、IoT デバイスは、簡単に推測でき、重大なリスクを引き起こすデフォルトの資格情報が組み込まれた状態で出荷および展開される場合があります。さらに、従業員は多くの場合、必要なときに簡単にアクセスできるように、スクリプト、コード、ファイル内などのプレーンテキストでシークレットをハードコーディングします。
手動および/または分散型認証情報管理
特権のセキュリティ制御は未熟であることがよくあります。特権アカウントと資格情報は、組織のさまざまなサイロ間で異なる方法で管理される可能性があり、ベストプラクティスの一貫性のない適用につながります。人間の特権管理プロセスは、数千、さらには数百万の特権アカウント、資格情報、資産が存在する可能性があるほとんどの IT 環境では拡張することはできません。管理すべきシステムやアカウントが非常に多いため、人間は常に、複数のアカウントや資産間で認証情報を再利用するなどの近道を利用します。したがって、1 つのアカウントが侵害されると、同じ資格情報を共有する他のアカウントのセキュリティが危険にさらされる可能性があります。
アプリケーションとサービスアカウントの権限が可視化されない
アプリケーションやサービスアカウントは、アクションを実行したり、他のアプリケーション、サービス、リソースなどと通信したりするために、特権プロセスを自動的に実行することがよくあります。アプリケーションやサービスアカウントは、デフォルトで過剰な特権アクセス権を所有していることが多く、また、その他の重大なセキュリティ上の欠陥もあります。
サイロ化された ID 管理ツールとプロセス
最新の IT 環境は通常、複数のプラットフォーム (Windows、Mac、Unix、Linux など) と環境 (オンプレミス、Azure、AWS、Google Cloud) にわたって実行され、それぞれが個別に維持および管理されます。この慣行は、IT の一貫性のない管理、エンドユーザーの複雑さの増加、サイバーリスクの増加に相当します。
デジタル変革により、特権的な攻撃対象領域が大幅に拡大しています。ここでは主な方法をいくつか紹介します。
クラウドおよび仮想化の管理者コンソールと環境
AWS、MICrosoft 365 などは、ほぼ無制限のスーパーユーザー機能を提供し、ユーザーが大規模なサーバーを迅速にプロビジョニング、構成、削除できるようにします。これらのコンソール内で、ユーザーは何千もの仮想マシン (それぞれが独自の権限セットと特権アカウントを持つ) を簡単に起動して管理できます。組織は、これらの新しく作成された特権アカウントと資格情報を大規模にオンボーディングして管理するために、適切な特権セキュリティ制御を導入する必要があります。
DevOps環境
DevOps ではスピード、クラウド導入、自動化を重視するため、権限管理には多くの課題とリスクが伴います。組織は多くの場合、コンテナやその他の新しいツールによってもたらされる権限やその他のリスクを把握できていません。不適切なシークレット管理、埋め込みパスワード、過剰な権限プロビジョニング、および安全でないインフラストラクチャアクセス経路は、一般的な DevOps デプロイメント全体に蔓延する権限リスクのほんの一部です。
エッジコンピューティングと IoT デバイス
エッジネットワークは、必要な場所でより高速にデータを提供できるように拡張されています。これらのデバイスへのアクセスとデバイスからのアクセス、およびデバイス自体 (多くの場合 IoT) はすべてセキュリティで保護されている必要があります。IoT が普及しているにもかかわらず、IT チームは依然として、正規のデバイスを大規模に検出して安全に搭載することに苦労しています。この問題をさらに悪化させるのが、IoT デバイスには通常、ハードコーディングされたデフォルトのパスワードや、ソフトウェアの強化やファームウェアの更新ができないなど、セキュリティ上の重大な欠点があることです。さらに、ウイルス対策 (AV) ソフトウェアを実行するのに十分な処理能力がない可能性があります。PAM は、 IoT およびエッジセキュリティにおいて極めて重要な役割を果たします。

特権的な脅威ベクトル – 外部および内部

ハッカー、マルウェア、パートナー、不正な内部関係者、および単純なユーザーエラー (特にスーパーユーザーアカウントの場合) が、最も一般的な特権脅威ベクトルを構成します。

