PAM (特権アクセス管理) 
ゼロトラストネットワークアクセス (ZTNA) ソリ
更新日:2025年2月21日
組織がラテラルムーブメントを検出するには、異常なネットワークアクティビティの特定、ラテラルムーブメント経路のマッピング、ユーザー行動の分析、不明なデバイスの確認を実行する必要があります。 ラテラルムーブメントを放置しておくと、データ侵害や非常にセンシティブなデータの損失につながることがよくあります。 組織は、最小特権アクセスの強制、ゼロトラストの導入、ネットワークのセグメント化、PAMソリューションへの投資を実行することで、ネットワーク内のラテラルムーブメントを防ぐことができます。
ここでは、ラテラルムーブメントとその仕組み、ラテラルムーブメントを検知する方法、ネットワーク内のラテラルムーブメントを阻止する方法について、さらに詳しく説明します。
KeeperPAM®︎で、従業員の特権ID・アクセスを一元管理しませんか?
セキュリティリスクを可視化し、企業の安全を支えます!
ラテラルムーブメント(水平展開)とは?
ラテラルムーブメント(水平展開)とは、サイバー攻撃において攻撃者が侵入したシステム内で他のデバイスやアカウントへと横方向に移動し、権限を拡大しながら攻撃範囲を広げていく手法のことを指します。これは、攻撃者が単一のエントリーポイントである、例えばフィッシングメールを通じたマルウェアの感染や、脆弱なリモートアクセスの悪用によって最初の侵入を成功させた後に行われます。
最初に侵入した端末が高度な権限を持っていない場合でも、ネットワーク内を探索し、管理者権限などの特権を持つアカウントや、より価値の高いデータが保存されたシステムへのアクセスを試みます。
最終的に攻撃者は、企業の機密情報を窃取したり、ランサムウェアを展開してデータを暗号化したり、システム全体の破壊を試みたりするなど、目的を達成するためにラテラルムーブメントを活用します。
ラテラルムーブメントの仕組みとは?
ラテラルムーブメント(水平展開)は、サイバー犯罪者が最初にアクセスを獲得した後、ネットワーク内の奥深くに移動するために使用する手法です。 サイバー犯罪者は、ラテラルムーブメントを利用して複数のデバイスやアカウントを感染させ、ネットワーク全体へのアクセスを継続的に維持し、センシティブデータにアクセスするための高度な特権を獲得します。 犯罪者らは、特権が正しく追跡あるいは割り当てられていない貧弱な特権アクセス管理 (PAM)を持つ組織を利用します。
サイバー犯罪者は、ログイン認証情報を盗んだり、セキュリティの脆弱性を悪用したりして、最初のアクセスを獲得します。 サイバー犯罪者が検知されずに組織のネットワークへのアクセスを獲得すると、ネットワーク内の他のデバイスを感染させ、特権ユーザーのログイン認証情報を盗み、特権アカウントで承認をバイパスすることで、自分の特権を昇格させようとします。 サイバー犯罪者は管理者レベルの特権を取得するまでネットワークを横移動し、ネットワーク全体を制御して貴重な資産にアクセスします。
水平展開を事前に検知する方法
サイバー犯罪者は、ネットワークにアクセスしてラテラルムーブメント(横移動)する際には、気づかれないように身を潜めています。 しかし、組織はユーザーとネットワークの行動をリアルタイムでモニタリングすることで、ラテラルムーブメントを検知できます。 組織がネットワーク内のラテラルムーブメントを検知するために、リアルタイムのモニタリングを実装する方法をご紹介します。
異常なネットワークアクティビティの特定
サイバー犯罪者が存在を検知されないように試みる主な方法は、セキュリティ設定とウイルス対策ソフトウェアをオフにすることです。 ラテラルムーブメントを検知するために、組織は、セキュリティ設定の変更、外部ポートへの接続、異常なプロトコルの使用、ネットワーク上の異常なトラフィックアクティビティなど、異常なネットワークアクティビティを検知する必要があります。 組織がこのような異常なネットワークアクティビティに気付いた場合は、サイバー犯罪者がすでに管理者特権のある特権アカウントを侵害している可能性が高いです。
