特権アクセス管理(PAM)とは、サイバーセキュリティの戦略や原則を指します。組織のネットワークにある機密リソースへのアクセスを保護・制御・管理することを目的としています。
特権アクセス管理の概要や重要性、ベストプラクティスなどを解説する前に、特権アクセス管理に関わる重要な要素(特権アクセス、特権ユーザー、特権アカウント、特権に関わる認証情報)についてご説明します。
特権アクセスとは?
特権アクセスとは、特別な権限を付与することで、標準ユーザーが通常許可されていない操作を行えるようになるアクセスの仕組みです。一般的に特権操作に該当するものには、サーバー設定の変更、パスワードの変更、データシステムへのアクセス、新しいプログラムのインストール、重要なサービスの実行、ユーザープロファイルの追加、メンテナンスの実施、ネットワーク構成の変更などがあります。
昨今、企業のIT部門の多くでは、情報システムへの特権アクセスをユーザーに付与する際に、特権アカウントと呼ばれる重要なユーザーアカウントを多用しています。特権アクセスを可能にする主要な手段として、指紋認証・顔認証やスマートカードなども挙げられますが、あまり普及していません。現在のIT環境では、特権アカウントが最も多く採用されている手法です。
機密情報を扱うシステム(物理サーバー、ワークステーション、データセンターの機器など)のセキュリティを徹底し、その機器への直接アクセスを完全に禁止している組織もあります。このような場合において、機器やシステムへの物理的なアクセスが許可されているユーザーは、特権アクセスを持っているとみなされ、一般的に特権ユーザーと呼ばれています。
特権ユーザーとは?
特権ユーザーとは、1つまたは複数の特権アカウントやその他のアクセス手段を持ち、ITインフラの一部または全体に対する強いアクセス権限が許可されているユーザーのことです。
特権ユーザーの多くは、システム管理者、ネットワーク設計者・管理者、データベース管理者、ビジネスアプリケーションの管理者、DevOpsエンジニアなどのIT管理者です。また、開発や運用保守などのIT業務を支援する外部の協力会社や個人が、企業ネットワークへの特権アクセスを許可されている場合もあります。
通常、特権ユーザーは、企業におけるシステム上のユーザーの一種であり、他には標準ユーザーやパワーユーザーなどの種別があります。
企業のITユーザーの種類
標準ユーザー
日常業務を行う上でビジネスアプリケーションにアクセスでき、操作が一部制限されているアカウントを持つ一般ユーザーです。通常、機密性の高い情報システムへのアクセスは許可されていません。
パワーユーザー
パワーユーザーは、標準ユーザーに比べ、より高い権限を持っています。従業員の端末を管理している社内のIT担当者などが該当します。標準ユーザーよりもわずかに強い権限を持っており、ローカル端末やデータベースへのリモートアクセスなどの追加的な操作が可能です。
特権ユーザー
最も重要なユーザーであり、通常、数に限りがあります。特権ユーザーは、IT環境において最もリスクの高いユーザー種別であるため、常時監視が求められます。
特権アカウントとは?
特権アカウントとは、一般アカウントが持っていない特別なユーザー権限を付与されたアカウントです。人間のアカウントやアプリケーションのアカウント(操作を自動化するために機器やアプリケーションに割り当てられたアカウント)、サービスアカウントなどが特権アカウントとして設定される場合があります。
ユーザーが特権アカウントを使用すれば、特権アカウント以外では利用できない機能やリソースにアクセス可能になります。たとえば、機密性の高いサーバーやアプリケーション、データベースといったクリティカルなリソースにアクセスし、設定変更を加えることができます。
特権アカウントの種類
企業では、さまざまな種類の特権アカウントが使用されています。
01. ドメイン管理者アカウント
ドメイン管理者アカウントには、ドメイン全体を対象にした管理者権限があります。このアカウントを持つユーザーは、Active Directoryなどのディレクトリサービスにおいて、ドメイン全体に影響を及ぼす操作(ドメインの設定管理や、グループの参照・管理など)を実施できます。
02. ローカル管理者アカウント
ローカル管理者アカウントには、特定のサーバー、ユーザー端末、ワークステーションに対する管理者権限があります。このアカウントでは、管理者操作(デバイスやサーバーの管理や設定変更など)を機器・端末単位で実行できます。
03. サービスアカウント
サービスアカウントは、特定のアプリケーションやサービスを実行するための専用アカウントです。
04. アプリケーション専用の特権アカウント
アプリケーション専用の特権アカウントは、特定のアプリケーションに対する管理者権限を有するアカウントです。
05. スーパー管理者アカウント
スーパー管理者アカウント(緊急アクセス用管理者アカウント、またはBreak Glassアカウント)には、企業内の全リソースへのフルアクセス権が付与されています。緊急時に使用するアカウントです。
特権認証情報とは?
