特権アカウントおよびセッション管理(PASM)とは?

特権アクセス管理

特権アカウントおよびセッション管理(PASM)とは?

特権アカウントおよびセッション管理(以下、PASM)は、特権アクセス管理(PAM)の一部を構成する機能です。重要なアカウントや機密性の高いシステム(データセンター、データベース、アプリケーションなど)に対する管理者アクセス権限をリモートセッション経由でユーザーに付与します。PASMは、特権昇格および委任管理や、安全なリモートアクセスと並び、特権アクセス管理を支える主要な要素として評価されています。

権限の過剰な付与は、致命的なリスクをもたらします。従業員が持つ管理者権限の増加に伴い、攻撃対象領域も拡大します。サイバー脅威の新たな動向は、攻撃者が組織のセキュリティ境界を侵害する際、必ずしも高度な技法を必要とするわけではないことを示唆しています。侵害された特権アカウントや脆弱な認証情報がわずか1つでもあれば、攻撃者は機密情報に無制限にアクセスできてしまいます。

したがって、サイバーセキュリティでは、根本からの再構築と継続的な取り組みが求められます。この活動において最初に着手すべき課題は、特権アカウントや機密データの認証情報に対するセキュリティ強化です。ハイブリッドな働き方の導入により、今までとは異なる多様な課題が生じる中で、組織は特権アカウントを保護するための万全な仕組みを整える必要があります。そこで、組織全体のサイバーセキュリティ戦略にPASMを組み込むことにより、管理者権限によるセッションや特権アクセスの管理手法に対する強力なガバナンスを確立できます。

PASMの仕組み

PASMソリューションの主な目的は、特権ユーザーアカウントやセッションの監視・保護です。この対策により、IT担当者は重要なデータやITリソースへのアクセスを追跡・制御・記録・監査できるようになります。

PASMソリューションが重点を置いている2つの領域は、次のとおりです。

特権アカウント管理

ユーザーの権限が昇格される際、必要以上の権限が付与されるケースが多々あります。その結果、業務上必要な権限と割り当てられた権限の間に不一致が生じます。

さらに、過剰な権限を付与されたユーザーが組織を離れる場合、IT担当者がユーザーのアカウントを無効化し、割り当てられた権限を取り消すには、多少の時間を要します。その間に、機密データの不正利用を狙う悪意のある内部関係者が、孤立したアカウントを標的にし、その特権を悪用する恐れがあります。このような事態を防ぐうえで、PASMソリューションは効果を発揮し、管理が行き届いていない有効な特権を取り除きます。

PASMソリューションには、暗号化された保管システムが搭載されています。この機能を使用して、特権IDや関連する認証情報(ユーザーアカウント、パスワード、SSHキー、PKI証明書、その他の認証データなど)を保管・管理できます。

特権アカウントには、次のような種類があります。

pasm-chart

さらに、PASMソリューションには、次のような強力な制御機能があります。

  • 認証情報、証明書、機密ファイル、暗号鍵を格納・管理するための安全かつ柔軟な保管システム
  • パスワードへのアクセス要求を確認・承認するための申請・承認ワークフロー
  • 役割ベースで管理者権限を付与・制御するアクセス管理
  • パスワードに関するユーザーアクティビティ(ログイン試行、パスワードのリセット、パスワードポリシーの変更など)のリアルタイム監視・監査
  • スケジュールされた特権リソースのパスワードローテーション

このような機能は、業務に必要最小限のアクセス権限のみが付与されるように、最小特権の原則(POLP)に基づいて動作します。機密データへのアクセスが業務上求められ、より高い管理者権限を必要とする場合、ユーザーは適切な承認を得る必要があります。さらに、PASMソリューションには特権昇格機能が搭載されているため、特権アカウントや資産へのアクセスを状況に応じて許可する体制を整備できます。

つまり、永続的に有効な特権が付与せずとも、特権リソースに対するアクセスを特定の時間のみ許可できます。申請された時間が経過すると、アクセスは取り消され、ユーザー権限は本来の(最小限の)状態に戻ります。

特権セッション管理

PASMソリューションには、リモートシステム(アプリケーション、データセンター、データベース、OS、ネットワーク機器、クラウドストレージなど)に安全にアクセスするための独自のセッション管理機能が備わっています。

VPNは、2台のリモートマシン間の安全なゲートウェイとして機能します。一方、PASMソリューションはそれだけでなく、より汎用的でコンテキストに適応する多様な機能(セッションの記録、監視、シャドウイング、遮断、監査、ファイルの転送など)を提供します。この機能性により、ユーザーセッションをリアルタイムで監視・制御し、不審なセッションを即座に遮断できます。

