特権昇格とは?
特権昇格とは、通常は管理者しかアクセスできない重要リソースに対するアクセス権限を、標準ユーザーに一時的に付与する仕組みを指します。この仕組みにより、IT管理者は永続特権(常時有効な管理者権限)を従業員に割り当てずに済みます。セキュリティリスクを軽減しながら、業務に必要な権限のみをスムーズに付与できる管理手法です。
たとえば、経理部の社員が会計ソフトの最新バージョンをインストールする必要がある場合、ソフトウェアの管理者権限が必要となります。このようなシナリオで特権昇格を用いれば、恒久的な権限ではなく一時的な特権が割り当てられ、その特権は作業完了後に取り消されます。アクセス可能なリソースや操作の範囲を制限しながら利用許可を与えるため、従業員が不要な操作を行うことがありません。このように、必要に応じて最小限の権限のみを割り当てることで、過剰な権限付与を防ぎ、ITセキュリティを担保できます。
特権昇格攻撃とは?
特権昇格攻撃は、攻撃者が企業リソースに侵入した後、不正に権限を引き上げ、機密データの窃取やネットワークの侵害を狙う攻撃手法です。この手法では、外部の攻撃者や悪意のある内部関係者が、管理から漏れているアカウント(孤立アカウント)や永続特権を持つアカウントを侵害します。そして、通常はアクセスできないシステムに侵入し、データ流出などの不正行為に至ります。
特権昇格攻撃の種類
特権昇格攻撃では、攻撃者は以下のような手口で徐々にシステムの侵害範囲を広げていきます。
水平型の特権昇格攻撃
同じ権限レベルのまま侵害範囲を横方向に広げる手法です。この手口では、攻撃者が最初に侵害したアカウントから、同じ権限を持つ別のユーザーになりすまし、システムやデータに不正アクセスします。たとえば、悪意のある従業員が、盗んだ認証情報を使って同僚のアカウントに侵入し、機密データ(パスワードやファイル)や、所属するネットワークを侵害します。
垂直型の特権昇格攻撃
侵入後に権限レベルを引き上げて、攻撃を行う手口です。この攻撃手法では、まず標準アカウントを乗っ取り、不正に権限を昇格させて管理者向け機能の悪用を狙います。たとえば、情報システム部門に所属していない新入社員が、システム管理ツールに不正にアクセスし設定操作を行った場合、垂直型の特権昇格攻撃に該当します。
特権昇格・委任管理の仕組みを組織で導入すれば、特権を制限付きでユーザーに付与することが可能になります。これにより、効率的な特権アクセス管理と、効果的なゼロトラストモデルを実現できます。
PEDM(特権昇格・委任管理)とは?
PEDM(特権昇格・委任管理)は、特権アクセス管理(PAM)を構成する1つの概念であり、「必要な時に、必要な範囲のみ権限を与える」ためのアクセス制御の枠組みです。PEDMでは、細かい制限を設けながら、一時的な権限を一般ユーザーに付与します。PEDMを導入することで、IT管理者は必要な場合に限って特権アカウントや特権リソースへのアクセス権を従業員に付与できます。この厳格なアクセス制御と他のPAM機能が一体となって機能することで、攻撃者や内部犯行者による不正な権限取得を防ぎ、アカウントやパスワードの漏洩リスクを軽減できます。
PEDMの概念が広まる以前は、特権アカウント・セッション管理(PASM)というアプローチが主流でした。最小特権の原則(POLP)を適用し、パスワードボールト(保管ストレージ)で認証情報を管理するという点では、PEDMとPASMは同じです。ただし、PASMには「一度に全てを許可するか、何も許可しないか」のどちらかしか選択できないという欠点があります。つまり、アクセス範囲や有効期間を制限するような、きめ細かいアクセス制御はPASMでは行えません。PASMに基づいてリソースへのアクセスを許可する場合、一時的な管理者アカウントがユーザーに貸し出されます。アカウント自体が貸し出されるため、本来の業務目的に沿わないアプリケーションやサービスへのアクセスや広範な操作が可能になってしまいます。さらに、その管理者アカウントが無断で共有されたり、万が一侵害されたりして攻撃者の手に渡ると、最悪の場合、システム全体が乗っ取られてしまうリスクさえ生まれます。
PEDMが解決する課題とは?