特権認証情報は、機密性の高いリソース(アカウント、サーバー、データベース、アプリケーションなど)にアクセスする際に特権ユーザーが使用する認証情報です。パスワード以外の認証情報(SSHキー、APIキー、トークン、証明書など)も該当します。
ここまででPAMの基本を押さえたところで、次に特権アクセス管理の仕組みを解説していきます。
特権アクセス管理の仕組み
特権アクセス管理とは、業務に必要なリソース、アカウント、認証情報に対する昇格されたアクセス権(特権アクセス)を、一部のユーザーに付与するプロセスです。特定の作業を行うために限定的なアクセスが割り当てられた場合は、作業完了時にアクセスが無効化されます。
つまり、特権アクセスを付与された場合、特権アカウント、認証情報、システム、サーバー、データベースなどにアクセスし、管理や設定変更などの重要な操作を実行できます。特権アクセス管理とは、このようなアクセスを制御・管理するプロセスです。
特権アクセスは、従業員が業務に欠かせない作業を行う上で必要な仕組みですが、重大な情報漏洩のリスクも抱えています。特権ユーザーは、複数の重要な認証情報やリソースにアクセスできるため、侵害された場合に大きな被害を招きます。
そのため、アクセス権が悪用されないように、特権アクセス管理では特権ユーザーの継続的な監視が求められます。割り当てられた特権を定期的に見直し、組織内でユーザーの役割変更が発生した際に、不要なアクセス権を都度取り消す必要があります。
PAM、IAM、PIMの違い
特権アクセス管理(PAM)は、IDおよびアクセス管理(IAM)や特権ID管理(PIM)と同じ概念として扱われる場合もありますが、それぞれには異なる点があります。
01. IAM
IAM(Identity and Access Management)は、ユーザーのアクセスを識別・認証・認可するセキュリティフレームワークです。企業のID管理に特化したポリシー、対策、技術によって成り立っています。IT管理者は、IAMソリューションを活用して、組織のIT資産(データベース、ネットワーク、アプリケーション、その他リソース)へのアクセスを制御します。IAMは通常、組織内の全ユーザーが対象となります。
02. PAM
PAM(Privileged Access Management)は、IAMの一部ですが、特権アクセスの管理に特化しています。PAMは主に、機密性の高いリソース、アプリケーション、アカウントに対する昇格されたアクセスを持つ特権ユーザーを対象としています。特権アクセスが付与され、セキュリティ脅威やデータ侵害のリスクが高くなっているユーザーやアカウントを重点的に管理します。IT管理者は、PAMソリューションを使用して、特権ユーザー、特権ID、特権アカウント、特権セッションを追跡・監視・管理します。
03. PIM
PIM(Privileged Identity Management)は、PAMの一部であり、特権IDの管理に焦点を当てています。機密情報へのアクセスを可能にする特権IDおよびその認証情報(サービスアカウント、ユーザー名、パスワード、SSHキー、デジタル証明書など)の管理・保護に特化したセキュリティ対策やポリシーで構成されています。
整理すると、IAMは、企業全体にわたるアクセス全般を管理対象としており、すべてのIT資産(ユーザー、システム、リソース)が包含されています。一方、PIMとPAMは、特権リソースや特権システムのアクセス管理に特化しています。
特権の脅威ベクトル
管理が徹底されていない特権は、現在のビジネス環境において隠れた脅威となっています。重要な情報システムへの特権アクセスは、サイバー攻撃者にとって価値の高い格好の標的です。そのため、特権ユーザーアカウントが攻撃者の手に渡ると、簡単に組織を崩壊させるような、致命的な被害を招くリスクがあります。さらに、特権アクセスの侵害は、極めて検出が困難なサイバー攻撃です。特権の悪用・誤用による侵害は、数か月以上、場合によっては年単位で検出されないままとなる可能性さえあります。
特権アクセス管理が企業にとって重要である理由
特権アクセスと特権アカウントの管理が不十分だと、以下のような脅威やリスクに企業がさらされる可能性があります。
