こちらもおすすめ
公開日
作成日:
2024年3月12日
執筆者
Yuta Yamada
編集者
Anne Cutler
レビュー担当者
Darren Guccione
特権クリープとは、サイバーセキュリティ用語であり、個人が業務を遂行するために必要な範囲を超えて、ネットワークアクセス権限のレベルが徐々に蓄積していくことを表します。 ユーザーは、タスクや職務を遂行するために、特定の特権を必要とします。 これらの特権には、センシティブデータへのアクセス、新しいプログラムのインストール、ソフトウェアの更新、ネットワークの設定、新しいユーザーの追加などがあります。 すべてのユーザーに、業務を遂行するためのすべての特権を付与する必要はありません。 特権クリープは、サイバー犯罪者が悪用できるセキュリティの脆弱性を高め、組織のセンシティブデータのデータ侵害につながる可能性があります。
ここでは、特権クリープとは何か、それがどのように発生するか、特権クリープのサイバーセキュリティのリスクと、組織で発生するのを防ぐ方法について詳しく説明します。
KeeperPAM™(特権アクセスマネージャー)で企業内の
セキュリティを可視化し、企業の安全を支えます!
特権クリープはなぜ発生するのか?原因を解説!
特権クリープは、特権アクセス管理(PAM)が不十分であるために発生します。 PAMは、機密性の高いシステムや情報にアクセスする特権を持つアカウントを保護し、管理するプロセスです。 一元化されたPAMシステムがなければ、組織は時間の経過とともに、ユーザーに必要以上の特権を付与し、蓄積させてしまうことになります。
ユーザーが特権を蓄積できるシナリオをいくつかご紹介します。
- マネージャーは、IT部門を介して簡単なタスクを行うことを避けるために、従業員の特権アカウントへの認証情報を惜しみなく提供しています。
- 従業員は、以前の特権を削除せず、役割や部門を変わり新しい特権を取得します。
- 従業員はタスクを実行するために一時的な特権を必要としますが、そのような特権はタスクを完了した後でも削除されません。
- 従業員が組織を離れても、IT部門はアカウントを無効にしたり特権を削除したりすることを忘れています。
特権クリープが原因で起こりうる特権に関する危険性とは
特権クリープは、組織のセンシティブデータのデータ侵害につながることがよくあり、それは組織の評判を損なわせ、かなりの経済的な損失を与える可能性があります。 特権クリープのサイバーセキュリティリスクをご紹介します。
攻撃対象領域の拡大
攻撃対象領域とは、サイバー犯罪者がシステムにアクセスしてデータを盗むことが可能なすべてのエントリーポイントを指します。 特権クリープは、サイバー犯罪者がネットワークを横移動できるようにするため、組織の攻撃対象領域を拡大する可能性があります。
水平展開(ラテラルムーブメント)攻撃とは、サイバー犯罪者が組織のネットワーク内でより高いアクセスレベルを獲得するために使用する手法です。 ユーザーが必要以上の特権を得ている場合、サイバー犯罪者は横移動して組織のネットワークを広範囲に制御し、センシティブデータにアクセスできるようになります。
内部脅威
内部脅威とは、組織内で発生するサイバー脅威のことです。 内部脅威は、現従業員または元従業員、パートナー、請負業者、またはベンダーが、意図的または非意図的に、センシティブデータやシステムを侵害することで発生します。
特権クリープは、内部脅威によるデータ侵害につながる可能性があります。 悪意のある内部ユーザーは、特権を悪用して組織のセンシティブデータにアクセスし、侵害する可能性があります。 しかし、内部脅威は必ずしも悪意のある意図によるものとは限りません。 従業員が怠惰であれば、フィッシング攻撃の被害に遭い、組織のセンシティブデータを意図せずに侵害してしまい、サイバー犯罪者が機密性の高いシステムやデータにアクセスできるようになる可能性があります。
コンプライアンス違反
特権クリープとは、データ侵害につながり、組織のセンシティブデータが漏洩する可能性があるセキュリティリスクです。 組織は、センシティブデータを保護する規制および業界のコンプライアンスの枠組みを遵守する必要があります。 個人情報保護法、ISO/IEC 27001の国内規格版である情報セキュリティマネジメントシステム(ISMS)などの規制コンプライアンスには、組織内の特権ユーザーアカウントの特別な管理と監査が必要です。 特権クリープは、組織がこのような規制要件に遵守できないようにします。
特権クリープを防ぐ対策と方法
組織は、以下を実行することで、センシティブデータを保護し、特権クリープを防ぐことができます。
最小特権アクセスの強化
特権クリープを防ぐ最善の方法は、最小特権アクセスを実践することです。最小特権アクセスとは、サイバーセキュリティの概念であり、ユーザーには業務を遂行するのに十分なネットワークアクセスだけで、それ以上は付与しないというものです。 これにより、ユーザーが不要なリソースにアクセスできなくなり、各ユーザーがそのようなリソースを利用してできることを制限します。