外部のハッカーは、特権アカウントと資格情報を欲しがります。それらを取得すると、組織の最も重要なシステムと機密データに迅速にアクセスできることを知っています。特権資格情報を手にしたハッカーは実質的に「内部関係者」になります。侵害された IT 環境を横断する際に、検出を避けるために足跡を簡単に消去できるため、これは危険なシナリオです。

ハッカーは多くの場合、標準ユーザーアカウントに対するフィッシング攻撃など、低レベルのエクスプロイトによって最初の足がかりを獲得し、権限を昇格できる休眠アカウントまたは孤立したアカウントを見つけるまで、ネットワークを介して横方向に移動します。

外部のハッカーとは異なり、内部関係者はすでに境界内から活動を始めていると同時に、機密資産やデータがどこにあるのか、そしてそれらに焦点を当てる方法についてのノウハウからも恩恵を受けています。内部関係者の脅威は、発見するのに最も時間がかかります。従業員やその他の内部関係者は、通常、デフォルトで一定レベルの信頼の恩恵を受けており、検出を回避できる可能性があります。発見までの時間が長くなるということは、損害が発生する可能性も高くなります。近年の最も壊滅的な侵害の多くは内部関係者によって行われています。

特権アクセス管理の利点

ユーザー、アカウント、またはプロセスの権限とアクセスが増えるほど、悪用、悪用、またはエラーの可能性が高くなります。権限管理を実装すると、セキュリティ侵害が発生する可能性を最小限に抑えるだけでなく、侵害が発生した場合の範囲を制限することにも役立ちます。PAM のベストプラクティス (管理者権限の削除、最小限の権限の強制、デフォルト/埋め込み資格情報の排除など) の実装も、エンタープライズ IT システムの強化( BeyondTrust サイト英語 )の重要な部分です。

PAM と他の種類のセキュリティテクノロジとの違いの 1 つは、PAM がサイバー攻撃チェーンの複数のポイントを解体して、外部攻撃だけでなく、ネットワークやシステム内に侵入する攻撃の両方に対する保護を提供できることです。

PAM には、次のようないくつかの主な利点があります。

内部と外部の両方の脅威から保護する凝縮された攻撃対象領域:ユーザー、プロセス、アプリケーションの権限を制限するということは、悪用の経路と入り口も減少することを意味します。
マルウェアの感染と伝播の削減: 多くの種類のマルウェア (最小特権の欠如に依存する SQL インジェクションなど) は、インストールまたは実行するために昇格された特権を必要とします。企業全体で最小限の権限を適用するなど、過剰な権限を削除すると、マルウェアが侵入するのを防ぐことができ、侵入した場合でもその蔓延を軽減できます。
運用パフォーマンスの強化: 許可されたアクティビティを実行するための権限を最小限のプロセスに制限することで、アプリケーションまたはシステム間の非互換性の問題が発生する可能性が減り、ダウンタイムのリスクが軽減されます。
コンプライアンスの達成と証明が容易になる: 特権アクセス管理は、実行される可能性のある特権アクティビティを制限することで、複雑さが軽減され、より監査しやすい環境を構築するのに役立ちます。
サイバー保険の要件を満たすのに貢献する: 近年、ランサムウェア攻撃と身代金の支払いにより、サイバー保険業界の収益が損なわれ、存続可能性が脅かされています。サイバー保険会社は、PAM コントロールがリスクを軽減し、脅威を阻止するため、サイバー責任を軽減するための強力なツールであることを認識しています。現在、多くのサイバー保険会社は、サイバー賠償責任補償を更新または新たに取得するために PAM 管理を義務付けています。サイバー保険要件チェックリスト( BeyondTrust サイト英語 )保険申請プロセスの一部、またはその前に行われるプロセスでは、通常、「特権アクセスとアカウントを管理するための PAM システムがある」など、多くの特定の制御が必要になります。

さらに、多くのコンプライアンス規制 (HIPAA、PCI DSS、FDDC、Government Connect、FISMA、SOX など) では、組織が適切なデータ管理とシステムセキュリティを確保するために最小特権アクセスポリシーを適用することが求められています。たとえば、米国連邦政府の FDCC 指令では、連邦職員は標準のユーザー権限で PC にログインする必要があると規定されています。ゼロトラスト原則(ゼロトラストアーキテクチャとゼロトラストネットワークアクセス) を実装するためのフレームワークを含む複数の NIST フレームワークも、PAM の必要性を強調しています。

