PAM (特権アクセス管理) 
シークレット管理において最も一般的な過ちには、シーク
特権アクセス管理 (PAM) はIDおよびアクセス管理 (IAM) のサブセットであり、特に組織内で最も機密性の高いシステムやデータを扱うユーザー (IT担当者、情報セキュリティ担当者、および研究開発担当者など) のアクセスを制御することに特化したものです。 様々なタスクの中でも、PAMは特に最小権限の原則を実施する役割を担っています。この原則では、ユーザーが職務を遂行するために必要となるシステムやデータへの最小限のアクセス権が許可されます。
サイバー攻撃の頻度、強度、および経済的な影響が高まるにつれて、自社のセキュリティテクノロジースタックにPAMソリューションを追加する企業が増えています。 しかしながら、競合するPAM製品が数多く存在しているため、適切な製品を評価して選択することは困難な場合があります。
組織のセキュリティを確保するにあたり、最も必要となる特権アクセス管理の機能トップ6をご紹介します。
1. クラウドベースのゼロトラストおよびゼロ知識のセキュリティ
今日の組織のデータ環境は、大部分が、あるいはすべてがクラウドベースである場合がほとんどですが、「最新の」PAM製品の多くは、元々オンプレミスのインフラストラクチャ向けに開発されたものであり、後にクラウド機能が後付けされたものです。 クラウド内で開発されていないPAM製品では、必要に応じてクラウドのリソースを自動的に拡張および縮小する機能 (自動拡張)、ゼロトラストセキュリティ、およびゼロ知識暗号化などのクラウドの機能を完全に活用することはできません。
ゼロ知識を採用していない製品は本質的に安全性が低くなります。サービスプロバイダーが機密性の高いユーザーデータにアクセスできるからです。 ゼロ知識を採用していないプロバイダーは、データを読み取り可能な形式で保存するか、ユーザーのデータを復号化する機能を備えています。 こういったシステムが侵害されると、攻撃者はこれらのセンシティブデータにアクセスできる可能性があります。 これとは逆に、ゼロ知識を採用しているプロバイダーは、たとえ侵害が発生した場合でもユーザーのデータを読み取ることはできません。データは暗号化されており、ユーザーのみがキーを保持しているからです。
外部の悪用者や悪意のある内部関係者が機密性の高いユーザーデータを漏洩するのを防ぐことができるのに加えて、ゼロ知識暗号化を採用すると、センシティブデータは政府規制当局の手に渡らなくなります。 プロバイダーが保存するデータは現地の法律の対象となり、ユーザーの同意なしにデータにアクセスまたは監視される可能性があります。また、政府または規制機関はユーザーのデータへのアクセスを要求することができます。 ゼロ知識暗号化を採用していない企業は、そのような要求に応じて、ユーザーのデータを提供することを法的に強制される可能性があります。 組織がゼロ知識暗号化を使用している場合、こういった要求に応じることはできません。ユーザーのデータを復号化することができないからです。
最後に、ゼロ知識を導入することにより、サービスプロバイダーと顧客間の信頼が構築されます。 組織は、サービスプロバイダーが自社のデータを責任を持って処理および保護することを信頼しなければなりません。
ゼロ知識環境では、サービスプロバイダーはどのような場合であれユーザーの機密情報にアクセスできないため、この信頼を提供できやすくなります。
KeeperPAM®: クラウド向けにゼロ知識セキュリティをクラウド内に構築
多くの競合他社とは異なり、KeeperPAMは クラウド機能を後付けしたオンプレミス製品ではありません。 KeeperPAMは、クラウド内でクラウド向けに、Keeperの ゼロ知識セキュリティアーキテクチャを採用して構築されています。. これは、エンドユーザーのみがKeeper Vaultに保存されているパスワード、ファイル、またはその他のデータを閲覧できることを意味します。ローカル管理者であっても、Keeperの従業員でさえも閲覧できません。 Keeperのインフラストラクチャが接続を仲介し、ユーザーのブラウザからターゲットとなるインフラストラクチャに対して、エンドツーエンドの暗号化されたピアツーピア接続が構築されます。
2. 粒度の細かいアクセス制御とポリシーの実施
粒度の細かいアクセス制御では、必要とするものへのユーザーまたはシステムからのアクセスが厳密に制限されるため、組織が安全で効率的かつコンプライアンスに準拠した環境を構築するために役立ちます。 通常、このアクセス制御は、 役割ベースのアクセス制御 (RBAC) および最小権限アクセス (辛うじて足りるだけの権限または JEP) と組み合わされ、システムやデータへのアクセス権は 従業員の職務権限に基づいて設定されます。最終的な目標は、ユーザーが業務遂行に必要なリソースのみにアクセスできるようにすることであり、それ以上のものにアクセスすることはできません。 粒度の細かいアクセス制御、RBACおよび最小権限 (JEP) は最新のゼロトラストのセキュリティ環境の基盤となるため、採用するPAMソリューションがこれらの機能をサポートしていることが不可欠です。