PASMソリューションのセッション管理機能を使用することで、IT管理者は許可されていないセッションを特定し、異常なユーザーアクティビティを検知した際は即座に終了できます。また、特権セッション管理を実施すれば、詳細かつ変更不可能な監査証跡が生成されます。一般的な監査証跡には、各セッションの「いつ、誰が、何を」といった重要な情報が記録されるため、フォレンジック調査やセキュリティ監査に役立ちます。

さらに、PASMソリューションは、デバイス単位で最小特権の原則(POLP)を適用します。そのため、適切な特権昇格の承認を受けておらず、管理者権限を持たないユーザーには、重要なリソースに対するアクセス権が付与されません。つまり、正当な要件がある場合に限り、作業を行うための一時的な管理者権限が付与されます。作業が完了すると、一時的に付与された特権の取り消しと、リソースの認証情報に対する自動ローテーションが行われるため、以後発生しうる不正なアクセス試行を阻止できます。

PASMソリューションの導入を検討する際には、以下のようなセッション管理の標準機能が備わっているかに注目してみてください。

  • リアルタイムで行われているセッションの共有・シャドウイング・終了
  • セッションの記録・アーカイブ・再生
  • 安全なリモートアクセスのプロビジョニング
  • 包括的な監査証跡、ログ記録・管理、レポート

なぜPASMソリューションの導入が今すぐ求められるのか?

特権アカウントが悪意のある人物の手に渡ると、重大なセキュリティインシデントの引き金になります。サイバー攻撃の手法は絶えず進化している一方で、実際に大規模なセキュリティ侵害を招く原因の多くは、特権アカウントの誤用や認証情報の脆弱性といった、単純な問題です。最近のサイバー攻撃では、攻撃者はシンプルな手口を用いる傾向があり、データ侵害を試みる際には、パスワードが最も狙いやすい標的であると言われています。

パスワードが厳格に管理されていない場合(認証情報の使い回しや共有が行われている場合)、組織が攻撃に遭う可能性が高くなります。パスワードの手動管理は単に手間がかかるだけでなく、不注意な内部関係者が認証情報を攻撃者に開示するリスクがあるため、深刻な危険も伴います。特権アカウントの認証情報が悪用されると、機密データが流出し、莫大な経済的損失につながる恐れがあります。

強力なPASMソリューションは、このようなリスクに対抗し、特権アクセスの運用管理をセキュアかつ効率的に実現します。PASMソリューションを使用すると、特権ユーザー、特権アカウント、特権IT資産の一元管理が可能になります。また、特権アカウントの認証情報を定期的にリセットし、正当な理由に基づくアクセス申請が行われない限り、権限を持たないユーザーに対して認証情報を非公開にできます。

さらに、PASMソリューションは、特権ユーザーのアクティビティを広範囲かつリアルタイムで監査します。この機能により、業界標準のITコンプライアンスに適合しつつ、脆弱性やセキュリティの盲点を早期に特定・排除し、攻撃の発生を未然に防止できます。加えて、多様なビジネス機能に適合しており、あらゆる業界の組織に汎用的に対応できる点も、PASMソリューションの大きな魅力です。

例えるなら、PASMは単にドアを施錠するだけでなく、重要なデータへの鍵を隠して安全に管理もするソリューションです。

PASMソリューションの導入がもたらすビジネス上の主なメリットは、次のとおりです。

特権アカウントの徹底的な可視化:

包括的な監査証跡と特権アカウントの使用状況に関するアラートにより、企業のネットワークにおけるユーザーアクティビティの全体像を把握できます。

組織全体のアクセスガバナンスの強化:

PASMソリューションは、きめ細かいアクセス制御に加え、地理的に分散したITリソースを監視・制御する機能を提供します。リモートセッションのリアルタイム監視により、組織全体のアクセス状況を可視化します。また、リアルタイムでのセッションの記録・シャドウイングによって、内部関係者による攻撃を未然に防止できます。

内部脅威に対する積極的なセキュリティ対策:

ユーザーセッションのリアルタイム分析により、異常な行動を特定し、疑わしいユーザーをブロックすることで、セキュリティインシデントを未然に防止します。さらに、役割ベースのアクセス制御を適用することで、特権ユーザーのみが機密情報への管理者アクセスを許可されるように厳重に管理します。

コンプライアンス規制への準拠:

幅広い規制や基準、法律(GDPR、HIPAA、PCI DSS、NERC-CIP、SOXなど)に効率的かつ確実に準拠できます。

外部関係者や第三者によるアクセスのきめ細かい管理:

