社員が退職する際、会社内のアカウントの引き継ぎはスム
Zero Standing Privilege(ZSP)とは、組織がすべての永続的なユーザーアクセスを削除することで、センシティブデータへのアクセスを制限する特権アクセス管理(PAM)戦略です。 これはユーザーに対して、タスクを完了するために必要なリソースへの特定のアクセスをリクエストすることを求めます。 しかし、ユーザーに継続的なアクセスを与えるのではなく、タスクが完了するまで一時的なアクセスを許可します。
Zero Standing Privilegeは、ユーザーの暗黙の信頼を排除し、身元確認と特定のリソースへのアクセスの必要性を常に確認することを求めます。 これは、セキュリティに対するゼロトラストのアプローチの実装を支援するもので、人間および人間以外のユーザーすべてが、明示的かつ継続的に身元確認を行い、必要な場合にのみ最小限の特権を取得する必要があります。
ここではZero Standing Privilegeについて、永続特権のリスク、Zero Standing Privilegeのメリット、PAMソリューションでZero Standing Privilegeを実装する方法について、さらに詳しく説明します。
永続特権とは?
永続特権とは、ユーザーに割り当てられる「常時有効」な特権です。 組織は、役割と責任を定義し、業務を遂行するために必要な特定のリソースへの恒久的なアクセスをユーザーに割り当てます。 これにより、ユーザーはいつでもどこからでも必要なリソースにアクセスできます。 永続特権はユーザーにとって便利であり、必要なリソースにすぐにアクセスすることができます。 しかし、そのようなリソースに常にアクセスできるユーザーは、組織に危険をもたらす可能性のあるセキュリティリスクにさらされます。
永続特権のリスク
永続特権は、過剰なアクセスやデータ侵害のリスクをもたらします。 サイバー犯罪者が組織のネットワークに不正アクセスした場合、永続特権を悪用してセンシティブデータやシステムにアクセスできます。 永続特権に起因する一般的なリスクを以下に示します。
特権クリープ
特権クリープとは、ネットワークアクセスレベルが徐々に増加し、個人が業務を遂行するために必要な範囲を超えることを指します。 これは、特権アクセス管理が不十分であり、組織が不要な特権を削除することを忘れたり、シャドーITが作業を完了するためにネットワーク制限をバイパスしたりすることで発生することが少なくありません。 サイバー犯罪者は、特権クリープを持つアカウントを侵害し、蓄積された永続特権を悪用しようとします。
特権昇格
特権昇格とは、サイバー犯罪者が侵害された特権アカウントを使用して、組織のネットワーク内の特権レベルを拡張するサイバー攻撃です。 永続特権では、サイバー犯罪者に特権を垂直または水平に昇格させることができます。 サイバー犯罪者は、同等レベルの特権が与えられたアカウントへのアクセス範囲を拡大させたり、管理者アカウントへのより高いレベルのアクセスを取得して、特権を昇格させようとしたりします。
ラテラルムーブメント
ラテラルムーブメントとは、脅威アクターが初期アクセスを獲得した後、ネットワーク内の奥深くに移動するために使用する手法です。 組織のネットワークに検知されずにアクセスした後、サイバー犯罪者は他のデバイスにマルウェアを感染させ、永続特権を持つアカウントのログイン認証情報を盗み、承認をバイパスすることで、ラテラル(横)に移動します。 また、ラテラルムーブメントは、組織のセンシティブデータや貴重な資産を侵害しようとする悪意のある内部脅威によって実行されることもあります。
Zero Standing Privilege(ゼロスタンディング特権)のメリット
Zero Standing Privilegeのメリットは、以下の通りです。
サイバーセキュリティリスクを軽減
永続特権を削除することで、組織はセンシティブデータやシステムのネットワークへのアクセスを制限します。 Zero Standing Privilegeは、特権クリープ、特権昇格、ラテラルムーブメントを通じた、外部の脅威アクターによる特権濫用や、悪意のある内部脅威を防ぐのに役立ちます。 組織は、一時的なアクセスを実装した場合、永続特権でアカウントを侵害するサイバー犯罪者の心配をする必要はありません。
サイバー保険の対象になりやすい
サイバー保険は、サイバー攻撃による損失から事業を保護するために作成される専用の保険です。 これは、データ復旧と復元にかかるコストをカバーするもので、サイバー攻撃によりデータ侵害とビジネスの中断が生じていることを、影響を受ける当事者に通知します。 Zero Standing Privilegeは、組織がネットワークを不正アクセスから保護し、ネットワークセキュリティに対処することで、サイバー保険の対象となりやすくなります。
規制コンプライアンスの遵守を支援する
組織は、規制および業界のコンプライアンスと、センシティブデータを保護するのに必要なフレームワークを遵守する必要があります。 Zero Standing Privilegeは、組織のセンシティブデータへのアクセスを保護し、GDPR、SOX、HIPAA、PCI DSSなどの規制コンプライアンスの遵守を支援します。
PAMソリューションでZero Standing Privilege(ゼロスタンディング特権)を実装する方法
Zero Standing Privilegeを実装する最善の方法の1つは、PAMソリューションを使用することです。 PAMソリューションは、組織が機密性の高いシステムやデータへのアクセスを持つアカウントを管理し、保護できるようにするツールです。 これは、組織のデータインフラストラクチャ全体を完全に可視化し、制御します。 PAMソリューションにより、組織はネットワークに誰がアクセスしているのか、各ユーザーがアクセスしている内容が何か、そしてそれらのリソースがどのように使用されているのかを確認できます。
PAMソリューションは、組織がジャストインタイムアクセスを介して、できるだけ多くの永続特権を削除するのに役立ちます。 ジャストインタイムアクセスとは、人間および人間以外のユーザーが、特定の期間内にタスクを実行するために、昇格する特権をリアルタイムで取得することです。 ユーザーは、タスクを完了するための一時特権を要求します。 その後、PAMソリューションはユーザーのアカウントに一時的な昇格特権を付与するか、タスクが完了した後に削除される新しい一時的な特権アカウントを作成します。 ジャストインタイムアクセスは、Zero Standing Privilegeを実装し、誰も永続特権を持たないことを確実にするのに役立ちます。
Keeper®を使用してZero Standing Privilegeを実装する
Zero Standing Privilegeを実装するには、組織はジャストインタイムアクセスの使用を可能にするPAMソリューションに投資する必要があります。KeeperPAM™は、組織がパスワードや認証情報、シークレット、特権を保護できるようにするゼロトラストおよびゼロ知識の特権アクセス管理プラットフォームです。 KeeperPAMは、Keeperパスワードマネージャー(KPM)、Keeperシークレットマネージャー(KSM)、そしてKeeperコネクションマネージャー(KCM)という3つを組み合わせた特権アクセス管理ソリューションを組み合わせ、1つのプラットフォームで完全な可視性、セキュリティ、制御のすべてを実現します。 また、KeeperPAMは組織がZero Standing Privilegeを実装するためのジャストインタイムアクセスをサポートしています。