特権アカウントへのセキュアなアクセス
特権アカウントは、全てのサーバー、デスクトップ、ビジネスアプリケーション、データーベース、Webサービス、ネットワーク機器でも使用されます。
またオンプレミスもクラウド関係なく特権アカウントは使用されます。
特権IDの管理リスク
最近の高度なサイバー攻撃は自動化することで様々なパターンで長期間攻撃することで成功させます。
ファイアウォールのような境界セキュリティは、既知の攻撃方法には対応できますが、ゼロ・デイ・アタックのような洗練された攻撃方法には対応できません。
攻撃者はいったん境界セキュリティ内に侵入して、バックドアを仕掛けたら、ちゃんと管理されていない特権アカウントを見つけ出して攻撃をします。
特権アカウントは既存のIDアクセス管理でコントロールすることは難しいです。なぜなら、要件が違うからです。
特権アカウント管理では以下のことを実行する必要があります。
- システムで使用されている特権アカウントの利用状況の確認
- 社員、パートナー、社外関係者の誰がどの特権アカウントを使えるかの確認
- 誰がいつ、どのような理由でどの特権アカウントを使用したのか証跡確認
- それぞれの特権アカウントの認証情報が強力な暗号で保管され、それぞれ別に定期的に更新すること
コントロールされた特権アカウントへのアクセス
BeyondTrust Password Safe を利用することでサイバー攻撃者からネットワークにある特権アカウントを守ることができるようになります。
- 既存のセキュリティソリューションと連携して検知された攻撃に対応
- 自動的な認証情報のローテーションによるサイバーセキュリティ対策
- 広範囲の攻撃をさせないようにそれぞれのシステム、アカウントを独立して管理
インターネット経由のアクセス
Privileged Remote Access(PRA)はJump テクノロジーにより、https で特権アカウントを利用するシステムにアクセスできるようになります。
PRAだけでも簡単な申請承認はできるようになっていますが、Password Safeと連携することで認証情報の定期的な更新など高度な管理ができるようになります。
主な機能
BeyondTrust の特権アカウント管理ソリューション –BeyondTrust Password Safe はさまざまなプラットフォームの特権認証情報のライフサイクル管理を行います。
1.発見
重要なIT資産、特権アカウントとそれに紐づいた関係を認識し記録します。
2.修復/更新
パスワードの複雑性、多様性、変更頻度のルールを実行します。
3.権限設定
必要最低限の権限を各ユーザーに与えます。適切な人間だけが、必要最小限の権限でIT資産にログインできます。
4.申請と承認
特権アカウントを利用する時に利用理由を説明して申請し、上長が判断して承認もしくは拒否します。悪用の抑止と万が一問題が生じたときに確認が可能になります。
5.特権アカウントのシングルサインオン
承認された後、代理入力のシングルサインオンを提供することで利用者にパスワードを見せないようにすることが可能です。パスワードを閲覧させないことで利用者は特権アカウント管理システム経由でしかアクセスできないようになります。