特権アクセス管理の最適な運用方法

特権セキュリティポリシーと適用がより成熟し、総合的になればなるほど、内部および外部の脅威をより適切に防止し、対応できるようになり、同時にコンプライアンス義務も満たせるようになります。

最も重要な PAM のベストプラクティスの概要を次に示します。

包括的な権限管理ポリシーを確立して施行します。
ポリシーは、特権アクセスとアカウントのプロビジョニング/プロビジョニング解除の方法を管理する必要があります。特権を持つアイデンティティとアカウントの目録と分類に対処します。セキュリティと管理のベストプラクティスを実施します。
すべての特権アカウントと資格情報を特定して管理下に置きます。
特権アカウントの検出には、すべてのユーザーアカウントとローカルアカウントが含まれる必要があります。アプリケーションおよびサービスアカウントのデータベースアカウント、クラウドおよびソーシャルメディアアカウント、SSH キー、デフォルトのパスワードとハードコードされたパスワード、およびその他の特権資格情報 (サードパーティ/ベンダーが使用する資格情報を含む)。検出には、プラットフォーム (Windows、Unix、Linux、クラウド、オンプレミスなど)、ディレクトリ、ハードウェアデバイス、アプリケーション、サービス/デーモン、ファイアウォール、ルーターなども含める必要があります。
特権検出プロセスは、特権パスワードがどこでどのように使用されているかを明らかにし、次のようなセキュリティの盲点や不正行為を明らかにするのに役立ちます。
エンドユーザー、エンドポイント、アカウント、アプリケーション、サービス、システムなどに対して最小権限を強制する
最小権限の実装を成功させるための重要な部分には、環境全体で権限が存在するすべての場所で権限を完全に削除することが含まれます。次に、ルールベースのテクノロジーを適用して、特定のアクションを実行するために必要に応じて権限を昇格し、特権アクティビティの完了時に権限を取り消します。真の最小特権を確保するには、アクセスの範囲だけでなく、アクセス期間にも制約を課す必要があります。IT セキュリティの用語では、これは、必要十分なアクセス (JEA) およびジャストインタイム (JIT) アクセスを提供する制御を実装することを意味します。
戦術レベルにまで細分化すると、最小権限の適用には次の内容が含まれる必要があります。
- エンドポイントの管理者権限を削除します。デフォルトの権限をプロビジョニングする代わりに、すべてのユーザーをデフォルトで標準権限に設定し、アプリケーションに対して昇格された権限を有効にして特定のタスクを実行します。最初はアクセス権が提供されていないが必要な場合、ユーザーは承認を求めるヘルプデスクリクエストを送信できます。ほとんどの Windows および Mac ユーザーにとって、ローカルマシン上で管理者アクセス権を持つ理由はありません。また、結局のところ、組織は、IP を使用して、従来型、モバイル、ネットワークデバイス、IoT、SCADA などのあらゆるエンドポイントに対する特権アクセスを制御できる必要があります。2015 年から 2020 年にかけて、Microsoft の重要なアクセスの 75% が、管理者権限を削除することで脆弱性を軽減できた可能性があります (出典: Microsoft Vulnerabilities Report 2022 )。
- サーバーに対するすべての root および管理者アクセス権を削除し、すべてのユーザーを標準ユーザーに減らします。これにより、攻撃対象領域が大幅に減少し、Tier-1 システムやその他の重要な資産の保護に役立ちます。標準の「非特権」Unix および Linux アカウントには sudo へのアクセス権がありませんが、最小限のデフォルト特権が保持されているため、基本的なカスタマイズとソフトウェアのインストールが可能です。Unix/Linux の標準アカウントの一般的な方法は、sudo コマンドを利用することです。これにより、ユーザーは、root アカウントとパスワードに直接アクセスすることなく、権限を一時的に root レベルに昇格できます。ただし、sudo を使用する方が直接 root アクセスを提供するよりは優れていますが、sudo には監査可能性、管理の容易さ、およびスケーラビリティに関して多くの制限があります。したがって、組織は、 sudo を補完または置き換えるサーバー権限管理テクノロジを採用することで、より適切なサービスを提供できます。これらの PAM テクノロジーにより、明確な監査および監視機能を提供しながら、きめ細かい権限昇格が可能になり、必要に応じて権限を昇格できます。