特権に対する外部の脅威
「65%のセキュリティ侵害は、外部の攻撃者に起因している」 - Verizonの「2024年度データ漏洩/侵害調査報告書」
特権アカウントは、機密性の高いデータサーバーに対するフルアクセス権を、攻撃者が不正を悟られずに窃取するための格好の標的です。ハッカーは通常、フィッシング詐欺や偽サイトなどの手法でだまされやすい特権ユーザーを巧みに操り、情報を開示させます。この情報を悪用して企業のセキュリティ対策をかいくぐり、ネットワークに侵入します。
ハッカーは、ネットワークに侵入するとすぐに、管理が行き届いていない特権認証情報を探し出します。そして、自分自身をドメイン管理者に昇格させ、機密性の高い情報システムへの無制限のアクセス権を入手します。このような脅威に対抗する効果的な手段は、すべての特権認証情報を暗号化された集中保管システムで厳重に管理することです。加えて、保管システムにおいて「役割ベースでアクセスを制御する」「多要素認証を適用する」「すべてのアクセス要求をログに記録する」といった対策も必要です。
特権に対する内部の脅威
最大の脅威は、身近に潜んでいる可能性があります。現在、あらゆる規模の組織において、内部関係者による特権悪用の懸念が急速に広がっています。Verizonの「2024年度データ漏洩/侵害調査報告書」によると、特権を狙った内部脅威は セキュリティ侵害の35%を占めており、前年度の20%から15%増加しています。
私的利益を狙った、悪意のある内部の特権ユーザーは、外部の攻撃者よりも重大な損害を引き起こしかねません。内部関係者は、内部の人間として得た信頼を逆手に取り、自身に付与された特権を悪用します。そして、機密データを盗取し外部に売るため、気付いたころにはすでに手遅れになってしまいます。
このような内部不正から重要な資産を保護するには、すべての特権ユーザーのアクティビティをリアルタイムで常時監視し、異常行動検知や脅威分析を活用することが不可欠です。
不注意な従業員による特権リスク
Verizonの「2024年度データ漏洩/侵害調査報告書」によると、76%のセキュリティ侵害に人的要素(ソーシャルエンジニアリング攻撃、ヒューマンエラー、不正利用など)が関与していました。
特権アクセスが適切に管理されていない場合、不注意な従業員は、手に負えない脅威となりえます。無用心な従業員は、サイバーセキュリティの重要性に対する理解が欠如しています。重要な認証情報をハッカーに見つかりやすい状態で放置したり、自分のアクセス権限を許可されていない従業員と共有したりと、軽率な行動を取ります。
典型的な例として、社内サーバーの認証トークンが書き込まれたコードを、DevOpsエンジニアがGitHubなどのオープンプラットフォームに誤って公開し、そのまま放置してしまうケースが挙げられます。このような危険な行為を防止するには、包括的な監査を行うとともに、すべての特権アクティビティをユーザーに紐付ける堅牢な特権アクセスガバナンスを構築する必要があります。
外部企業や元従業員による特権脅威
外部企業も、組織のビジネス活動において重要な役割を持っています。多くの組織が、業務遂行のために複数の企業と協力しています。業務委託先、コンサルタント、パートナー、外部のメンテナンスチーム、サービス提供者などが外部企業として挙げられます。外部の企業は、多様なビジネス上の理由により、社内インフラへの特権アクセスを必要とする場合があります。つまり、現在のデジタル化が進んだビジネス環境において、社内ネットワークに正当な理由でアクセスする第三者も、内部関係者と同等の脅威と言えます。
不満がある元従業員や経済的利益を狙う元従業員にも、同様の危険性があります。会社に対してマイナス感情を抱く退職者がアクセス権を持っている場合、その権限を悪用して不正アクセスを行い、盗んだデータをハッカーに売り渡す可能性があります。このような脅威に対抗するには、従業員や外部関連者の特権を定期的に見直し、不必要なアクセス権を削除する必要があります。
過剰に割り当てられた特権
