特権アカウントの種類を解説

組織は、その安全な運営のために、特定のデータや管理機能へのアクセスを異なる種類の特権アカウントに分けています。 特権アカウントには、ドメイン管理（アドミン）アカウント、ローカル管理アカウント、特権ユーザーアカウント、緊急アカウントなどがあります。 特権アカウントが適切に管理されていない場合や、保護されていない場合、サイバー犯罪者にこのようなアカウントへの不正アクセスを獲得され、組織のセンシティブデータが盗まれる恐れがあるのです。

ここでは、特権アカウントとは何か、特権アカウントのさまざまな種類とそれらが直面する課題、組織が特権アカウントを保護する方法について、さらに詳しく説明します。

特権アカウントとは何か？

特権アカウントとは、組織内のアカウントで、標準アカウントよりも昇格した特権を持つアカウントのことです。 このように昇格した特権により、特定のユーザーは組織の機密性の高いシステムやデータベース、アプリケーション、ネットワークインフラにアクセスできるようになります。 特権アカウントは、センシティブデータにアクセスして組織の管理タスクを実行することが可能ですが、その権限はほとんどのユーザーには許可されていません。 このようなアカウントが不正ユーザーによって悪用またはアクセスされた場合、そのことが組織に悪影響を及ぼし、金銭やセンシティブデータの損失、評判の低下につながる恐れがあります。

7種類の特権アカウント

特権アカウントにはあらゆる種類のものがありますが、それぞれに異なるレベルのアクセスや特権があり、それぞれの機能を実行します。 以下に、7種類の特権アカウントをご紹介します。

1. ドメイン管理アカウント

ドメイン管理アカウントは、組織のネットワークにおいて最も重要な特権アカウントです。 組織の資産の集まり（サーバー、アカウント、アプリケーション、ワークステーションなど）であるActive Directoryドメインに対し、完全かつ無制限のアクセスおよび制御の権限を所有します。 ドメイン管理アカウントは、組織内のすべての管理アカウントのユーザー権限を改変することができます。 このようなアカウントは、できる限り制限されたものであり、必要に応じてのみ付与される必要があります。

2. ローカル管理アカウント

ローカル管理アカウントは、ローカルマシンへの管理レベルのアクセスを許可します。 IT管理者は、ローカル管理アカウントを使用して、組織内のワークステーション、サーバー、ネットワークデバイス、その他のローカルマシンを設定したり、あるいはメンテナンスを実行したりします。 ローカル管理アカウントは、複数のデバイス間で同じパスワードを使用することがよくありますが、サイバー犯罪者はそのことを悪用して組織のネットワークへの初期アクセスを獲得し、横移動するのです。

3. 特権ユーザーアカウント

特権ユーザーアカウントは、ユーザーが業務を遂行するために特定の特権を与えられた標準ユーザーアカウントです。 このようなアカウントは、センシティブデータや特定の管理機能へのアクセスなど、通常のユーザーにはアクセスできない特定のリソースへのアクセスを許可されています。 これらは、最も代表的で最もリスクの高い特権アカウントです。 特権ユーザーアカウントが適切に管理されていないと、サイバー犯罪者に侵害され、組織のネットワーク全体を横移動されてしまう恐れがあるのです。

4. 緊急アカウント

break glassアカウントとも呼ばれる緊急アカウントは、組織がシステムにアクセスできなくなった場合に、即座にアクセスする必要がある場合に使用されます。 このようなアカウントは無効化されており、サイバー攻撃によるアクセス喪失などの緊急時のみ有効化されます。 組織は、緊急アカウントを使用してシステムへのアクセスを回復し、復元します。

5. サービスアカウント

サービスアカウントは、アプリケーションやサービスによって使用されるもので、オペレーティングシステムの機能やプログラムが確実に実行されるようにするものです。 このような人間以外のアカウントは、ローカルシステムによってログオンされるべきではありません。 しかし、このようなアカウントのパスワードは変更されないことが多く、チームメンバーと共有されるため、サイバー犯罪者に狙われやすいターゲットとなっています。

