特権アクセスワークステーション(PAW)とは、特権アクセス管理(PAM)の重要な要素であり、特権操作(ディレクトリサービス、サーバー、データベース、アプリケーション、その他の重要なシステムの管理など)を行うための専用のデバイスや環境を指します。PAWには、攻撃者による特権アカウントの侵害リスクを最小限に抑えるために、高度なセキュリティ対策が施されています。
PAWを利用すべき理由
PAWの主な目的は、認証情報に関するセキュリティ侵害のリスクを最小限に抑えることです。特に、機密性の高いアカウントを標的とした、認証情報の窃取や特権悪用による侵害を防ぐことに重点を置いています。PAWは一般的に、システム管理者やセキュリティ担当者用の環境で、特権操作を行うために利用されます。また、PAWを経由した特権システムへのリモートアクセスが可能で、このアクセス方法によりセキュリティ侵害のリスクが低減されます。
認可されたユーザーは、PAWの使用を許可され、特権アカウントへの管理者アクセス権限が付与されます。このプロセスは、ミッションクリティカルなITリソースへのアクセスを管理・制御する特権アクセス管理ツールを通じて実行されます。
PAWの基本要件
PAWは、特権アカウントやリソースを最高レベルのセキュリティで保護することを目的とし、多層防御によってハードニング(要塞化)された専用の端末です。通常PAWには、以下のようなセキュリティ対策が施されています(以下は例示であり、他の対策も存在します)。
01. アプリケーションとコマンドの許可リスト
PAWで実行できるのは、定義済みのアプリケーションとコマンドのみです。この対策により、利用できるユーザーを限定することで、攻撃対象領域を削減できます。
02. ネットワーク分離
通常PAWは、他のネットワークから分離されており、攻撃者がPAWに到達することは困難です。
03. 多要素認証(MFA)
ユーザーは、PAWにアクセスする前に多要素認証による認証を受ける必要があります。
04. システムのハードニング(要塞化)
PAWは、セキュリティのベストプラクティス(「ソフトウェアを最新の状態に保つ」「不要なサービスを無効化する」など)に従って構成されています。
PAWは、特権アクセスに特化しているため、一般的なユーザーアクティビティ(インターネットの閲覧、メールの送受信、他ユーザーとの共同作業のための操作など)には使用できません。また、アプリケーションの許可リストなどの管理制御が適用されているため、外部のネットワークやデバイスはPAWに接続できません。上記の対策を実現する機能はすべて、PAM(特権アクセス管理)ソリューションで包括的に提供されています。
PAWと踏み台サーバーの違い
ネットワーク上のマシン(クライアントなど)が別のマシンとの接続を試みるとき、接続先のデバイスやワークロードのマシンIDを確認するリクエストを送ります。
このように、あるマシン(デバイスまたはワークロード)が他のマシンのIDを確認するプロセスは、M2M(Machine to Machine)認証と呼ばれています。
マシンID管理を実施する際には、M2M認証の設定時に厳格なポリシーを適用することが強く推奨されます。
| PAW | 踏み台サーバー | |
|---|---|---|
| 概要 | 認可されたユーザーが特権アクセスを用いて管理業務を行うための専用ワークステーション。高度なセキュリティで保護され、潜在的に危険なアクティビティから分離されている。 | セキュリティ対策が施されたサーバーで、クライアントとサーバーの間でゲートウェイまたは中間サーバーとして機能する。 |
| 用途 | 日常なWebサイトの閲覧、メールの送受信、その他の潜在的に危険なアクティビティには使用されず、特権的な操作のみが行われる。 | ユーザーがネットワーク内の他のシステムにアクセスするには、まず踏み台サーバーに(一般的にSSHやRDPを介して)接続する。 |
| 関係性 | 潜在的なリスクを最小限に抑えるために、外部のWi-FiネットワークやUSBデバイスには接続されていない。管理者アクセス権限を持つOSからの接続のみを受け入れる。 | 通常、管理者が社内ネットワークのリソースに外部から安全にアクセスするために使用される。 |
| 使用例 | 高度なセキュリティが要求される業務(Active Directoryの管理や、サーバーへのソフトウェアのインストールなど)を行うため。 | トラブルシューティングで、本番サーバーにアクセスするため。 |
PAWユーザーのセキュリティニーズに対応するために、PAMソリューションが提供すべき重要な機能
PAMソリューションが提供すべき、PAWユーザーが必要とする重要な管理機能は、次のとおりです。
01. 多要素認証(MFA)
異なる複数の認証手段や段階を設けることで、セキュリティ層を厚くします。
02. 特権アカウントのガバナンス
幅広いITリソース(オペレーティングシステム、データベース、アプリケーション、ネットワークデバイス、ハイパーバイザーなど)に関連する特権アカウントと認証情報を自動的に検知、登録、管理、共有します。きめ細かいアクセス制御を実施することで、認可されたユーザーのみがログインし、許可された特定の特権操作を実行できるように管理します。
03. 特権セッション管理
特権セッションの監視、記録、アーカイブを行います。フォレンジック監査用に、特権セッションをリアルタイムで監視・記録します。また、悪意のあるアクティビティに関与しているユーザーを検知した場合は、自動的にセッションを強制終了します。
04. 役割ベースのアクセス制御
最小特権の原則(重要なリソース・アカウントに対するアクセス権限を、役割や要件に基づいてユーザーに付与する考え方)を適用します。
05. ジャストインタイム(JIT)アクセス
ユーザーの要求に応じて、特権リソースに対するアクセス権限を一時的に昇格します。JITアクセスは、PAMソリューションの重要なモジュールです。この機能により、特権アクセスの使用後に毎回、必ずアクセス権が取り消され、機密リソースのパスワードがローテーションされます。
06. セキュアなリモートアクセス
PAWからリモートのシステムへのアクセスを、セキュアかつワンクリックで実現します。この仕組みにより、セキュリティを損なうことなく、管理者ユーザーが重要なシステムに社外からアクセスできます。
07. ポリシーの適用とコンプライアンスレポートの作成
社内のセキュリティ要件に基づいてパスワードポリシーを適用し、業界規制や社内ポリシーの準拠状況を示すレポート機能を提供します。
08. アプリケーション許可リストの作成とコマンドの制御
許可リストに登録されたアプリケーションやコマンドに合わせて、適切な権限レベルがユーザーに付与されます。この制御により、不正なソフトウェアが実行されるリスクを軽減します。
09. 動的なリスク評価と異常検知
セキュリティに関わる多数のパラメーターを継続的に監視し、ユーザーやデバイスのトラスト(信頼)スコアを算出します。このスコアによって各ユーザーやデバイスのセキュリティ状態を判断し、アクセスポリシーを自動生成します。また、行動分析と機械学習を活用して不審な行動パターンを特定し、リスクが顕在化する前に脅威を隔離します。