業務に必要以上の、過剰な特権がユーザーに付与されている場合が多くあります。その結果、付与されている権限と、実際にユーザーが使用する権限の間に乖離が生じます。このような状況を避けるためには、最小特権の原則(PoLP)を適用し、作業を完了するために必要な最小限の権限のみを割り当てることが重要です。特権アクセス管理システムを導入し、最小特権の原則に基づいたセキュリティ対策やユーザー操作の監視を行わなければ、不要な権限が付与されたアカウントに不正にアクセスされ、悪用される可能性があります。
取り消されない特権
放置された特権は危険です。IT管理者は、データサーバーへの特権アクセスをユーザーに付与した後、そのアクセスの取り消しを怠る場合がよくあります。「誰に、どのような特権が付与されたか」を追跡するツールがなければ、権限の取り消す作業は煩雑になります。しかし、権限の取り消しを怠ってしまうと、ユーザーが作業完了後も特権を保持し続けるため、本来許可されていない操作を実行できる状態が続きます。そこで、特権アクセス管理ソリューションを活用することで、有効期限を設定して必要最小限の特権アクセスをユーザーに付与できます。そして、付与された特権は、指定された時間が過ぎると自動的に取り消されます。
不十分な記録による特権リスク
記録の不完全さは、一見それほど重大な脅威に見えないかもしれませんが、データ侵害が発生した場合、組織に大きな損害を招く可能性があります。特権操作の包括的なログや、明確な証跡がなければ、発生したインシデントやそのコンテキストを把握できません。結果として、フォレンジック調査が滞り、これまで築いてきたブランド評価や顧客からの信頼を損なうことになります。
強力な制御や定期的な監視によって特権アクセスが徹底的に管理されていない限り、データ漏えいのリスクが高まり、事業の混乱、訴訟、調査コストの発生、信用失墜につながる可能性があります。特権アクセス管理は、組織で最優先されるべき、長期的なセキュリティプロジェクトとして位置付けられなければなりません。特権アクセス管理により、サイバーセキュリティ体制の弱点を排除し、特権アクセスに関わる新たなリスクを首尾よく回避する必要があります。
PAMによって特権アカウントを保護する方法
サイバー脅威の新たな傾向では、攻撃者がセキュリティ境界を侵害するために、高度なツールや攻撃手法を必ずしも用いるわけではないことが明らかになっています。むしろ、侵害された特権アカウントや脆弱な認証情報が1つでもあれば、機密情報への無制限のアクセスを許してしまいます。したがって、特権アカウントのリアルタイム監視や定期的な監査、そしてセキュアなガバナンス・管理が、特権アクセス管理には欠かせません。
次に、PAMのベストプラクティスと、PAMソリューションの主な機能について詳しく説明します。
特権アクセス管理(PAM)のベストプラクティス
特権アクセス管理のベストプラクティスは、システムへの特権アクセスの「付与前」「付与中」「付与後」という3つの段階に分けて整理できます。
01. 特権アクセスの付与前
特権アクセス管理では、アクセス付与の前段階として、オンプレミス、クラウド、仮想プラットフォーム上で現在稼働している重要なエンドポイントを把握する必要があります。
資産を特定した後は、特権アカウントやSSHキー(またはスマートカードなどの強い権限を持つユーザー認証用のエンティティ)を、セキュアな保管システムで一元管理します。この保管システムは、軍用レベルの暗号化アルゴリズム(AES-256、RSA-4096など)によって多層的に保護されている必要があります。
その他の対策は、次のとおりです。
- 社内のIDガバナンス管理システムでユーザープロファイルを照合した後に、保管システムへのログイン要求を承認し、アクセス付与を行います。ユーザーの役割を確認し、特権アクセスの付与が適切かを判断します。
- 保管システムへのログインに対して、ワンタイムパスワード(OTP)、二要素認証(2FA)、シングルサインオンなど(SSO)などの強力な認証方法を複数組み合わせて導入します。
- ITマネージャーやIT担当者の承認を得てから、特権アカウントや認証情報をユーザーに提供します。
- チェックアウトした認証情報へのアクセスに時間制限を課し、一定期間の経過後に権限を自動的に無効化します。