重要なアカウントへの高い操作権限や恒久的なアクセス権をユーザーに付与する体制は、重大なセキュリティリスクを抱えています。認証情報やパスワードの流出・侵害によって高い権限が攻撃者の手に渡った場合、機密性の高いIT資産に不正アクセスされるリスクが生じます。さらに、攻撃者が特権を意のままに悪用できるようになり、従来のセキュリティ対策では攻撃者を検知できなくなる可能性さえあります。そこで、このリスクを解消しセキュアなアクセス管理を実現する仕組みが、PEDMです。PEDMは、一定時間のみ有効のアクセス権を、必要に応じてその都度付与するため、上記のようなリスクを軽減します。
PEDMの仕組み
PEDMでは、機密情報へのアクセス要求が正当であると判断された後に、有効期限付きのアクセス権が付与され、期限を過ぎると権限は取り消されます。侵害・悪用のリスクが高い永続特権が付与されることはありません。
重要なシステムやアプリケーションにアクセスするために、より高い権限を必要とする場合、ユーザーは特権昇格の申請を行う必要があります。ユーザーの権限が一時的に昇格されるのは、管理者がその申請を確認・承認した後です。申請内容に基づいて審査し、一時的にアクセス権を付与するこの仕組みは、ジャストインタイム(JIT)アクセスと呼ばれています。
一般的なPAMソリューションには、PEDMの仕組みが備わっています。たとえば、データベースのアクセス管理にPEDMを導入した場合、基本的な閲覧権限のみが一時的にユーザーに付与され、影響範囲の大きい操作(データの修正・削除や、パスワードの変更など)は許可されません。さらに、不正アクセス防止のために、指定された期間の終了後にはアクセス権が取り消され、認証情報がPAMソリューション内でローテーションされます。
PEDMのメリット
PEDMを導入すれば、IT管理者は申請内容に基づいて、ユーザーへのアクセス権付与が妥当かどうかを判断できます。また、権限付与の際、アクセス可能な範囲(「特定のアプリケーションのみ」「スクリプトやプロセスのみ」など)や利用時間を制限するなど、きめ細かいアクセス制御も可能です。PEDMでは、最小特権の原則に基づき業務に必要な最小限の特権のみを標準ユーザーに付与するため、特権アクセスのセキュリティが強化されます。
セキュリティ体制の強化
PAMの中核であるPEDMを導入し、最小特権の原則を実現することで、特権アカウントやその認証情報が攻撃者や内部犯行者に悪用されるリスクを大幅に軽減できます。PEDMでは、きめ細かく制御された特権が付与されるため、ユーザーが一時的に管理者権限を持っていても、対象システムを自由に操作できる訳ではありません。このセキュリティ制御により、仮に特権が攻撃者に侵害された場合でも、データの不正な取得・操作は防止できます。
要件に合わせた柔軟な特権付与
一般的なPEDMソリューションには、セルフサービス特権昇格という機能が備わっています。この機能を活用すれば、ユーザーは特権アクセスの利用要件に合わせてカスタマイズされたロールを自身でリクエストできます。リクエストは、事前に定義された条件に基づいて審査され、承認された場合、ジャストインタイムのアクセス権が付与されます。また、PEDMソリューションは通常、監視・監査・レポート機能も備えているため、組織のコンプライアンス対応にも大きく寄与します。
攻撃対象領域の大幅な削減
PEDMを実施する主なメリットは、組織の攻撃対象領域(サイバー攻撃の対象になりうる脆弱な領域)を縮小できることです。厳格なアクセス管理によって特権アカウントの数や特権セッションの接続時間を制限することで、攻撃経路を最小化できます。
効果的にPEDMを実践するには?
PAM戦略の一環としてPEDM(特権昇格・委任管理)を実施するには、以下の6つのアプローチが鍵となります。
特権を細かく監査する
常時有効な特権や、過剰な権限を持つユーザーアカウントを特定し、適切な権限設定になるよう調整します。また、ユーザー単位ではなく、アプリケーション、サービス、デバイス単位で特権昇格を行います。この運用方法では、管理者アカウントと通常のユーザーアカウントを明確に区別して管理します。
最小特権の原則を遵守する
付与する権限の数は限りなく少ない方が望ましいため、常に最小限の権限のみをユーザーアカウントに割り当てる運用体制を整えます。この体制により、特定のタスクを実行するための一時的なアクセス権のみが割り当てられ、ローカル管理者権限は不用意に付与されなくなります。
認証情報や特権セッションを保護・監視する
安全なボールト(PASMソリューションに組み込まれている認証情報を保管する機能)を使用して、管理者アカウントの認証情報を保護します。認証情報が侵害された可能性を考慮し、パスワードを定期的に、または適宜ローテーションします。さらに、すべてのセッションとアクティビティを常時監視し、不審な挙動があれば即座に検知・遮断します。
ジャストインタイム(JIT)でアクセスを制御する
機密性の高いシステムへのアクセス権限は、必ず時間制限付きで付与します。また、ユーザーがアクセスを必要としている理由や作業内容に基づいて、一時的な権限昇格の可否を判断します。さらに、特権セッションをリアルタイムに監視し、セッション終了時にはアクセス権の取り消しと認証情報のローテーションを行います。この管理方法により、不正アクセスのリスクを低減します。
特権昇格のアクティビティログを頻繁に確認する
特権アクセス中の操作を監視・記録し、許可されていない不審な動作(ネットワーク構成の追加やログイン試行の失敗)を検知します。ログ単体の操作内容だけでなく、コンテキストを踏まえたログ相関分析により、ユーザーの行動パターンを把握し、データドリブンなセキュリティ対策につなげます。
ユーザーアカウントと特権を定期的に確認する
業務に必要な最小限の権限がアクティブユーザーにのみ付与されているかを定期的に確認します。不要な権限を取り消し、非アクティブなアカウントを削除することで、セキュリティリスクを回避します。
ManageEngine PAM360でPEDMを導入
PEDMは、PAMの効果を高める次世代型のアクセス管理手法として、業界を牽引する機関や企業に注目されています。PAM戦略にPEDMを組み込む主なメリットは、効果的な特権管理によって内部および外部からの攻撃を未然に阻止できることです。最小特権の原則に準ずるポリシーや仕組みを導入することで、ユーザー単位でなく、アプリケーションやプロセス単位での権限管理が可能になります。これにより、システム管理者は特権アカウントやリソースに対する厳密なアクセス制御を実施できます。
ManageEngine PAM360は、効果的なPEDMを実現するソリューションです。PAM360を活用すれば、ジャストインタイムの特権アクセス制御によって、Windowsなどのローカルアカウントやドメインアカウントを保護できます。評価版をダウンロードし、PAM360の機能や仕組みをぜひ体験してみてください。