最小特権アクセスは、組織の攻撃対象領域を縮小し、サイバー犯罪者がネットワーク全体に侵入するのを困難にすることで、特権クリープの発生を防ぐことができます。 脅威アクターが組織を侵害した場合、横移動ができず、侵害したアカウントの特権に制限される可能性があります。
役割ベースのアクセス制御を実装する
役割ベースのアクセス制御(RBAC)は、役割と特権を定義し、許可されたユーザーにシステムアクセスを制限します。 これは、特定のセンシティブデータやシステムに対する特権を、誰がアクセスすべきか、なぜアクセスするのか、そしてアクセスするのに必要な時間に基づいて決定します。 その後、RBACは、組織内の各メンバーの役割と、各メンバーが業務を遂行するために必要なアクセスレベルを定義します。
RBACは、ユーザーがシステムやデータにアクセスできる能力を、タスクに必要な最小限に制限し、それ以外にアクセスできないようにします。 ユーザーの役割が、許可される特定のネットワークアクセスのレベルを決定します。 ユーザーは、割り当てられた業務以外のリソースにアクセスできず、アクセスできるリソースの使用を制限されるべきです。
ゼロトラストを前提とする
ゼロトラストとは、すべての人間のユーザーとデバイスが継続的にかつ明示的に検証されることを要求することで暗黙の信頼を削除して、ネットワークシステムやデータへのアクセスを厳しく制限するセキュリティフレームワークです。 ゼロトラストとは、ユーザーがどこでログインするかではなく、ユーザーが誰であるかに焦点を当てています。
ゼロトラストの3つの基本原則は、次の通りです。
- 侵害を想定する:ゼロトラストでは、組織のネットワークにアクセスしようとするすべてのユーザーを信頼するのではなく、すべてのユーザーが侵害され、セキュリティ侵害につながる可能性があると想定しています。
- 明示的に検証する:ゼロトラストでは、組織のネットワークにアクセスするために、すべての人間とマシンが、自分が何者であるかを継続的に証明する必要があります。
- 特権を最小限にする:組織内のネットワークへのアクセスを取得した後、ユーザーは業務を遂行するために必要な最小限のネットワークアクセスのみを付与されます。
ゼロトラストを想定することで、組織は特権アクセスを最小限に抑えて、攻撃対象領域を削減し、特権クリープを防ぐことができます。 ゼロトラストを使用すると、サイバー犯罪者が組織のネットワークに不正アクセスし、横移動するのが困難になります。
PAMソリューションを導入する
PAMソリューションを使用すると、データインフラストラクチャ全体を完全に可視化し、制御できるようになるため、組織は最小限の特権アクセスを実装できます。 PAMにより、組織は、誰がネットワーク、アプリケーション、サーバー、デバイスにアクセスしているかを確認できます。 PAMソリューションは、組織がユーザー特権を管理するのに役立ちます。 組織は、各ユーザーが持つ特権の量、特定のアカウントにアクセスできるユーザー、および特権アカウントのパスワードセキュリティを管理できます。 PAMソリューションは、組織の運用とセキュリティを向上させるのに役立ちます。 組織は、特権を簡単に管理し、特権クリープの発生を防ぐことができます。
特権を定期的に監査する
組織は、特権クリープを防ぐために、特権を定期的に監査する必要があります。 特権を確認して、ユーザーが業務を遂行するために必要なものにアクセスできるだけの特権を持っていることを確実にして、不要な特権を削除する必要があります。 特権を監査することで、特定のリソースにアクセスする必要がなくなったレガシーアカウントを排除できます。 組織は、PAMソリューションを使用して、特権を簡単に監査できます。
まとめ:Keeper®を使用して特権クリープや水平展開を対策しよう
特権クリープを防ぐ最善の方法は、PAMソリューションを使用することです。 PAMソリューションにより、組織は最小限の特権アクセスを実装し、ユーザー特権を簡単に管理できます。 PAMソリューションを使用することで、組織は、ユーザーが持つ特権と、それらがどのように使用されているかを確認できます。 これにより、特権を監査し、特権クリープの発生を防ぐことができます。
KeeperPAM™は、特権アクセス管理ソリューションであり、組織がすべてのデバイス上のすべての特権ユーザーを完全に可視化し、セキュリティと制御を実現するのに役立ちます。
KeeperPAMは、Keeperエンタープライズパスワードマネージャー(KPM)、Keeper シークレットマネージャー(KSM)、そしてKeeperコネクションマネージャー(KCM)という3つを組み合わせた、特権アクセス管理を簡単にしてくれるツールです。
無料のデモを配布しているので、この機会にまずは無料の体験版デモをリクエストしてお試しください。
