組織内でゼロトラストと厳格なID管理の両方を実現する方法

日本でもランサムウェア攻撃をはじめとした、サイバー攻撃の被害が増えてきている中で、「ゼロトラスト」という言葉が新しいセキュリティのあり方として広がっています。

2022年には、デジタル庁が「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」や「ゼロトラストアーキテクチャ適用方針」を発表しました。これにより、国全体でゼロトラストの取り組みが本格化しようとしています。

そして、ゼロトラストを実現するために注目されているのが、アイデンティティ管理(IAM)および認証アプローチです。

しかしながら、このIAMのアプローチだけでは、ゼロトラストをカバーしきれない部分があります。それをカバーするのがPAMです。

そこで、このブログでは、ゼロトラストの概念を学びながら、実際に組織内でゼロトラストを実現するソリューションにはどんなメリットが実際にあるのかご紹介します。

ゼロトラストとは？

ゼロトラストとは、従来のセキュリティモデルとは異なるアプローチで、ネットワーク内外を問わず全てのアクセスを検証し、常に信頼しないという考え方に基づいた最新のセキュリティフレームワークです。

ゼロトラストは、3 つ要素が大きくあります：

1. 漏洩を想定する。 セキュリティ対策は万全でも、漏洩はいずれ起こるものです。ネットワーク上のあらゆるユーザー（人またはデバイス）が、今まさに危険にさらされている可能性があります。ネットワークのセグメント化、エンドツーエンドの暗号化、スマート分析による潜在的な脅威の特定など、「blast radius（爆発半径）」を最小化するための対策を講じる必要があります。
2. 明示的に検証する。 すべての人間と機械は、組織のネットワークとそこに含まれるすべてのシステム、アプリケーション、データにアクセスする前に、自分が本人であることを証明する必要があります。
3. 最小特権を確保する。 ネットワークにログオンしたユーザーは、業務遂行に必要となる最小限のネットワークアクセス権を持つべきであり、それ以上の権限を持つべきではありません。ゼロトラストの展開には、最小特権でアクセスできるロールベースのアクセス制御（RBAC）が常に含まれます。

さらに、NIST（米国国立標準技術研究所）は、ゼロトラストに関する重要なガイドラインを発表し、細かくこのセキュリティモデルの普及を推進しています。

NISTの「SP 800-207」のドキュメントは、ゼロトラストアーキテクチャに関する詳細なフレームワークを提供しており、ゼロトラストを実現するための基本的な構成として以下のような7つの要素を提示しています。

1 リソース（Resources）

保護されるべき対象で、システム、アプリケーション、データなどが含まれます。アクセスされるリソースが正当かどうかを常に確認します。

2 アイデンティティ（Identity）

ユーザーやデバイスのIDを厳格に管理し、認証プロセスを通じて常に確認します。多要素認証（MFA）などがこれに含まれます。

3 ネットワーク環境（Network Environment）

ネットワークの状況やアクセス元の環境を継続的に監視し、適切な保護を提供します。ネットワークの内部・外部を問わず、信頼されるアクセスは存在しません。

4 セキュリティポリシー（Security Policy）

誰がどのリソースにアクセスできるかを決定するポリシーを厳密に管理し、ユーザーやデバイスの行動に基づいてダイナミックに変更されます。

5 デバイスの状態（Device Posture）

アクセスを行うデバイスのセキュリティ状態を評価し、デバイスが信頼できる状態かを確認します。最新のセキュリティパッチが適用されているかなどをチェックします。

6 アプリケーションの動作（Application Behavior）

アプリケーションの通常の動作パターンを監視し、異常な挙動があればすぐに検出します。

7 データの暗号化と監視（Data Encryption and Monitoring）

データの送信や保存時に暗号化を行い、セキュリティを確保します。さらに、データアクセスの動向を継続的に監視し、不正なアクセスがあれば対処します。

ゼロトラストとIAMの関係性

ゼロトラストの概念を実装するにあたり、最も重要と⾔えるのが IDとアクセス管理(IAM)とされています。

そのため、IDaaSというクラウドベースのアイデンティティ管理ソリューションが出てきています。

IDaaSは、ユーザーやデバイスの認証、アクセス権限の管理、シングルサインオン（SSO）、多要素認証（MFA）などのあらゆる機能を提供します。その中でもIAMに特化したものが多いです。