6. ドメインサービスアカウント

ドメインサービスアカウントは、システムやアプリケーションの相互通信、必要なリソースにアクセスしてレポートを実行、データベースへのアクセス、APIの呼び出しを可能にします。 セキュリティパッチの更新、バックアップの保存、ソフトウェアの展開を支援するものです。 多くの管理者は、ドメインサービスアカウントのパスワードを変更しませんが、それはパスワードを変更するにはアカウントをログアウトする必要があり、適切に同期されていない場合アプリケーションが壊れてしまうためです。 このセキュリティの欠如により、サイバー犯罪者はこのようなアカウントへのパスワードを簡単に侵害することが可能になるのです。

7. アプリケーションアカウント

アプリケーションアカウントは、アプリケーションがデータベースやネットワークにアクセスするために使われるもので、ソフトウェアの更新や他のアプリケーションへのアクセスの提供などの自動化されたタスクを実行します。 このようなアカウントのパスワードは、暗号化されていないテキストファイルに埋め込まれていることが多く、サイバー犯罪者に簡単に悪用されて組織のネットワークにアクセスされる可能性があります。

特権アカウントが直面する危険なサイバー攻撃

サイバー犯罪者の多くは、特権アカウントを侵害して組織のネットワークへの不正アクセスを獲得することを狙っています。 以下は、特権アカウントが直面する脅威の種類です。

フィッシング

フィッシングとは、特権ユーザーを騙してログイン認証情報などの機密情報を提供させようとするサイバー攻撃の一種です。 サイバー犯罪者は、被害者がよく知る人物（同僚や管理者など）になりすまします。 サイバー犯罪者は、被害者に悪意のある添付ファイルやクリックできるリンクを含むメールやSMSを送信します。 被害者がリンクをクリックすると、なりすましウェブサイトに誘導され、デバイスにマルウェアがダウンロードされたり、ログイン認証情報を入力するように促されたりします。

内部脅威

内部脅威とは、組織内で発生するサイバー脅威のことです。 これは、現従業員または元従業員、パートナー、請負業者、ベンダーがセンシティブデータやシステムを漏洩させる場合に発生します。 このような内部脅威は、意図的なもの、あるいは意図的ではないものがあります。 内部脅威の中には、人為的なエラー（不注意なユーザーによる特権アカウントの管理ミスや誤用）によって引き起こされるものもあります。 それ以外の内部脅威は、悪意のあるユーザーによって引き起こされるもので、組織を内部から妨害し、私利私欲のために機密情報を盗もうとするものです。

マルウェア

マルウェアとは、サイバー犯罪者がユーザーのデバイスに密かにインストールしてデバイスにダメージを与えたり、デバイスからセンシティブデータを盗んだりする、悪意のあるソフトウェアのことです。 サイバー犯罪者は、組織のセキュリティの脆弱性を悪用したり、ユーザーを騙してうっかりマルウェアをインストールさせたりすることで、ユーザーのデバイスにマルウェアを配信します。 犯罪者らは、ユーザーを騙して感染したウェブサイトにアクセスさせたり、フィッシングメールや悪意のある広告、なりすましウェブサイトから悪意のあるソフトウェアをダウンロードさせたりします。 マルウェアが特権ユーザーのデバイスにインストールされると、特権アカウントのログイン認証情報が盗まれる可能性があります。

総当たり攻撃

総当たり攻撃とは、パスワード関連のサイバー攻撃の一種で、サイバー犯罪者が試行錯誤して特権アカウントのログイン認証情報を推測するものです。 サイバー犯罪者は、パスワード衛生が良好ではない組織を基盤とし、パスワードを簡単に解読します。 脆弱なパスワードで保護されている特権アカウントは、総当たり攻撃の影響を受けやすくなります。

脆弱なパスワードの例には、次のようなものがあります。

• 16文字未満のパスワード
• 複数のアカウントで使い回しされているパスワード
• 個人情報を含むパスワード
• 連続した数字や文字（12345またはabcde）
• 一般的に使用される辞書に掲載されている単語（パスワード）
• 繰り返し文字や数字（55555またはaaaaa）

特権アカウントを保護する対策と方法

特権アカウントは、組織のセンシティブデータへのアクセスが許可されます。 組織は、特権アカウントをサイバー犯罪者から守り、センシティブデータを保護する必要があります。 組織が特権アカウントを保護する方法をご紹介します。