- すべての認証情報へのアクセス要求を、タイムスタンプ付きでログに記録します。
02. 特権アクセスの付与中
次に、特権アクセスの割り当て中は、役割ベースのアクセス制御によって最小特権の原則をユーザーに適用します。この制御により、複数の認証方法で本人確認を行ったユーザーに、必要最小限のアクセス権が付与されます。次のような対策が必要になります。
- ユーザーデバイスからシステムへの直接接続を避けるために、ゲートウェイサーバーと暗号化されたチャンネルを通じて、特権セッションをトンネリングします。セキュリティをさらに強化するために、ユーザーがPAMソリューションにログインし、ワンクリックで特権セッションを開始できるようにします。この際、バックグラウンドでユーザー認証が行われるため、特権認証情報をユーザーに開示する必要はありません。
- 特権セッションの認証・認可に、一時的な証明書を使用します。一時的な証明書は、特権アクセス中に自動的に生成・提供されるため、ユーザーは接続時に認証情報を入力する必要がありません。セッション終了後、証明書は自動的に期限切れになります。
- RDPセッション中に制限付き特権(アクセス権限を特定のアプリケーションの使用に限定するなど)を付与します。または、SSHセッションで実行できるコマンドを制限します。
- PAMソリューションを使用してジャストインタイム(JIT)昇格制御を実施します。必要時に限り従業員の権限を昇格することで、不要なアクセス権の放置・蓄積を避け、リスクの低減を期待できます。JIT制御により、ユーザーは共有された特権アカウントではなく、自分のアカウントでログインできます。このため、「誰がどのような操作をしたか」という責任の所在が明確になります。この方法は、特権昇格および委任管理(PEDM)とも呼ばれます。最適なJIT最小特権モデルを実現するためには、PAMソリューションと社内のIDガバナンスツールの連携が有益です。この連携により、役割ベースのアクセス制御を活用した特権アクセス管理を効率的に実現できます。
- すべての特権セッションを記録し、ビデオファイルとしてアーカイブします。また、他の対策としては、危険な操作(悪質なコマンドの実行など)を即座に検知するために、進行中のセッションを(手動または自動で)複数同時に監視することも効果的です。
03. 特権アクセスの付与後
この段階で必ず覚えておくべき重要な対応は、作業完了後の特権アクセスの取り消しです。また、権限を取り消した後には、特権認証情報(パスワードやSSHキー)が保管システムに自動返却され、厳格なポリシーに基づいて即時リセットされる仕組みが必要です。この仕組みにより、以後の不正アクセスを防止します。
強固なセキュリティを実現するためのその他の対策は、以下のとおりです。
- PAMソリューションの一環として、特権ユーザーのアクティビティを包括的に記録するログ機能を実装します。監査証跡には、特権アカウントによる操作、ユーザーのログイン試行、設定変更、タスクの完了に関するすべてのイベントを、タイムスタンプとIPアドレス付きで即座に記録する必要があります。PAMソリューションと、組織内で既に導入しているイベントログ管理ツールを連携することで、エンドポイントのデータと特権アクセスのデータの相関付けが可能になります。この連携より、特権アクセスをシステム全体の操作にマッピングしたデータを統合ダッシュボードで確認できるため、特権ユーザーの行動をより効率的に追跡・理解できます。複合的なログは、より多くのコンテキスト情報を提供するため、セキュリティインシデント対応における意思決定を支援します。
- AIおよび機械学習を活用した異常検知技術により、普段と異なる行動から脅威を特定します。効果的な特権アクセス管理ソリューションは、顕在化する前の段階で隠れた脅威を検知できます。つまり、PAMソリューションと異常検知を連携させることで、より予防的なセキュリティ対策となります。まずは企業ネットワークにおける特権操作のベースラインを確立し、その後AIおよび機械学習を活用して、各ユーザーアクションに対してリスクスコアを算出します。この仕組みにより、あらゆる要因(場所、時間、役割)に基づいて異常値を特定し、リスクスコアを重み付けできます。ある操作のリスクスコアが基準より高い場合は、アラートが自動的にIT管理者に送信されるため、潜在的に危険なアクティビティを即座に阻止できます。