ジャストインタイム (JIT) アクセスは、安全な特権アクセスを確保するためのもう1つの重要な機能です。 JITは、ユーザーまたはシステムが特定のタスクを実行するにあたり必要となる場合にのみ、ユーザーまたはシステムにリソースへの一時的な時間制限付きアクセスを許可します。 つまり、次のようなアクセスを意味します。
- オンデマンドでのプロビジョニング: 要求されたとき、または特定のイベントでトリガーされたときに発生します。
- 時間制限あり: 事前に定義された期間が経過した後、またはタスクが完了した後に自動的に破棄されます。
- 状況を認識: ユーザーの役割、場所、デバイス、またはセキュリティ体制などの条件が組み込まれる場合があります。
KeeperPAMによる粒度の細かいアクセス制御とポリシー適用の簡素化KeeperPAMはJITアクセスを ターゲットとなるあらゆるインフラストラクチャあるいシステムに、クレデンシャルを公開することなく提供することができます。 アクセス権の有効期限が切れると、クレデンシャルは自動的にローテーションされます。 JITと最小権限 (JEP) の原則を実装することで、KeeperPAMは無期限アクセスを削減することができます。これにより、セキュリティの脆弱性が軽減され、権限を過剰に付与するリスクも軽減されます。 |
3. セッション管理、監視、記録
特権アクセス管理では、特権ユーザーのアクティビティを監視および管理し、説明責任を持たせるにあたり、セッションの管理、監視、および記録が重要な機能となります。 これらの機能により、特権アカウントが実行したアクションを注意深く追跡、ログ記録、および確認することができ、アクセス権の昇格に伴うリスクを軽減することができます。
セッション管理には、機密性の高いシステムへのアクセスの開始、維持、および終了など、特権ユーザーのセッションの管理が含まれます。 採用しているPAMソリューションに、次の機能が含まれているか確認してください。
- セッションの開始: ターゲットシステムに対して、安全で時間制限のある接続を行います。
- アクセス制御: 時間制限やセッション中の特定のデバイスの使用などに関するポリシーを適用します。
- セッションの終了: アクティビティがない、またはポリシー違反の発生に基づいて、セッションを自動的に終了します。
- セッションの監視: 特権セッション中のユーザーのアクティビティをリアルタイムで追跡できます。これにより、IT担当者とセキュリティ担当者は実行されているアクションを確認できます。多くの場合、これらの確認はライブのダッシュボードまたは画面共有のメカニズムを通して行われます。
- セッションの記録: 特権セッションに関する詳細なログをキャプチャおよび保存できます。また、多くの場合、これらのログはビデオのような形式で再生できます。 記録には通常、キー入力、実行されたコマンド、表示された画面などが含まれます。
セッションの管理、監視、および記録は、特権セッション中に疑わしいアクションまたは不正なアクションが検出された場合にセキュリティチームが介入できるようにすることにより、悪意のあるアクティビティを防止するのに役立ちます。 権限の濫用を阻止することにより、内部の脅威を軽減できます。また、インシデントが発生した場合に備えて、科学的調査を行うための証拠を提供することもできます。 セッションの管理、特にセッションの記録も、コンプライアンスを遵守するための鍵となります。 多くの業界標準および規制の枠組み (HIPAA、PCI DSS、GDPRなど) では、センシティブデータを保護するために特権ユーザーのアクティビティを追跡、記録、および報告することが要求されます。
トンネリングとBYOT (Bring Your Own Tools) に対応しているPAMソリューションを選択するようにしてください。 トンネリングとは、ターゲットとなるシステムに直接アクセスする必要なく、仲介手段あるいはプロキシを介して、リモートシステムとの通信あるいは対話を安全にルーティングし管理できる機能を指します。 これはPAMソリューションにとって特に重要な機能です。ユーザーのデバイスとターゲットシステム間で保護された暗号化通信を可能にし、すべての通信をPAMゲートウェイまたはプロキシ経由でルーティングすることでRBACを実施してセッション管理を可能し、複数のプロトコル (SSH、RDP、HTTPSなど) をサポートすることでユーザーが多様な環境を安全に管理できるようにするからです。
BYOTは包括的なPAMソリューションの機能の1つです。この機能を使用することで、ユーザーはPAMプラットフォームから提供されるツールにのみ依存することなく、必要となるツールやアプリケーションを安全に使用できるようになります。 例えば、システム管理者は、PuTTYやTerminalなど、いつも使っているSSHクライアントを使用してPAMプラットフォーム経由でサーバーに接続することができます。 これにより、セキュリティやガバナンスを維持しながら、特別なツールまたはユーザー設定を必要とするワークフローに対応できるようになります。