ラテラルムーブメントの経路をマッピング
組織は、ラテラルムーブメントの経路をマッピングして、ネットワークに横移動の形跡があるかどうかを簡単に特定し、特権アカウントが侵害された可能性を把握する必要があります。 データインフラを確認し、特権アクセスを持つアカウント、不十分な認証、特権の管理ミスなど、ターゲットとなり得るアカウントを一覧表示する必要があります。 組織は、ラテラルムーブメントにつながりかねない他の脆弱性も探すことが求められます。
ユーザーの行動を分析
組織は、ユーザーの行動を分析して、ラテラルムーブメントを検知しなくてはなりません。 次のような異常なユーザーの行動に注意を払う必要があります。
- 特権アカウントへの複数回にわたるログイン試行
- 異常なログイン時間、場所、デバイス
- 非常にセンシティブなデータへの不正なアクセス
- 不正なファイル共有
不明なデバイスの検証
組織によっては、従業員に自分のデバイスを使用して仕事をすることを求めます。 その結果、多くの不明なデバイスが組織のシステムやリソースのネットワークに接続される可能性があります。 しかし、組織はネットワークに接続されるすべてのデバイスを暗黙のうちに信頼すべきではありません。 組織は、ネットワークに接続されている不明なデバイスをすべて検証し、どのデバイスもサイバー犯罪者に使用されていないことを確実にする必要があります。 組織は、デバイスの所有者を検証し、そのアクティビティをモニタリングして、サイバー犯罪者ではなく従業員によるアクティビティであることを確認しなければなりません。
ラテラルムーブメント(水平展開)から身を守る対策と方法
組織はネットワーク内のラテラルムーブメントを検知できますが、サイバー犯罪者に乗っ取られたデバイスの数によっては、不正ユーザーを取り除くのは困難な場合があります。 組織は、サイバー犯罪者がネットワークにアクセスしてラテラルムーブメントするのを阻止する必要があります。 組織がラテラルムーブメントを防ぐことを可能にする6つの方法をご紹介します。
最小特権アクセスの強化
最小特権の原則は、ユーザーが職務を遂行するためだけに必要な情報やシステムへのアクセスを最小限にとどめる、サイバーセキュリティの概念です。 最小特権アクセスを実装することで、組織はセンシティブデータへのアクセスを限定し、悪用から保護します。 最小特権アクセスは、セキュリティ侵害に使用されそうな経路を縮小し、ラテラルムーブメントを防ぎます。 一人のユーザーのアカウントが侵害された場合でも、サイバー犯罪者はそのユーザーの特権のみを獲得することになり、それ以上の組織のネットワークへのアクセスは得られません。
組織内でゼロトラストを確立する
ゼロトラストとは、すべてのユーザーとデバイスが継続的に認証され、ネットワークシステムやデータへのアクセスを制限するセキュリティのフレームワークです。 暗黙の信頼を排除し、すべてのデバイスが侵害されたことを前提にしています。 ゼロトラストは、3つの原則に基づいています。
- 漏洩を想定:ゼロトラストは、人間であれ機械であれ、組織のネットワークに侵入しようとするすべてのユーザーには漏洩の可能性があり、セキュリティ侵害につながると想定します。
- 明示的に検証:ゼロトラストでは、すべての人間と機械は、組織のネットワークやシステムにアクセスする前に、自分が何者であるかを証明する必要があります。
- 最小特権の確保:ユーザーに組織のネットワークへのアクセスが許可されると、ユーザーには自分の職務遂行のためだけに必要なアクセス権が与えられます。
ゼロトラストのフレームワークに従うことで、組織は攻撃対象領域を縮小し、サイバー犯罪者がネットワークに初期アクセスを獲得するのを防ぐことができます。 また、ゼロトラストを導入すると、サイバー犯罪者は検出されずにラテラルムーブメントすることが難しくなります。
