ゼロトラストを実現する特権アクセス管理

English -> Visit original BeyondTrust page

BeyondTrust Privileged Access Management (PAM) ソリューションでサイバー リスクを軽減し、ゼロ トラストの目標を達成します。

BeyondTrust PAM によるゼロトラスト セキュリティ原則の運用化

BeyondTrust Privileged Access Management (PAM) ソリューションは、デジタル資産全体にわたるすべての特権ユーザー (人間、非人間、従業員、ベンダー)、資産、およびセッションを識別して保護するために絶え間なく取り組むことで、NIST ( BeyondTrust サイト 英語 )の ゼロトラストの 7 つの中核原則を実現するのに役立ちます。誰が、何を、いつ、なぜ、どこでアクセスするかを制御します。

ゼロトラスト セキュリティ制御を実装して、攻撃対象領域を減らし、攻撃リスクを最小限に抑え、ランサムウェア、マルウェア、高度な持続的脅威、内部関係者の脅威などに対する保護を強化します。

  • すべてのアクセスに対して適応型の最小権限制御を適用する
  • 特権セッションを分離、監視、管理、監査する
  • ラテラルムーブメントと権限昇格攻撃を防止する

[BeyondTrust] スイート内の製品間の相互作用は、セキュリティ市場における製品の状況を考慮して、できる限りゼロ トラストの道を進む可能性を最大限に高める方法で、見事かつ慎重に調整されています。
Brandon Haberfeld, Global Head of Platform Security, Investec

BeyondTrust がゼロトラスト モデルの実装に役立つ 9 つの方法

  1. すべての特権資産をインベントリして死角を排除し、シャドウ IT に焦点を当て、コントロール プレーンとデータ プレーンを分離するためにアクセス ポイントを制御します。
  2. 人間、アプリケーション、マシン、従業員、ベンダーなど、あらゆるアイデンティティ、アカウント、シークレットに最小権限制御を適用します。
  3. リアルタイムのコンテキストに基づいて、適応型のジャストインタイムのアクセス制御を適用します。
  4. セグメンテーションとマイクロセグメンテーションを実装して、資産、リソース、ユーザーを分離し、横方向の移動を防ぎます。
  5. 人間、マシン、従業員、ベンダーを問わず、すべての特権パスワード タイプに対して資格情報セキュリティのベスト プラクティスを適用します。
  6. VPN、RDP、SSH、HTTPS、およびその他の一般的に使用されるテクノロジーをはるかに上回る、きめ細かな最小権限と適応機能によりリモート アクセスを保護します。
  7. ネットワークのセグメンテーションを強制することにより、コントロール プレーン (クラウド、仮想、DevOps) および重要なアプリケーションへのアクセスをプロキシします。
  8. 企業に関わるすべての特権セッションを監視、管理、監査し、ユーザーの適切な動作を確認します。
  9. Microsoft AD 認証、SSO、およびグループ ポリシー構成管理を Unix/Linux に拡張することで、企業全体のID の安全な管理とゼロトラストの実装を簡素化します。

確かな認証とアクセス制御

正しいエンドポイント上の正しい ID のみがアクセスできるようにする

BeyondTrust Password Safe は 、すべての特権認証情報 (人間、アプリケーション、マシン) を検出、導入、管理し、パスワード セキュリティの最適な運用を実現した特権認証情報管理ソリューションです。

  • シャドーITを照らし、盲点にアクセスします。すべての特権 ID、アカウント、資産を検出し、インテリジェントにグループ化し、オンボード(自動登録)します。
  • 適応型アクセス制御を適用し、コンテキストに基づいてジャストインタイムでアクセス要求を承認または禁止します。ユーザーの行動、不適切なアクティビティ、またはコンテキストやリスクの変化に基づいて、セッションを終了または一時停止します。
  • オンプレミスとクラウドのリソースにわたるすべての特権資格情報とシークレットを保護および管理します。
  • サードパーティ製品と統合して、ログイン時、パスワードのチェックアウト時、権限昇格時に多要素認証を強制します。または、新しいリクエストがあるときはいつでも。
  • 共有アカウントを排除して、各 ID とそれに関連付けられたアカウントによって実行されるユーザー アクティビティに対する明確な監視と監査を確保します。
  • IoT やその他のデバイス、アプリケーション、スクリプト、DevOps ツールに埋め込まれたパスワードを根絶します。代わりに、これらは安全な API 呼び出しまたは動的シークレットの管理に置き換えられます。

エンドポイント全体にわたる真の最小特権

コンテキストに基づいた一時的な承認

BeyondTrust Privilege Management for Windows & Mac およびPrivilege Management for Unix & Linux 製品は、最小特権管理とアプリケーション制御を組み合わせて、エンドポイントの攻撃対象領域を最小限に抑え、不要なラテラルムーブメント( lateral movement )を排除します。