KeeperPAMによるセッションの管理、監視、および記録の強化
KeeperPAMの特権セッション管理 (PSM) ツールでは、重要なクレデンシャルとインフラストラクチャを確実に保護するにあたり、シークレットボルト、JIT/JEP、およびリモートセッションの記録と再生を使用します。 セッション記録やキー入力の記録を使用することで、確認やコンプライアンス、セキュリティを目的として、接続中や保護されたウェブサイト上でのユーザーのアクティビティを記録することができます。 これにより、適切なやり取りが確保されるようになります。また、内部の脅威や詐欺を軽減できます。
Keeper Vault内のユーザーのアクションも記録されます。また、Keeperの高度なレポート作成および警告モジュール (ARAM) ツールを使用することで、組織はログイン試行の失敗、管理上のポリシーの変更、記録の共有、およびユーザーのライフサイクルの変更などの疑わしいアクティビティについて警告されるように設定することができます。 ARAMはまた、FedRAMP、SOC 2、ISO 27001、およびHIPAAなどのコンプライアンスの枠組みに対処するための特殊レポートを生成することもできます。
組織はKeeperを既存のセキュリティ情報およびイベント管理 (SIEM) ツールと統合することで、より高度な分析を行うことができます。 KeeperはsyslogプッシュをサポートしているすべてのSIEMと統合させることができ、Splunk、Datadog、Azure、LogRhythmなどの数多くのプラットフォームと追加設定なしで統合することができます。
KeeperPAMでは、開発者はシステムへのアクセス方法を選択することができます。Keeper Connection Managerの目で確認できるインターフェースを使用してリソースにアクセスすることも、データベースまたはターミナルエミュレーターなどのよく使用するツールを使用して、暗号化されたTCPトンネルを作成してシステムにアクセスすることもできます。
KeeperPAMはまた、リモートブラウザの隔離 (RBI) 機能も提供しています。この機能は、ユーザーのウェブ閲覧アクティビティをリモートサーバー上のサンドボックスや仮想マシンなどの隔離された仮想環境で実行することで、ユーザーのローカルデバイスから隔離します。 ウェブのコンテンツはリモートサーバー上でレンダリングされるため、悪意のあるスクリプトやマルウェア、悪用がユーザーのデバイスに到達することはありません。
4. パスキーのサポート
パスキーは、従来のパスワードに代わるものとして設計された、フィッシング攻撃に強い最新の認証方法です。 これはパスワードレスのログインシステムの一種であり、公開鍵暗号を採用することで、セキュリティと使いやすさを向上させています。 パスキーは、Apple、Google、Microsoftなどの主要なテクノロジー企業に採用されており、FIDO Allianceによってサポートされています。 普及が進むことで、パスワードに関連するサイバー攻撃が劇的に減少し、オンライン体験をより安全かつユーザーフレンドリーなものにし、安全で使いやすい方法が標準化されることでデジタルID認証が変革することが期待されています。
パスキーを採用することで、組織はセキュリティを大幅に強化しながら、従来のパスワード管理に伴う複雑さを軽減することができます。お使いのPAMソリューションがパスキーに対応していることを必ず確認してください。
KeeperPAMでパスキーの保存と使用が簡単に
KeeperPAMを採用すると、組織はあらゆるデバイス上のすべての従業員のパスワード、パスキーおよびファイルを簡単かつ安全に保存できます。 KeeperPAMをSSOと統合させることで、ユーザーはシームレスなパスワードレス体験のメリットを享受できます。
5. 自動ローテーションによるパスワードの保管と管理
パスワードの自動ローテーションと保管は、最新のPAMソリューションに備わる機能であり、パスワード処理が自動化されて安全に保存されるため、特権アカウントのセキュリティと管理が強化されます。
パスワードの自動ローテーションは、特権アカウントのパスワードを指定された間隔でまたは毎回の使用後に自動的に変更します。 このプロセスは事前に定義済みのポリシーによって実行されるため、手動で介入する必要はありません。 パスワードのローテーションを自動化することにより、クレデンシャルの漏洩や古いパスワードに起因する不正アクセスのリスクが軽減され、特権アカウントへの永続的なアクセスを持つユーザーを確実に排除し、パスワードのローテーションを義務付けているPCI DSSやHIPAAなどの規制の要件を満たすことができます。