二要素認証や多要素認証を設定させる
多要素認証(MFA)は、組織のネットワークにアクセスする際に複数の認証要素を必要とするセキュリティプロトコルです。 認証要素は、ユーザーが知っていること、ユーザーが所有するもの、あるいはユーザー本人ということになります。 MFAを有効にすると、ユーザーは通常、ログイン認証情報に加えてワンタイムコードなどの追加の識別情報を提供します。
組織は、特権アカウントへのアクセスにMFAを要求して追加のセキュリティレベルを提供し、許可されたユーザーのみがこれらのセンシティブなアカウントにアクセスできることを徹底させる必要があります。 サイバー犯罪者は特権アカウントへのアクセスに必要な追加の認証を提供できないため、MFAを要求すると、ラテラルムーブメントの脅威から組織を保護します。
ネットワークをセグメント化する
ネットワークのセグメント化は、ネットワークを分割して分離し、機密情報にアクセスできるユーザーを制御するものです。 このようなセグメントは、異なるユーザーのニーズに合わせたものであり、事業に必要な機能のみ相互に通信できます。 ネットワークをセグメント化することで、ネットワーク全体へのアクセスが制限され、サイバー犯罪者がネットワーク全体を移動するのを防ぎます。 組織は、マイクロセグメント、つまりセグメント化されたネットワーク内に独立したネットワーク部分を作成することもできます。
ソフトウェアを最新の状態に保つ
サイバー犯罪者は、組織のセキュリティインフラ内に見つかったセキュリティの脆弱性を悪用することで、組織への初期アクセスを獲得しようとします。 多くの場合、犯罪者らは、古いバージョンのソフトウェアに見受けられる脆弱性を探し出します。 組織は、ソフトウェアを常に最新の状態に保ち、セキュリティ上の欠陥に対するパッチの適用や、デバイスをより安全に保護するセキュリティ機能の追加を行う必要があります。 これにより、ラテラルムーブメントされるリスクを軽減できます。
PAMソリューションに導入する
PAMソリューションは、非常にセンシティブなデータやシステムにアクセスする権限を持つ特権IDを中心に管理し、保護するツールです。 PAMソリューションを使用すると、組織はデータインフラ全体を完全に可視化し、各ユーザーのセンシティブデータへのアクセスを制御できます。 また、PAMソリューションは、組織が従業員のパスワード慣行の実態を把握することも可能にします。 組織は、従業員が強力なパスワードを使用してアカウントを保護し、パスワードの共有は許可されたユーザーのみであることを徹底させることができます。
まとめ:KeeperPAM®︎でラテラルムーブメントを未然に防ぎましょう
組織の特権アクセス管理が適切ではない場合、ラテラルムーブメントに対処するのは困難な場合があります。 ラテラルムーブメントを放置すると、サイバー犯罪者は非常にセンシティブなデータへの特権アクセスを獲得し、組織の最も貴重な資産を盗むことが可能になってしまいます。 組織は、最小特権アクセスとゼロトラストセキュリティを実装するために、PAMソリューションに投資する必要があります。
PAMソリューションがあれば、組織は特権アカウントの管理やセンシティブデータにアクセスするユーザーのモニタリング、センシティブデータを保護するためのセキュリティ対策の導入が可能になります。
KeeperPAMは、重要な特権ID・アクセス機能をクラウド上の安全なストレージであるボルトに統合し、IT部門だけでなく、許可した全ユーザーが安全にアクセスできるようにするソリューションです。完全なクラウドネイティブプラットフォームでエージェントレスで構築が可能な、KeeperPAMはボルト管理、シークレット管理、接続管理、ゼロトラストアクセス、リモートブラウザ分離を連携させた、一元管理が可能な使いやすいインターフェースになっています。
KeeperPAM®︎のデモをリクエストして、未然に組織内の内部不正やラテラルムーブメントなどのサイバー攻撃の脅威のリスクを防ぎましょう。