- さまざまな分析手法を組み合わせて活用し、ビジネスに影響を与えるリスクを深く理解します。監査ログは、観測したすべての事実に基づいてインサイトを引き出す高度な分析プラットフォームで精査されれば、より強い効果を発揮します。同様に、特権アクセス監査ログとレポートを他の業務システムやソリューションのデータと関連付ければ、より有益なインサイトを獲得できます。たとえば、PAMソリューションで取得した特権アクセス要求のデータを、ITサービスデスクで把握しているネットワークの問題やインシデントに関連付けます。これにより、「IT環境内で何が起きているか」を詳細に理解でき、価値のあるインサイトや迅速な問題解決につなげることができます。
PAMセキュリティを実装するメリット
特権アクセス管理を実装することで、組織は多くのメリットを享受できます。特権アクセスが関わる資産(サーバー、ワークステーション、認証情報、ユーザー)を効果的に管理し、セキュリティを強化できます。PAMセキュリティの主なメリットは、次のとおりです。
- 一元管理:企業内のすべての特権アクティビティ、特権ユーザー、特権リソース、特権アカウントを1つのコンソールで追跡できます。
- サイバー脅威に対する防御:特権アクセスを制御・監視することで、特権アカウントやリソースを内部または外部のサイバー脅威から保護できます。
- セキュアなパスワード保管システム:認証情報を安全に保管・管理・共有することで、情報漏洩や不正アクセス、盗難のリスクを軽減できます。
- セキュアなリモートセッション:重要なエンドポイントにアクセスするためのリモートセッションを安全に開始できます。
- 特権セッションの監視:特権セッションを監視・記録・遮断し、疑わしいアクティビティを防止できます。
- ジャストインタイム(JIT)アクセス:JITアクセスにより常時有効な特権の付与を避けることで、攻撃対象領域やセキュリティリスクを軽減できます。
- 最小特権の原則:最小特権の原則に従い、職務要件や承認に基づいてアクセスを付与することで、権限の過剰な付与を防止します。
- マシンID管理:人間以外のエンティティ(SSL証明書、SSHキー、サービスアカウント、アプリケーション認証情報、DevOpsの機密情報など)を一元管理できます。
- 自動化された業務プロセス:特権アクセス管理で発生する作業を自動化することで、安全で効率的、かつ標準化された業務プロセスを実現できます。
PAMソリューションに求められる重要な機能とは?
優れたPAMソリューションは、パスワード管理にとどまらず、特権アクセス管理のあらゆる課題をワンストップで解決します。PAMソリューションが備えているべき主な機能は、次のとおりです。
特権アカウントガバナンスと認証情報管理
特権アカウントガバナンスは、PAMツールの重要な要素です。わずか1つの特権アカウントの管理が杜撰だっただけでも、企業の危機を招く可能性があります。このようなリスクへの対策として、特権アカウントガバナンスを通じて、ユーザーに対してきめ細かい役割ベースのアクセス制御(RBAC)を実施できます。RBACを導入することで、あらゆる脅威に対抗し、特権アカウントを保護することが可能になります。不正を働く内部関係者、無防備な従業員に付け込む外部の攻撃者、不注意な従業員、悪意のある元従業員、外部の関係者などが、特権アカウントを悪用しないように対策できます。
特権アカウントガバナンスと最小特権の原則(PoLP)を導入して、特定のタスクに限定した必要最小限のアクセスをユーザーに提供することにより、攻撃対象領域を軽減できます。特権アカウントガバナンスを活用すれば、特権認証情報や特権アカウントを、必要時に限り、一部のユーザーに一時的に共有できます。この仕組みが備わっているPAMソリューションは、特権悪用や不正アクセスを防止し、異常を検知した際はアラートを生成します。