しかし、これだけではIDを基準にゼロトラストを考えると不十分である要素が出てきます。

アクセス権限の管理やアクセス要求の受付や承認管理、役割に応じた権限管理、特権アクセスの管理、セッション監視といったものも含めて考えていく必要があるのです。

その中でも特に、特権アカウントの漏洩や誤用は、組織にとって致命的な結果をもたらす可能性があるため、特権ユーザーのアクティビティは、通常のシステムユーザーによる活動よりも厳しくモニタリングする必要があります。

PAM は通常、きめ細かい認証、自動化、承認、セッション記録、監査、ジャストインタイムアクセスなどの制御能力を含みます。

これらの機能により、ゼロトラストの基本原則である「漏洩を想定する。」「明示的に検証する。」「最小特権を確保する。」をより実現しやすくなります。

KeeperPAMがどのようにゼロトラスト実現と特権管理に役立つのか？

ここでは、Keeperを利用することによってゼロトラストと特権ID管理をどのようにサポートするのかご紹介します。

ジャストインタイムアクセスを施行する

ジャストインタイムアクセスとは、必要なときに必要な期間だけアクセス権を付与し、セッションの長さを所定の時間に制限します。 

これにより、ユーザーとマシンは、リソースを必要とする場合にのみ、それへの特権アクセスを持つことを確実にします。 

これは、特権リソースへのアクセスの量を一定期間制限し、ユーザーが必要以上に長く特権アクセスを得られないようにします。 これは、内部脅威による特権アクセスの悪用を防止し、権限のないユーザーによるネットワーク内の水平展開を防ぐのに役立ちます。 

多要素認証を要求

Keeperは、ゼロトラストセキュリティモデルに基づいた厳格なID管理をサポートし、多要素認証（MFA）を提供するだけでなく、強制もできます。

多要素認証をサポートすることによって、あなたの暗号化されたデジタルボルトをより安全に保護します。

これにより、ユーザーは単一のパスワードに依存せず、安全な認証が可能です。

MFAを設定することで、ログイン時にパスワードに加えて、スマートフォンへの認証コードの送信や生体認証などを導入することにより、セキュリティが大幅に強化されるメリットがあります。

仮にパスワードが漏洩した場合でも、第三者が簡単にアカウントにアクセスすることを防ぐことができます。

統合サポート

Keeperは他の多くのプラットフォームやアプリケーションとの統合が可能であり、これによりセキュリティの強化と運用の効率化が実現します。IAMソリューションだけではカバーできない範囲も、Keeperの統合機能により補うことができるため、全体的なセキュリティ管理が向上します。

よく知られるIAMソリューションは、関連するシングルサインオン（SSO）機能を通じてログインを便利にしますが、カバーしきれない利便性やセキュリティ面の課題が存在します。これらの課題は、KeeperPAMを利用することで解決することが可能です。

SCIMプロビジョニングをサポートし、以下のような一般的なSSOアイデンティティプロバイダ（IdP）との統合機能をサポートしてるので、一元管理が簡単になります。

• Microsoft Entra ID (旧 Azure AD)
• Okta (オクタ)
• Google Workspace (Googleワークスペース)
• Centrify
• OneLogin
• Shibboleth
• Duo
• Ping Identity
• JumpCloud
• HENNGE One
• Active Directory Federation Services (ADFS)

