PAM (特権アクセス管理) 
特権アクセス管理 (PAM) はIDおよびアクセス管
組織は、ジャストインタイム (JIT) アクセスを実装すること、リモートブラウザ分離 (RBI) を使用すること、ゼロトラストネットワークアクセス (ZTNA) を実装すること、そして最小特権の原則 (PoLP) に従うことで、永続的なアクセスを排除できます。 永続的なアクセスは、必要性の有無に関わらず、ユーザーが無制限にリソースにアクセスできる場合に発生します。 通常、特権アカウントには永続的なアクセスが許可されます。センシティブデータに頻繁にアクセスする必要があるためです。 しかし、そのような重要なデータに継続的にアクセスできることは、機密情報を危険にさらしかねないセキュリティリスクを伴います。
ここでは、永続的なアクセスがもたらすリスクと、組織がそれを排除する方法について詳しく説明します。
永続的なアクセスにはどのようなリスクがあるのか
永続的なアクセス権が付与されたユーザーは、アクセス権が常に付与された状態です。そのため、組織内のデータやプライバシーが脅かされるリスクがいくつか浮上します。
攻撃対象領域の増加
永続的なアクセスがあると、組織の攻撃対象領域、つまりサイバー犯罪者がデータにアクセスして盗むために使用できるエントリポイントの総数が増加します。 攻撃対象領域が小さければ、サイバー犯罪者がネットワークをハッキングしてデータを盗むことは簡単ではありません。 永続的なアクセスがあることによって、組織の攻撃対象領域は拡大します。これは、特権ユーザー対して、特定のタスクに必要ではない場合でも継続的なアクセスを認めるためです。 特権アカウントが侵害される事態が発生し、そのユーザーがセンシティブデータへの継続的なアクセス権を保持している場合、サイバー犯罪者が重要な情報に不正アクセスできてしまう恐れがあるのです。
特権クリープ
特権クリープは、従業員が昇進したり、異なる権限が付与された役割を新たに引き受けたりなど、時間の経過とともに従業員のアクセスや権限が蓄積された状態のことです。 このような特権には、センシティブデータへのアクセスなどが含まれます。 組織に永続的なアクセスがある場合、あらゆる特権データに常にアクセスできる従業員は、そのアクセスを無期限に保持することになります。 特権クリープがあることは、セキュリティの脆弱性を高めます。従業員のアカウントに不正アクセスを得たサイバー犯罪者が、センシティブデータへのアクセスを得る可能性があるためです。
クレデンシャルの漏洩
永続的なアクセスがあると、フィッシング攻撃やソーシャルエンジニアリング攻撃によってクレデンシャルが漏洩するリスクが高まる可能性があります。 従業員が一貫して機密情報にアクセスできる状態にあり、データ漏洩や貧弱なパスワード慣行によってその従業員のパスワードが侵害された場合、漏洩したログイン認証情報をサイバー犯罪者に使用されて、センシティブデータにアクセスされる可能性があります。 サイバー犯罪者は、組織の従業員に説得力のあるフィッシングメールを送信したり、ソーシャルエンジニアリングの手口を使用して信頼のおける人物を装うことで、ログイン認証情報を共有するように仕向けることがあります。 特権アカウントに永続的なアクセスがある場合、従業員がこうしたフィッシング攻撃に騙されてしまうと、組織のデータが危険にさらされる可能性があるのです。
組織が永続的なアクセスを排除するには
組織は、ジャストインタイム (JIT) アクセスを実装すること、リモートブラウザ分離 (RBI) を使用すること、ゼロトラストネットワークアクセス (ZTNA) を実装すること、そして最小特権の原則 (PoLP) に従うことで、永続的なアクセスを排除できます。
ジャストインタイム (JIT) アクセスを実装する
ジャストインタイム (JIT) アクセスとは、特定のタスクを実行するために、ユーザーやデバイスがリアルタイムで一時的に権限が与えられるべきだという慣行です。 JITアクセスがあれば、権限のあるユーザーは、必要な時のみにセンシティブデータにアクセスできます。 これは、アクセスを無期限に付与するのではなく、ユーザーがセンシティブデータにアクセスできる期間を制限するもので、永続的なアクセスとは逆の機能です。 JITアクセスを使用することで、組織はデータの漏洩を防ぐことができます。
リモートブラウザ分離 (RBI) を使用する
リモートブラウザ分離 (RBI) は、隔離された環境でインターネットの閲覧行為を実行し、傍受されるのを防ぐことで、サイバー脅威を最低限に抑えるサイバーセキュリティのソリューションです。 RBIを実装すると、閲覧セッションがユーザーのデバイスとは別の仮想空間内に格納されるため、組織は永続的なアクセスを排除できます。 RBIは、閲覧行為をデバイスや組織のネットワークから分離することで、永続的なアクセス権の付与を防ぎます。これは、請負業者やサードパーティによるサービスが分離されたセッションで閲覧するためです。
ゼロトラストネットワークアクセス (ZTNA) を実装する
ゼロトラストネットワークアクセス (ZTNA) は、従業員やデバイスが組織のネットワーク内外どちらにいるかにかかわらず、厳密なアクセス制御の維持を優先するセキュリティのフレームワークです。 ZTNAは、いかなる人物やデバイスも一貫して信頼されるべきではないという前提に基づき、すべてのユーザーがユーザー本人であることを確認してからデータにアクセスできるようにするものです。 ZTNAは、組織内の永続的なアクセスを排除するのに役立ちます。これは、センシティブデータへのアクセスは、組織のネットワーク内にいる人物であっても、適切な認証がなければ自動的に付与されないためです。
最小特権の原則 (PoLP) に従う
組織は、業務を完了するのに必要なアクセス権のみを権限のあるユーザーに付与する最小特権の原則 (PoLP) に従うことで、永続的なアクセスを排除できます。 従業員に必要なアクセス権のみを付与することで、永続的なアクセスを排除できます。従業員は、センシティブな情報に無期限にアクセスできる状態を維持することがなくなるためです。 また、PoLPは組織の攻撃対象領域を最小限に抑えることで、データ漏洩が発生した場合の被害を軽減します。
PoLPを実装するには、特権アクセス管理 (PAM) ソリューションに投資して特権アカウントを監視し、センシティブデータにアクセスできるユーザーを保護します。 KeeperPAM®のようなPAMソリューションは、特権アカウントによる重要なデータへのアクセスを完全に可視化することで、PoLPをサポートしています。 特定のデータにアクセスできるユーザーと、アクセスできる期間をKeeperPAMで制御することによって、特権アカウントが侵害されて組織のセキュリティに悪影響を及ぼすのを防ぐことができます。
KeeperPAMで永続的なアクセスを排除する
KeeperPAMは、組織が永続的なアクセスを排除する上で最良の選択です。その理由は以下のとおりです。
- KeeperPAMは、センシティブデータにアクセスできる特権アカウントを保護して監視し、データにアクセスできるユーザーを制御します。
- KeeperPAMは、センシティブデータへの継続的なアクセスを許可するのではなく、権限のあるユーザーにのみ特権を与えることで、PoLPをサポートします。
- KeeperPAMは、PAM関連のツールを統合して組織のゼロトラストセキュリティを実現し、ZTNAとRBIの実装をサポートします。
KeeperPAMのデモをリクエストして、組織内での永続的なアクセスを排除し、不正ユーザーからセンシティブデータを保護しましょう。