- 不要な権限を削除します。アプリケーション制御やその他の戦略やテクノロジーを通じて最小特権アクセスルールを適用し、アプリケーション、プロセス、IoT、ツール (DevOps など)、およびその他の資産から不要な特権を削除します。ソフトウェアのインストール、使用、および OS 構成の変更に制限を適用します。また、機密性の高い/重要なシステムで入力できるコマンドも制限します。
- 可能な限り、常駐特権 (「常時オン」の特権) を排除します。人間のユーザーの特権アクセスは常に期限切れになる必要があります。ゼロスタンド権限 (ZSP) (すべての既存の権限の削除)は人間のユーザーアカウントにとって理想的な最終状態ですが、多くのマシン/アプリケーションでは、稼働時間の目標を維持するために引き続き永続的な権限が必要になります。ジャストインタイムの権限管理(権限ブラケットとも呼ばれます)を実装して、特定のアプリケーションやタスクの権限を、必要な瞬間にのみ必要に応じて昇格します。
- 特権アカウントのメンバーシップをできるだけ少ない人数に制限する:この単純なルールにより、企業全体の攻撃対象領域が大幅に減少します。
- 各特権アカウントの権限の数を最小限に抑える:このルールをそのままにしておくと、アカウントが侵害された場合、攻撃者は限られた権限しか持たなくなり、セキュリティ侵害の範囲を制限するのに役立ちます。
特権の分離と義務の分離を強制する: 特権の分離対策には、管理アカウント機能を標準アカウント要件から分離すること、管理アカウント内の監査/ロギング機能を分離すること、およびシステム機能 (読み取り、編集、書き込み、実行など) を分離することが含まれます。）
最小特権と特権の分離が設定されている場合は、職務の分離を強制できます。各特権アカウントには、さまざまなアカウント間で重複がほとんどないように、個別のタスクセットのみを実行するように細かく調整された権限が必要です。
これらのセキュリティ制御が適用されると、IT 従業員は標準ユーザーアカウントと複数の管理者アカウントにアクセスできるようになりますが、すべての日常的なコンピューティングには標準アカウントの使用に制限し、許可されたタスクを実行するためのさまざまな管理者アカウントにのみアクセスできるようにする必要があります。これらのアカウントの昇格された権限でのみ実行できます。
システムとネットワークをセグメント化し、さまざまなレベルの信頼、ニーズ、特権セットに基づいてユーザーとプロセスを大まかに分離します。より高い信頼レベルを必要とするシステムとネットワークは、より堅牢なセキュリティ制御を実装する必要があります。ネットワークとシステムの細分化が進むほど、潜在的な侵害がそのセグメントを超えて広がるのを阻止することが容易になります。また、重要なゼロトラスト戦略であるマイクロセグメンテーションを実装し、ゾーンを作成してリソースを分離します。マイクロセグメンテーションにより、視線の可視性とアプリケーションへのアクセスがさらに制限され、横方向の動きから保護されます。
パスワードセキュリティのベストプラクティスを適用します。
- すべての資格情報 (特権アカウントのパスワード、SSH キー、アプリケーションのパスワードなど) のセキュリティと管理を改ざん防止金庫に一元化します。ワークフローを実装して、承認されたアクティビティが完了するまでのみ特権資格情報をチェックアウトでき、完了後にパスワードが再びチェックインされ、特権アクセスが取り消されます。
- パスワードの複雑さ、一意性などの強力なパスワード生成パラメータを強制することで、一般的な攻撃タイプ（ブルートフォース、辞書ベースなど）に対抗できる堅牢なパスワードを確保します。
- 特権パスワードを定期的にローテーション (変更) し、パスワードの機密性に比例して変更の間隔を減らします。デフォルトの認証情報は非常に大きなリスクをもたらすため、最優先事項はデフォルトの認証情報を特定して迅速に変更することです。最も機密性の高い特権アクセスとアカウントには、1 回使用するとすぐに期限切れになるワンタイムパスワード (OTP)を実装します。パスワードを頻繁にローテーションすると、さまざまな種類のパスワード再利用攻撃を防ぐことができますが、OTP パスワードを使用すると、この脅威を排除できます。DevOps ワークフローの場合、単一クライアントに対して必要に応じて生成される一時/OTP のタイプで動的シークレットを実装します。