パスワードレス認証、SSO、SIEM、SDK、MFA、CI/CDアプリケーションを含むKeeperの統合リストの詳細については、こちらをご覧ください。

リモートアクセスの課題を克服

KeeperPAMの1つである、Keeperコネクションマネージャー によってあらゆるリモートアクセスの課題を克服することができます。

例えば、ネットワークの分離や、Dockerを使用した柔軟なインストールオプションを提供し、SSO、AD、LDAPによるシームレスな認証が可能です。

リモートブラウザ分離 (RBI) にも対応しており、安全で効率的なVPNを伴わないアクセスを実現することが可能です。

Keeperコネクションマネージャーは、エンドユーザーのデバイスからウェブブラウジングを安全に隔離し、制御されたリモート環境でのブラウジングセッションを提供します。

このアプローチは、VPNを必要とせずにウェブサイトやツールに安全にアクセスできるという点で画期的です。さらに、ウェブサイトでのやり取りを完全に記録する機能により、オペレーティングシステムへの完全なアクセスを許可することなく、コンプライアンスと監査要件を満たすことが可能となります。

詳細な監査ログ

Keeperの高度なレポートおよびアラートモジュール（ARAM）は、200以上の追跡可能なイベントを持ち、高度にカスタマイズ可能なレポートの作成や、ほぼリアルタイムでのアラート送信が可能です。

これにより、誰がいつどこでどのログイン情報を正確にアクセスしたのかなどを把握することができ、不正なアクセスやセキュリティ侵害の早期発見に役立ちます。

このような詳細なログは、SSOアカウントを管理する組織にとって不可欠な要素ですが、Keeperはその弱点を克克服してくれます。

アクセス制御

機密情報へのアクセス権限は組織内で絶対に欠かせないようその1つです。

Keeperを利用することにより、業務上必要な従業員に限定したロールベースアクセス制御や最小特権の原則に従い、組織内で過剰な権限を与えないようにすることが可能になります。

例えば、役職や業務内容に応じてアクセス権を細かく設定し、機密情報にアクセスできる範囲を最小限に抑えることができます。

さらに、定期的に権限を見直し、異動や退職に伴って不要になったアクセス権限をすみやかに削除することで、リスクを低減します。

ポリシーの管理と適用

ゼロトラストを実現するためには、組織内でセキュリティポリシーを設定することは絶対に欠かせないようその1つです。

例えば、組織のIT管理者がパスワードの強度要件やプラットフォームデバイスの制限、MFAの強制など、ボルトの詳細設定など組織のニーズに応じたポリシーを柔軟に管理することができます。

これにより、組織の従業員全体に対しても、ポリシーを強制させることが可能になります。

統合されたプラットフォーム型ゼロトラストPAM

ゼロトラストのKeeperPAMは、Keeper企業向けパスワードマネージャー 、Keeperシークレットマネージャー  、およびKeeperコネクションマネージャーを組み合わせた、ゼロトラストおよびゼロナレッジの特権アクセス管理ソリューションです。

KeeperPAMを利用することで、組織はパスワード、認証情報、機密情報、特権管理、リモートアクセスをすべて1つのプラットフォームで安全に管理することができます。

これにより、組織はネットワーク上のすべての特権ユーザーとデバイスに対して、完全な可視性、安全性、制御を実現することができます。

Keeperで組織内をゼロトラストに基づいた厳格なID管理しましょう

ゼロトラストセキュリティを組織内で実現する上で、PAMは欠かせない要素になっています。しかし、IAMにフォーカスしたIDaaSだけでは、IDを基準にゼロトラストを考えると不十分である要素が出てきます。

そんな中で、KeeperPAMのようなツールを投資することによって、組織内で素早くゼロトラストに基づいたID管理を実現することができます。

KeeperPAM® を使用することで、組織は最高レベルのセキュリティで保護されることが保証されます。 ゼロトラストの KeeperPAM は、組織がすべての特権ユーザーおよびすべてのデバイスで完全な可視性、セキュリティ、制御、レポート作成を行うことを可能にする最新の特権アクセス管理ソリューションです。

この機会にまずは、デモをリクエストしてみてください。

あなたの組織にあったソリューションをまず知るために、KeeperPAMがどのように役立つのかデモをご予約ください。担当のものがご説明いたします。