Windows、Mac、Unix、Linux システム、ネットワーク デバイス、IoT、ICS システム、仮想マシンを既知および未知の脅威から保護します。

  • すべてのユーザーの管理者権限を削除し、管理対象システム上の特権アカウントを排除します。
  • エンドユーザーではなく、プロセスやアプリケーションなどの権限をジャストインタイムで動的に昇格させることで、ゼロスタンディング権限 (Zero-Standing Privilege – ZSP) 状態を提供します。
  • 職務の分離と権限の分離を強制して、アカウントまたはプロセスに関連付けられた権限を制限します。
  • 高度なアプリケーション制御を適用し、すべてのアプリケーション、Web ブラウザ、システム、その他のリソースに対して最小限の権限を強制します。

アクセスに対してセグメント化およびゾーン化されたアプローチを適用する

リモートアクセス経路を強化し、不要な横方向の移動を防止します

ゼロトラストの中心的なコンポーネントには、アクセスをセグメント化し、さまざまな資産、リソース、ユーザーを分離して横方向の移動の可能性を制限することが含まれます。

BeyondTrust Privileged Remote Access:

  • 多要素認証、適応型認可、および管理者コンソールのセッション監視を備えた安全なジャンプ サーバーを実装します。これは、信頼されたネットワーク ゾーンを越えるアクセスにも当てはまります。
  • SecDevOps セキュリティの最適な運用のために、開発、テスト、運用システム間の境界を強制します。
  • ロックダウンされた埋め込み Chromium ブラウザーを介して、Azure や Office 365 ポータルなどの Web ページへのアクセスを提供します。
  • アプリケーションレベルのマイクロセグメンテーションを提供し、ユーザーがアクセスを許可されていないアプリケーションやその他のリソースを実行できないようにします。

BeyondTrust Privileged Remote Access は、 PAM のベスト プラクティスをベンダーおよび社内のリモート特権アクセスにも拡張します。このソリューションは、VPN や他の多くの一般的に使用されるリモート アクセス テクノロジでは現実的ではない、きめ細かい最小権限の制御を提供します。

  • 従業員、ベンダー、請負業者、サービス デスク担当者のすべてのリモート アクセスに、最小限の権限と堅牢な監査制御を適用します。
  • 資格情報を管理し、リモート セッションに自動的に挿入するため、エンド ユーザーは資格情報を参照したり、適切に使用するための情報を認識したりすることはありません。 BeyondTrust Password Safe と統合して、さらに拡張的な特権資格情報管理を実現します。

BeyondTrust により、私たちはこの状況に対処し、顧客の規制基準を満たし、真のゼロトラストに向けて取り組むことができます。
Mahmood Haq, CISO, MyVest

BeyondTrust の Privileged Remote Access により、SOC 2 準拠を達成するまでの道のりが大幅に簡素化されました。包括的な監査および証拠収集機能とともに、アクセスと監視に関する詳細かつ透明性のあるゼロトラスト セキュリティ制御を保証します。
—Shane Carden, CIO, Behavox

継続的に監視する

特権的なアクティビティは常に監視される

BeyondTrust 特権アクセス管理 (Privileged Access Management – PAM)ソリューションは、利用者、マシン、従業員、ベンダーなど、あらゆる特権セッションにわたるセッションの監視と管理を提供します。

  • 画面上のビデオ録画とキーストロークのログを通じて実行されるすべての特権アクションを文書化し、検索可能なセッション再生オプションを提供します。
  • 異常なアクセス場所、不適切なコマンド、侵害の兆候となる可能性のあるその他の属性などの異常な動作に基づいて、アラートとワークフローをトリガーします。
  • ファイル整合性の監視とコマンド フィルタリングを適用して、望ましくない変更や不正な変更やコマンドから Unix および Linux システムをさらに保護します。
  • 許容可能なユーザーの動作に基づいたポリシーを使用して、手動介入または自動化によってセッションを一時停止または終了する機能を提供します。

関連資料

ゼロトラスト

ゼロトラスト 関連資料
ゼロ トラストは難しいトピックである可能性があるため、私たちは一流の専門家によって指摘されたトップ レベルの資料を厳選しました。
www.idnetworks.co.jp
2024.03.05
ゼロトラスト FAQ
ゼロトラストに関連したよくある質問を整理しています。
www.idnetworks.co.jp
2024.03.06

BeyondTrustについて

BeyondTrust社について
ワールドワイドでよく利用されている特権アカウント管理ソリューションを提供しているBeyondTrust社を紹介します。
www.idnetworks.co.jp
2020.09.07
特権アクセス管理ソリューション
BeyondTrustは、特権アカウントのパスワード管理、VPNを利用しないリモートセッション、サポートサービス、最小権限を実現するソリューションを擁しています。広くいろいろな業界でも使用されています。
www.idnetworks.co.jp
2024.02.22
ホーム
BeyondTrust社について
特権アクセス管理ソリューション