特権認証情報管理とは、特権アカウントに関連する認証情報や機密情報の格納、定期的なローテーション、安全な保管を指します。PAMソリューションを使用すれば、認証情報(例:パスワード、トークン、SSHキー)の安全な保管や再取得、定期ローテーションを実施できます。
優れたPAMソリューションを活用すれば、認証情報の安全な保管・共有・生成、特権アクセスの付与、機密情報のローテーション、認証情報の定期リセット、人間以外のエンティティ(端末・機器、アプリケーション、サービス、DevOpsパイプラインなど)のアクセス管理を実施できます。
自動検出
多くの企業は、特権アカウント、エンドポイント、認証情報を数千単位で扱っており、そのすべてを手動で検出し、管理対象として登録することは不可能です。PAMソリューションを活用すれば、一元管理ダッシュボード上で特権アカウントや特権リソースを一括検出・管理できます。また、アカウントやリソースに紐付いているサービス、エンドポイント、認証情報も自動的に検出可能です。
特権昇格および委任管理(PEDM)
PEDMは、特権アクセス管理の一部であり、特定の要件に基づいてきめ細かく制御しながら、一時的な特権をユーザーに付与する仕組みです。強い権限や特権アカウントに対する永続的なアクセスをユーザーに付与してしまうと、セキュリティリスクが大幅に高まります。意図しない漏洩であっても、永続的な特権が攻撃者の手に渡ってしまった場合、組織の最も重要なリソースが危険にさらされます。
この問題を解決する機能が、PAMソリューションのPEDMです。PEDMでは、必ず要求に応じて、特権情報に対する一時的なアクセスをユーザーやアプリケーションに付与します。つまり、機密情報へのアクセスは、ユーザーの要件を確認した上で、既定の期間に限り付与され、期限が過ぎたら権限が取り消されます。
特権セッション管理
特権セッション管理とは、特権アクセスを伴うセッションの開始や、セッションのリアルタイム監視・管理・記録を指します。特権セッションを監視せずに放置すると、サイバーセキュリティ上の大きな脅威となります。そのため、PAMソリューションにより、セッションの開始を承認し、不審なアクティビティを検知した際に遮断できるように、セッションをリアルタイムで監視することが重要です。また、特権セッション管理に対応したPAMソリューションを活用すれば、今後の分析に活かせるように特権セッションを記録し、必要に応じて即時アラートを生成することも可能です。
リアルタイム監査
特権セッションの監査レコードには、イベントの種類、イベントを開始したユーザーやアプリケーション(デバイスの種類やIPアドレスなど)、セッション中に実行された操作、イベントの日付と時刻が記録されます。監査証跡により「誰が何を行ったか」が明確になるため、不審なアクティビティやシステム障害の原因を追跡できます。
さらに、特権アクセスを記録した監査証跡の保持は、コンプライアンス基準(HIPAA、SOX、PCI DSSなど)に準拠する上で重要な対策です。コンプライアンス基準の要件を満たすには、特権アカウントが実行したすべての操作の監視・記録が求められます。
連携
全社的なIT管理には、PAMソリューションの枠を超えた機能が求められます。したがって、PAMソリューションを、社内で利用されている他のIT管理ソリューションやビジネスアプリケーションと連携させることが重要です。コンテキストを考慮した連携により、組織における特権アクティビティの全体像を把握できます。すべてのIT機能を統合する必要はありませんが、適切な連携を行えば、重複した作業や非効率なプロセスを取り除くことができます。これにより、組織全体のセキュリティ強化やIT部門の生産性向上を実現できます。
PAMソリューションと他のIT管理ツールの連携により、アクセス管理や特権操作の自動化、ユーザーアカウントや人間以外のアカウントの制御、コンプライアンスの遵守などを、企業全体で統一的に実現できます。また、デジタル環境全体における特権操作や一般的なユーザー行動のデータ、そしてその分析結果を包括的に把握することで、行動データから特権乱用・悪用のパターンを発見できます。さらに、脅威ベクトルを特定・把握し、将来のセキュリティインシデントも回避できるようになります。