特権アクセス管理とは
特権アクセス管理とは、サーバーやネットワーク機器、OSなどのITリソースに対して、多くの操作が可能になる特権アカウントを使ったアクセスを管理することを意味します。 Privileged Access Managementの頭文字をとりPAMと訳されます。
特権アカウントを利用したITリソースへの接続履歴や操作履歴の管理はもちろん、特権アカウントを利用する際の履歴も特権アクセス管理には含まれます。
なぜ、特権アクセス管理が必要なのか
特に、機微なシステムを扱う会社で特権アクセス管理が行われますが、なぜ必要なのでしょうか。
それは、特権アカウントを利用しITリソースへアクセスすると、非常に多くの操作が可能になるためです。 例えばネットワーク機器に特権アクセスで接続を行うと、コンフィグレーションの変更が可能になります。悪意のある攻撃者はネットワークを故意にダウンさせようとしますので、特権アカウントでのアクセスが攻撃者により行われると、ネットワーク機器の設定を変更されるリスクがあります。
さらに怖いのが、特権アカウントを利用したサーバーへのアクセスです。
例えば、社内のサーバーには経理情報や個人情報などの機微なデータが保管されています。 このような情報が保存されているサーバーに悪意のある攻撃者が特権アカウントを使いアクセスすると、情報漏洩などのセキュリティインシデントにつながります。
さらに、顧客向けに公開されているサーバーなどに侵入された場合は、重要なプログラムファイルなどを削除し、故意にシステムをダウンさせてしまうリスクもあります。この場合、顧客からの信頼をはじめとした利益を失うことになり、ビジネス的な損失を被ることになります。
不正に利用されないために、また不正利用があった場合は迅速に検知するために、特権アクセス管理が必要になります。
特権アクセス管理で、まず行うべき対策
特権アクセス管理で実践すべき対策は、大きく分けて2つあります。
1,特権アカウント管理
特権アカウント管理とは、ITリソースに対して特権アクセスを行うために必要なIDとパスワード自体の利用をセキュアにすることを目的とします。
よくある運用事例としては、IDとパスワードを利用する際は、都度申請を行い、承認者に利用を許可してもらうような運用です。
【関連ページ】承認・申請フローとは
申請承認による特権アカウント利用のほかに、特定のサーバー経由でのみ特権アカウントによるITリソースへのアクセスを許可するようなアクセス制御といった運用を行うケースも多くあります。 この運用に使われるサーバーは踏み台サーバーと呼ばれます。
【関連ページ】踏み台サーバーとは
2,証跡管理
証跡管理とは、特権アカウントを「いつ・誰が・何の目的」で利用したかという証跡を管理することを意味します。
また、特権アカウントを利用した操作内容などを、ログや動画の形で管理しておくことも証跡管理の1つです。 不正な利用があった場合の調査はもちろん、外部のセキュリティ監査などのために証跡管理が求められるケースが多くあります。
【関連ページ】PC操作画面を録画して不正を抑制
特権アクセス管理でよくある課題
上記で紹介した特権アカウント管理や証跡管理などの特権アクセス管理は、専用のツールを使い運用していくのが一般的です。
自前で必要なシステムをプログラムすることも検討できますが、運用設計などの含めて構築する必要があるため、非常に手間と工数がかかります。
一方で専用のツールを使うことで、プログラムを準備する必要もなく、運用設計についても、ツールの利用手順に従うだけで一定のセキュリティを担保した特権アクセス管理が可能になります。
「ツールが高い!」は間違い
特権アクセス管理に使われる専用ツールは、一般的に特権ID管理ツールと呼ばれます。 しかし、特権ID管理ツールは高額という印象が強く、手軽に対策できないと思われている方も多いと思います。
ManageEngineが提供する特権ID管理ツールは98万円から始められ、多くのツールと比較して非常に安価になっています。 構築に必要な設定等もGUIベースで行えるため、ITやプログラミングに詳しくなくても、特権ID管理をツールベースでセキュアに運用することが可能になります。
30日間フル機能を無料でご利用いただける評価版もご準備しております。