パスワードの保管とは、特権アカウントのクレデンシャルを暗号化された中央リポジトリ (「ボルト」) に安全に保存することを意味します。 ユーザーまたはシステムは、リソースにアクセスするためのパスワードを取得するにあたり、PAMソリューション経由で認証する必要があります。 ボルトへのアクセスはRBACなどのポリシーに基づいて制限されます。また、クレデンシャルは特定のセッションに対して取得することができますが、ユーザーには表示されません。 これにより、機密性の高いクレデンシャルをシステムまたは個人のデバイスに散在させて保存する必要がなくなります。また、アクセス制御ポリシーと統合することで、特定のパスワードを取得または使用できるユーザーを制限することができ、ボルトへのすべてのアクセスをログに記録することで、クレデンシャルの使用状況を可視化します。
一般的に、サイバーセキュリティのベストプラクティスではパスワードの共有を推奨していません。 すべてのユーザーがすべてのシステムとアプリケーションに対して固有のログインを持つことが理想的です。 しかしながら、これは現実的ではありません。そのため、使用しているPAMソリューションにユーザーがパスワードを安全に共有できる機能があることが重要です。 アカウントの共有に加えて、一時的な共有 (時間制限付きのアクセス)、1回限りの共有、および共有の自動消滅などの機能も検討してください。
KeeperPAM によるパスワードの保管と自動パスワードローテーションの実行
KeeperPAMを使用することで、ユーザーはクレデンシャルを暴露させることなくアカウントへのアクセスを安全に共有できます。 共有アクセスは無期限にすることも、時間制限を設けることもできます。これには1度限りの共有や、指定された期間後に自己破壊される共有が含まれます。 アクセス権の有効期限が切れると、クレデンシャルは自動的にローテーションされます。 KeeperPAMを使用することで、ITチームとセキュリティチームはどのユーザーがクレデンシャルとファイルを共有できるのかについて完全に管理できます。 許可されたユーザーのみが共有を開始できるようにすることにより、組織はデータの損失を防ぐことができ、コンプライアンスに関する規制をより簡単に遵守できます。
KeeperPAMのゼロ知識のセキュリティのアーキテクチャによって、完全に保護されたパスワードの保管が保証されます。 Keeperはユーザーのボルト内のいかなるデータにもアクセスすることはできません。また、Keeperのネットワーク経由でルーティングするトラフィックもないため、データの完全なプライバシーが確保されます。 誰も、Keeperの従業員でさえもユーザーのボルト内のデータにアクセスしたり復号化したりすることはできません。
KeeperPAMのパスワード自動ローテーション により、管理者は企業のデータ環境全体のサービスアカウントまたは管理者のアカウントのクレデンシャルを検出、管理、および変更できるようになります。 Keeperの一元化された保管およびパスワードローテーション機能は、クレデンシャルを持続的にアクセスできないものにして、すべてのアクセスを検証および監視することで、ゼロトラストモデルと一致しています。
6. IT部門だけでなく組織全体を保護
現在市場にあるPAM製品の中には、IT管理者、研究開発担当者、およびその他の特権ユーザーを保護することのみを目的として設計されているものもあります。 しかし、特権アクセス権を持つユーザーだけでなく、組織内のすべてのユーザーの安全を確保することは非常に重要です。 これは、PAMソリューションと一般的なIAMソリューションの両方を導入、展開してから両方の製品を管理および維持する必要があることを意味します。 これにより、ITチームとセキュリティチームの負担が増加し、社内のポリシーと管理をユーザーベース全体に一貫して適用することがより困難になります。
お客様のユーザーベース全体を保護するために作られたKeeperPAM
KeeperPAMを使用すると、組織はKeeper Vaultをすべてのユーザーに展開するだけで、完全にカバーすることができます。 KeeperPAMでは、職務に合わせてカスタマイズされ、最小限の権限を採用した、役割に基づくアクセス制御を利用できます。 これにより、組織は堅牢なセキュリティポリシーを維持しながら、ユーザーのアクセスを合理化し、ITチームの管理タスクとエンドユーザーの負担を軽減できます。
KeeperPAMは組織内のすべてのユーザーにとって簡単に使用できます。 ユーザーがインフラストラクチャまたはKeeperゲートウェイに直接アクセスできる必要はありません。 Keeperのウェブボルトをユーザーに展開するだけですべてが完全に組み込まれるため、デスクトップのインストールやエージェントは必要ありません。
組織のPAMソリューションにはKeeperPAMをお選びください
KeeperPAMは、重要なPAM機能をクラウドボルト内に組み込んだ初のソリューションです。お客様のIT部門だけでなく、ユーザーベース全体に安全なアクセスを提供することができます。 完全にクラウドネイティブなプラットフォームであるKeeperPAMには、保管、機密情報の管理、接続管理、ゼロトラストアクセス、およびブラウザのリモート隔離が単一のインターフェースに統合されています。
KeeperPAMのデモをご予約ください。お客様のすべての重要なリソースへのアクセスを保護して管理を統合するために、Keeperが実践する積極的なアプローチについて詳しくご案内します。