セキュリティ侵害が発生したベンダーや、特権アカウントの認証情報にアクセスできる業務委託者は、サイバーインシデントのリスクを高める要因になりかねません。しかし、堅牢なPASMツールを導入すれば、効率的かつセキュアなアクセス管理を実現できます。この管理により、特定のシステムやアプリケーションに対する一時的かつパスワードレスな特権アクセスを、外部関係者にスムーズにプロビジョニングできます。

PAMソリューションに求められる必須のPASM機能

情報システム部門でPAMソリューションを導入する際は、慎重な検討が求められます。PAMソリューションで確実に必要とされる主なPASM機能は、次のとおりです。

  • データ保管中も移動時も多層的に暗号化され、セキュリティが強化されたエンタープライズ向けの認証情報保管システム
  • 強力かつ柔軟な多要素認証(Active DirectoryやLDAP、RADIUS、SAML、スマートカードなどが利用可能)
  • 特権アカウント、特権ユーザー、特権リソースの定期的な自動検出
  • パスワード共有の詳細設定オプション、役割ベースのアクセス制御、パスワード利用のための承認ワークフロー
  • アプリケーション同士の通信を許可し、パスワードチェックアウトの自動化を可能にするセキュアなAPI
  • パスワードリセットとパスワードの完全性チェックを定期的に行う機能(パスワードリセットは、WindowsマシンやLinuxマシン、ネットワーク機器、仮想化デバイス、DevOpsツールやRPAツールなど、幅広いリソースをサポートしていること)
  • 特権セッションの監視と安全なリモートアクセスのプロビジョニング
  • リアルタイムでのセッション監視・記録・再生
  • 広範なセッション監査証跡と、豊富なログ管理とレポート機能
  • SSL/TLS証明書とSSHキーのライフサイクル管理のサポート

PAM戦略の枠組みにPASMを取り入れる方法

PASM戦略を組織で円滑に導入するための推奨事項をご紹介します。

  • すべての管理者アカウントと、各アカウントに割り当てられている特権を徹底的に監査する
  • デフォルトで設定されている必要最小限の権限のみをユーザーアカウントに割り当てる。割り当てる権限はより少ない方が望ましい。
  • ジャストインタイム(JIT)特権昇格制御を実装し、重要なリソースへの時間制限付きアクセスを可能にする
  • 一定期間利用されていないアカウントや、ユーザーが存在せず孤立したアカウントを特定し、そのアカウントが持っている権限をすべて取り消す
  • 特権アクセスによるアクティビティとセッションを企業全体で記録・監査する
  • 特権アカウントのセキュリティを強化するために多要素認証を実施する
  • サイバーセキュリティトレーニングを定期的に実施し、不十分な特権アクセス管理がもたらすリスクについて従業員を教育する(人的要素は内部脅威の最大のリスク要因の1つであるため)

ManageEngine PAM360による効果的なPASM運用の実施

ManageEngine PAM360は、 エンタープライズ向けの特権アクセス管理ソリューションです。PAM360を導入することで、クリティカルなユーザーアカウントやITリソースに対して厳格なガバナンスを確立し、きめ細かい制御を実施できます。

PAM360のPASMモジュールは、重要なデータへのアクセスを効果的に制御・監視するための機能を多数搭載しています。次のような強力なPASM機能を提供します。

  • 企業向けのセキュアな認証情報保管システム。このシステムは、パスワード、デジタル署名やデジタル証明書、ライセンスキー、ドキュメント、画像、サービスアカウントなどを保管対象としており、AES-256暗号化によって保護されています。
  • 従業員や外部関係者に対するきめ細かい役割ベースのアクセス管理
  • パスワードへのアクセス申請を審査・承認するための効率的な承認ワークフロー。
  • 特権リソースへの一時的なアクセスを非管理者ユーザーに許可するための 高度なジャストインタイム(JIT)特権昇格機能
  • パスワードに対するアクティビティについてのリアルタイム通知・アラート。異常な操作を未然に特定・防止し、インシデント対応を強化できます。
  • シームレスな セッションの監視・記録・共有。ユーザーセッションをリアルタイムで監視し、疑わしいアクティビティを即座に終了できます。
  • 包括的な監査・レポート機能。パスワードへのアクセスや特権セッションに関する監査証跡や広範なレポートを提供し、セキュリティ監査において内部脅威や認証情報の悪用の原因究明に寄与します。
  • コンプライアンス基準・規制(ISO 27001、HIPAA、GDPR、SOX、PCI DSSなど)への効果的かつ継続的な準拠。業界標準への遵守を支援します。

PAM360で特権アカウントおよびセッション管理を実現!