Leostreamのブログ ” Why Zero Trust Isn’t Complete Without Vendor Privileged Access Management “を紹介します。
ゼロトラストは、企業のセキュリティ対策における基本原則です。「信頼を排し、検証を徹底する」ことで、ユーザーやデバイス、接続は、重要なシステムにアクセスする前に、継続的な認証と承認を受けます。
背景と課題
データベース管理やセキュリティサービスなど、外部ベンダーやパートナーなどサードパーティにアウトソーシングしていることが一般的になってきました。
従来のアクセス方法(VPNや共有認証情報)は、過剰な権限付与や資格情報漏洩、横方向の攻撃リスクを生み、コンプライアンス違反の原因にもなります。
不完全なゼロトラスト
NIST SP 800-207やCIS Controlsといったセキュリティフレームワークでは、ゼロトラスト・アーキテクチャの一環として外部アクセス管理の重要性が強調されています。
そのため、多くの企業はゼロトラストを意識し、MFAなど「ゼロトラスト対応」を謳う製品を導入しています。
しかし現実には、VPNのようにゼロトラストに最適とは言えない仕組みを使って、サードパーティにアクセスを許可しているケースも少なくありません。
VPAMで出来ること
ゼロトラストに向いていないとされるVPNの代わりにVPAM(Vendor Privileged Access Management)を導入することにより対応できます。
IDベースのアクセス: 共有アカウントではなく、個々のベンダーのIDに紐づいた検証済み認証情報でログインさせます。
最小特権の強制: ベンダーの役割に応じて明示的に承認されたシステムとリソースにのみアクセスを許可します。
セッションの監視と記録: すべてのアクティビティを監査、コンプライアンス、インシデント対応のために記録します。
セキュアでVPN不要の接続: ブラウザベースのアクセスにより、外部デバイスが内部ネットワークに直接参加するのを防ぎます。
VPN vs VPAM
| 特徴 | VPN (Virtual Private Network) | VPAM (Vendor Privileged Access Management) |
|---|---|---|
| セキュリティモデル | 境界防御モデル (一旦入れば信用) | ゼロトラストモデル (何も信用しない、常に検証) |
| アクセス許可範囲 | ネットワーク全体へのトンネル (広範囲) | 特定のシステム・アプリのみ (最小特権) |
| 接続手段 | 専用クライアントで接続し、内部ネットワークの一部になる | ブラウザベースが主流。内部ネットワークに接続せず、隔離された状態でアクセス |
| 対象ユーザー | 主に従業員 | 主に外部ベンダー、請負業者(特権ユーザー) リモートアクセスする従業員 |
| 認証・検証 | 接続時の一回限り | アクセスごと、セッションごとに継続的に検証 |
| 監査・監視 | 接続の有無程度 | セッション全体の記録・監視、不正行為の防止 |
| リスク | 認証情報漏洩で内部ネットワーク全体が危険になる | 最小限の範囲に隔離されるため、被害範囲が限定的 |
まとめ
結論として、特権を持つサードパーティのアクセスを構造的に管理しなければ、どれほど強力なゼロトラストプログラムであっても不完全なままです。
そのため、VPAMを活用することで、ベンダーアクセスにおけるギャップを埋め、セキュリティ強化とコンプライアンス遵守を両立できます。
Leostream 関連ページ
| リモート デスクトップ プラットフォーム | 特権リモートアクセスサービス |
| どこでもライブ放送制作 | Omnissa Horizonの代替 | VDIの強化 |
| OpenStack VDI | 高性能コンピューティング (HPC) の革命 | 物理ワークステーションアクセス |
| ハイブリッド・クラウドVDI | 安全最適なリモートワーク | Linux VDI |
| ゼロトラストの実現 |
| Leostream + 10ZiG | ||
| 金融機関 | メディアとエンターテイメント |
| 政府と防衛 | 石油とガス |
| BeyondTrust | Leostream | Promon | i-Sprint AxMX | ブログ(旧) |
コメント