- パスワードの共有を排除します。明確な監視とクリーンな監査証跡を確保するために、各アカウントに固有のログインが必要です。
- パスワードを決して公開しない – シングルサインオン (SSO) 認証を実装して、ユーザーとプロセスの両方からパスワードを難読化します。パスワードマネージャーは、必要に応じてパスワードを自動挿入できます。
- 埋め込み/ハードコーディングされた認証情報を削除し、認証情報を一元管理します。これには通常、コードからパスワードを分離し、集中管理されたパスワードセーフから資格情報を取得できるようにする API に置き換えるためのサードパーティソリューションが必要です。
インフラストラクチャのロックダウン: PAM 原則を拡張して、堅牢なインフラストラクチャアクセス管理を実装します。オンプレミス、クラウド、または OT 環境のいずれのインフラストラクチャへのアクセスも、VPN を使用しない PAM テクノロジーを介してプロキシされる必要があります。これには、すべての管理者アクセスを保護するために使用される強化された専用資産である特権アクセスワークステーション (PAW) の実装が必要になる場合があります。また、最小特権の原則を適用して、1 つの PAW のアクティビティとインフラストラクチャへのアクセスの範囲を確実に制限する必要があります。
すべての特権アクティビティを監視および監査します。これは、ユーザー ID、監査およびその他のツールを通じて実行できます。特権セッション管理および監視 (PSM) を実装して、不審なアクティビティを検出し、危険な特権セッションをタイムリーに効率的に調査します。特権セッション管理には、特権セッションの監視、記録、制御が含まれます。監査アクティビティには、キーストロークと画面のキャプチャ (ライブビューと再生を可能にする) が含まれる必要があります。PSM は、昇格された特権/特権アクセスがアカウント、サービス、またはプロセスに付与されるインスタンスをカバーする必要があります。
特権セッションの監視および管理機能もコンプライアンスにとって不可欠です。SOX、HIPAA、GLBA、PCI DSS、FDCC、FISMA、およびその他の規制では、組織はデータをセキュリティで保護するだけでなく、それらの対策の有効性を証明できることも求められます。
動的なコンテキストベースのアクセスを実装する: これは重要なゼロトラスト原則であり、適切なコンテキストで必要十分なアクセスをジャストインタイムで提供することが必要です。これは、複数の入力 (ターゲット資産のリアルタイムの脆弱性/脅威データ、地理位置情報および時間データ、ユーザーデータなど) を評価して、どの程度の権限をどのくらいの期間プロビジョニングできるかを決定することによって実現されます。ユーザーまたは資産に関するリアルタイムの脆弱性および脅威データを適用して、リスクベースの動的なアクセス決定を可能にします。たとえば、この機能を使用すると、ユーザー、資産、またはシステムに既知の脅威または潜在的な侵害が存在する場合に、権限を自動的に制限し、安全でない操作を防止できます。
安全な特権タスク自動化 (PTA) ワークフロー:特権タスク自動化には、特権資格情報と昇格されたアクセスを活用するロボットプロセスオートメーション (RPA)などのタスクとワークフローの自動化が伴います。これらの複雑なワークフローは、現代の IT 環境にますます組み込まれており、多くの移動部分 (場合によっては一時的な部分) を必要とし、それらすべてをオンボーディングして特権アクセスのためにシームレスに管理する必要があります。
特権脅威/ユーザー分析の実装: 特権ユーザーの行動アクティビティ (PUBA) と特権アクセスのベースラインを確立します。定義されたリスクしきい値を満たすベースラインからの逸脱を監視し、警告します。また、権限リスクをより立体的に把握するために、他のリスクデータも組み込みます。できるだけ多くのデータを蓄積することが必ずしも答えになるわけではありません。最も重要なことは、組織を最適なサイバーセキュリティの成果に導くために、迅速かつ正確な意思決定を可能にする形式で必要なデータを入手できることです。