最小特権アクセスを実践する

特権アカウントを保護するために、組織は最小特権アクセスを実施する必要があります。 最小特権の原則はサイバーセキュリティの概念で、それを実施すると、ユーザーには自分の職務を遂行するためだけに必要な情報やシステムに対する最小限のアクセスが与えられます。 最小特権アクセスは、特権アカウントにアクセス可能なユーザー数を制限し、それらのアカウントが持つ特権を制限します。

最小特権アクセスを実施する最善の方法は、特権アクセス管理（PAM）ソリューションを使用することです。PAMとは、非常に機密性が高いデータやシステムにアクセスする権限を持つアカウントを管理し、保護することです。 PAMソリューションを使用すると、組織はネットワーク、アプリケーション、サーバー、デバイスアクセスを全面的に可視化し、制御できます。 これは、特権アカウントが内部脅威に悪用されたり、外部の脅威アクターによって侵害されたりするのを防ぐのに役立ちます。

強力なパスワードで特権アカウントを保護しましょう

サイバー犯罪者は総当たり攻撃を仕掛け、特権アカウントのログイン認証情報を推測し、不正アクセスを獲得しようとします。 組織は、強力でユニークなパスワードで特権アカウントを保護し、サイバー犯罪者による不正アクセスを防ぐ必要があります。 ユニークなパスワードを使用すると、サイバー犯罪者が複数の特権アカウントを侵害するのが難しくなります。 長くて強力なパスワードは、特権アカウントのパスワードがサイバー犯罪者に推測されるのを防ぎます。

特権アカウントのパスワードは、少なくとも16文字で、大文字と小文字、数字、特殊文字をユニークでランダムに組み合わせたものでなければなりません。 このようなパスワードには、個人情報、連続した数字や文字、辞書に掲載されている一般的な単語を使わないようにします。

従業員が強力なパスワードを使用することを徹底させる最善策は、ビジネス用パスワードマネージャーを使用することです。 ビジネス用パスワードマネージャーは、組織とその従業員がすべてのパスワードを追跡、保存、共有、保護、管理できるようにするツールです。 パスワードは、強力なマスターパスワードとMFAで保護されているデジタル暗号化ボルトに保存されています。 パスワードマネージャーがあれば、IT管理者が従業員のパスワード慣行を完全に可視化できるようになり、従業員が強力なパスワードを生成するのを支援します。

多要素認証(MFA)を強制する

多要素認証（MFA）は、アカウントにアクセスするために追加の認証を必要とするセキュリティプロトコルです。 MFAを有効にすると、ユーザーが特権アカウントへのアクセスを獲得するには、ログイン認証情報に加えて他の形式の識別情報を提供する必要があります。 MFAは、認証されたアクセスのみを保証することで、このような特権アカウントに追加のセキュリティレイヤーを提供します。 万が一、特権アカウントのログイン認証情報が漏洩した場合でも、そのアカウントはMFAで保護されているため、サイバー犯罪者にアクセスされることはありません。

サイバーセキュリティのトレーニングを実施する

特権アカウントを保護するために、組織は従業員にサイバーセキュリティのトレーニングを実施する必要があります。 従業員を教育することで、組織は特権アカウントが侵害されないようにすることができます。 従業員は、フィッシングなどのサイバー攻撃についての知識を身につけ、それらを認識して回避できるようにする必要があります。 従業員には、心当たりのない添付ファイルやリンクは避ける、機密情報を暗号化された場所に保存する、定期的にソフトウェアを更新するなど、サイバーセキュリティのベストプラクティスに従うことが求められます。

まとめ：Keeper®が特権アカウントを保護する仕組み

特権アカウントを保護する最善の方法は、PAMソリューションを使用することです。 PAMソリューションがあれば、組織は攻撃対象領域を縮小し、ネットワーク内の横移動を防ぐことができます。 PAMは、管理者がデータインフラを完全に制御することを可能にし、強力なパスワードとMFAで特権アカウントを保護できるようにします。

KeeperPAM™は、ゼロ知識暗号化とゼロトラストセキュリティで保護されている特権アクセス管理ソリューションです。 これにより、自分のセンシティブデータにアクセスできるのは自分の組織のみになります。 KeeperPAM™は、​​エンタープライズパスワード管理（EPM）、Keeper シークレットマネージャー（KSM）、そしてKeeperコネクションマネージャー（KCM）という3つを組み合わせた特権アクセス管理ソリューションです。

無料版お試し版を配布しているので、まずは無料体験版をリクエストしてお試しください。