PAM の実装方法 / 主要なソリューション

未熟で大部分が手動の PAM プロセスを使用している組織は、特権リスクを制御するのに苦労しています。自動化されたエンタープライズクラスの PAM ソリューションは、数百万もの特権アカウント、ユーザー、資産に拡張して、セキュリティとコンプライアンスを向上させることができます。最適なソリューションでは、検出、管理、監視を自動化して、特権アカウント/資格情報の適用範囲のギャップを排除しながら、ワークフローを合理化して管理の複雑さを大幅に軽減できます。

権限管理の実装がより自動化され、成熟するほど、組織は攻撃対象領域を凝縮し、（ハッカー、マルウェア、内部関係者による）攻撃の影響を軽減し、運用パフォーマンスを向上させ、ユーザーエラーによるリスクを軽減する上でより効果的になります。

PAM ソリューションは、単一のプラットフォーム内に完全に統合され、完全な特権アクセスのライフサイクルを管理することも、数十の異なる固有の使用クラスにわたるアラカルトソリューションによって提供されることもありますが、通常、それらは次の主要な分野にわたって編成されています。

特権アカウントおよびセッション管理 (Privileged Account and Session Management – PASM):これらのソリューションは通常、特権パスワード管理 (特権資格情報管理またはエンタープライズパスワード管理とも呼ばれます) および特権セッション管理コンポーネントで構成されます。

特権パスワード管理は、改ざん防止パスワードセーフ内から特権資格情報の検出、オンボーディング、管理を一元化することで、昇格されたアクセスを提供するすべてのアカウント (人間および非人間) と資産を保護します。アプリケーション間のパスワード管理 ( Application-to-application password management – AAPM) ( BeyondTrust サイト英語 )機能はこれの重要な部分であり、アプリケーション間およびアプリケーションからデータベースに使用される資格情報が適切に管理および保護されることを保証します。これには、コード内から埋め込まれた資格情報を自動的に削除し、保管し、他のタイプの特権資格情報と同様にベストプラクティスを適用することが含まれます。DevOps および CI/CD ワークフローのシークレット管理機能は、スタンドアロンツール経由で提供される場合や、特権認証情報管理/PASM ソリューションの一部として組み込まれる場合があります。

特権セッション管理 (Privileged session management – PSM) ( BeyondTrust サイト英語 )には、昇格されたアクセスと権限を伴うユーザー、システム、アプリケーション、およびサービスのすべてのセッションの監視と管理が含まれます。ベストプラクティスセッションで説明したように、PSM を使用すると、内部関係者の脅威や潜在的な外部攻撃から環境をより適切に保護するために使用できる高度な監視と制御が可能になると同時に、規制やコンプライアンスの義務でますます必要となる重要なフォレンジック情報も維持できます。

権限昇格と委任管理 (Privilege Elevation and Delegation Management – PEDM):常時オンの権限を持つアカウントへのアクセスを管理する PASM とは対照的に、PEDM ( BeyondTrust サイト英語 )は、ケースバイケースでより詳細な権限昇格アクティビティ制御を適用するエンドポイントセキュリティの重要な部分です。PEDM は、エンドポイント権限管理 (EPM) とも呼ばれます。完全な EPM ソリューションは、集中管理を提供し、あらゆる特権アクセスに対して詳細な監視およびレポート機能を提供する必要があります。EPM 機能は、結合することも、別個のツールに分割することもでき、通常、次の機能が含まれます。

エンドポイントの最小権限管理
これらのソリューションは通常、Windows と Mac のエンドポイント (デスクトップ、ラップトップなど) にわたる特権の昇格と委任を含む、イースト特権の強制を包含します。
サーバーとインフラストラクチャの権限管理
これらのソリューションにより、組織は誰が Unix、Linux、Windows サーバーにアクセスできるのか、またそのアクセスで何ができるのかを詳細に定義できるようになります。これらのソリューションには、ネットワークデバイスおよび OT / SCADA システムの権限管理を拡張する機能も含まれる場合があります。ファイル整合性の監視( BeyondTrust サイト英語 )は、機密性の高いファイルおよびシステムの変更に対するさらなる保護を提供するために提供される場合があります。
アプリケーション制御
これには、許可リスト、ブロックリスト、グレーリストが含まれます。アプリケーション制御は、どのアプリケーションを実行できるか、どのように実行できるか、どのようなコンテキストで実行できるかを広範囲かつ詳細に制御します。信頼できるアプリケーション保護( BeyondTrust サイト英語 )は、追加のコンテキストを適用して、ファイルレス攻撃やリビングオフザランド (LoTL) 攻撃で使用される一般的に使用される正当なアプリケーション (PowerShell、Wscript など) を悪用する可能性のある攻撃チェーンツールをインテリジェントに阻止する高度な機能です。
Active Directory (AD) ブリッジング
AD ブリッジングソリューションは、Unix、Linux、Mac を Windows に統合し、一貫した管理、ポリシー、シングルサインオンを可能にします。AD ブリッジングソリューションは通常、Microsoft Active Directory の Kerberos 認証とシングルサインオン機能をこれらのプラットフォームに拡張することにより、Unix、Linux、および Mac 環境の認証を一元化します。これらの非 Windows プラットフォームへのグループポリシーの拡張により、一元的な構成管理も可能になり、異種環境の管理のリスクと複雑さがさらに軽減されます。

セキュアリモートアクセス (Secure Remote Access – SRA) ソフトウェア:あまりに多くのユースケースで、VPN ソリューションは必要以上のアクセスを提供し、特権ユースケースに対する十分な制御が不足しています。このため、ベンダー、従業員、サービスデスクのリモートアクセスを容易にするだけでなく、権限管理のベストプラクティスを厳密に適用する、VPN レスのリモートアクセスセキュリティソリューションを展開することが重要です。リモートアクセスインスタンスは歴史的に悪用可能なセキュリティギャップを示してきたため、サイバー攻撃者は頻繁にリモートアクセスインスタンスをターゲットにします。これらのセキュアリモートアクセスソリューションは、安全で監査されたインフラストラクチャアクセスを確保するためにも重要です。Vendor Privileged Access Management (VPAM) ( BeyondTrust サイト英語 )は、ベンダー特権の管理専用のソリューションを表す新しい用語ですが、これらのソリューションの中には、エッジコンピューティングを含む最新の環境における他の多くの機密性の高いアクセスユースケースにも対応できるものもあります。クラウドインフラストラクチャのアクセス管理( BeyondTrust サイト英語 )も、 SRA テクノロジーの一般的な使用例です。

クラウドインフラストラクチャエンタイトルメント管理 (Cloud Infrastructure Entitlements Management – CIEM): CIEM は、クラウドエンタイトルメントの適切なサイジングに重点を置いた新しい製品クラスです。これらのソリューションは通常、マルチクラウド (Azure、AWS など) として設計され、一元化され、最小限の権限を単純に適用されます。CIEM 製品( BeyondTrust サイト英語 )は過剰な特権アクセスを特定し、その修復を自動化できます。

さらに、PAM は、アイデンティティ脅威の検出と対応 ( Identity Threat Detection and Response – ITDR) ( BeyondTrust サイト英語 )という新たな分野でも中心的な役割を果たします。これは、最新の PAM が予防のみから検出に重点を置いたものへと進化したことも反映しています。

成熟した特権アクセスセキュリティ制御への最善の道

多くの組織は、特権の成熟に向けた同様の道筋を描いており、楽勝と最大のリスクを最初に優先し、その後、企業全体の特権セキュリティ制御を段階的に改善しています。最近では、サイバー保険会社が顧客や見込み顧客に対し、管理者権限の削除や特権ユーザーの監視などの特定の PAM 制御を含む特権アクセスセキュリティを実装するよう圧力をかけています。ただし、ほとんどの組織にとって最適な PAM アプローチは、特権リスクの包括的な監査を実行し、理想的な特権アクセスセキュリティポリシーの状態に到達するために必要な手順を計画した後に最適に決定されます。