PAM (特権アクセス管理) 
ランサムウェアと盗まれた認証情報は、金融機関を標的と
特権アクセス管理 (PAM) は、現代の企業セキュリティに不可欠であり、機密情報の保管システムへの特権アクセスの監視と制御に役立ちます。 企業がオンプレミス、ハイブリッド、クラウドの各環境にわたってインフラを拡大するなかで、適切なPAMソリューションの選定は、コンプライアンスの適用とセキュリティリスクの軽減に長期的なインパクトを及ぼす可能性があります。
ITチームとセキュリティチームは、さまざまなPAMソリューションから最適なものを選定するには、内部のアクセスリスクを見直し、ゼロ知識アーキテクチャ、シークレット管理、自動認証情報ローテーションなどの主要機能を比較検討することが重要となります。
以下では、現在のアクセスリスクを特定する方法、先端PAMソリューションで重視する点、自社に最適なソリューションの選定するために各モデルで比較すべき点をご紹介します。
アクセスリスクを特定する
PAMソリューションを評価する前に、現在のアクセスに関する具体的な課題を理解する必要があります。 多くの企業がなお利用しているオンプレミスの旧式PAMソリューションは、ハイブリッド環境やクラウドネイティブ環境へ拡張するのが困難です。 現代の職場は、インフラが分散化されており、複数のプラットフォームにまたがって管理されているため、旧式PAMは対応しきれない部分があります。 Keeper Securityによるクラウドベースの特権アクセス管理に関するインサイトレポートによると、オンプレミスのPAMソリューションは、セキュリティ目標達成の足枷であると回答する組織の割合は60%に達しています。
自社に最適なPAMソリューションの条件を明確にするには、使用可能な機能と実際に得られるビジネス成果を結びつけてみるとよいでしょう。
- 常時特権を減らすために、ジャストインタイム (JIT) アクセスは必要か? JITアクセスは、重要なシステムと機密データへの時間制限付きアクセスを一時的に許可し、特権アカウントが不正利用されたり、侵害されたりする機会を減らします。
- 認証情報のいらないアクセスは選定条件となるか? 他人がアクセス可能な認証情報を使った方法から、エンドユーザーに一切認証情報を開示しない方法、または一時的な認証手段を使用する方法に移行すると、認証情報の盗難やラテラルムーブメントのリスクを最小限に抑えられます。
- マルチクラウドで可視性を確保する課題を抱えているか? 複数のハイブリッド環境にインフラがまたがっている場合、すべての環境を一元的に可視化して、ポリシーを一律に適用できるPAMソリューションが必要です。
現在のアクセスリスクを評価する際は、一般的な課題のうちセキュリティを脅かす可能性のあるものについて検討しましょう。 旧式PAMソリューションはデプロイメントが複雑で、大幅な構成変更や継続的なメンテナンスが必要になるため、導入が遅れるか、チーム全体で低調になるという制約が生じます。 その結果、認証情報が管理されなくなる、シャドーITが台頭する、ポリシーが一貫しなくなる、DevOpsチームとITチームの監査能力が制限されるといった弊害が生じる可能性があります。 組織のPAMソリューションに必要な具体的なコア機能を優先させるためには、このような一般的なセキュリティ上の弱点を理解することが重要です。
先端PAMプラットフォームで重視すべき点
最適なPAMソリューションを選定するには、先端IT環境のニーズに合わせて必要な機能を決めることが必要になります。 市販されている先端PAMソリューションを評価する際に、特に重視すべき主な機能を以下に挙げます。
ゼロトラストおよびゼロ知識アーキテクチャ
先端PAMソリューションは、通常、ゼロトラストセキュリティ、つまり、「ユーザーもデバイスも一切、自動的に信頼されることなく、アクセス要求は毎回、常に検証される」という前提に立って構築されています。 ゼロ知識暗号化に基づき、データは完全にエンドツーエンドで暗号化されているため、サービスプロバイダでさえアクセスできません。
セッションの監視と記録
セッションの監視と記録は、特権アクティビティを監査し、リアルタイムで異常行動を検知するために極めて重要な機能です。 RDP、SSH、Kubernetes、データベースシステムなど、複数のプロトコルと環境をまたいでサポート可能な機能は、 コンプライアンスに寄与し、インシデント対応やそれに続く調査に貴重な洞察を提供してくれます。
セッション監視と脅威対応に使われるエージェント型AIが搭載されている機能は、さらに強力です。リスクの高いセッションにはカスタムルールを設定して、自動的に終了させることもできます。
パスワードとシークレットの管理
ハイブリッド環境とマルチクラウド環境にわたって一貫性を確保するには、PAMソリューションに、人やマシンが使用したパスワードとシークレットを安全に保管し、ローテーションする機能が必要です。 統合プラットフォームでパスワードとシークレットが管理されれば、シークレットの散逸リスクが低下し、人間のユーザーと非人間アイデンティティ (NHI) のどちらについても完全な制御を維持できます。
時間制限付きアクセスと認証情報の自動ローテーション
認証情報ローテーションの自動化機能を備えた時間制限付きアクセスに対応できるPAMソリューションを選び、常時アクセスを排除します。 認証情報には最小権限アクセスを厳格に適用し、使用後は侵害されないように即座にローテーションしましょう。
IDプロバイダとシングルサインオンツールとの連携
先端PAMソリューションは、社内のITエコシステム全体へのポリシーの一律適用を徹底するために、既存のIDプロバイダ (IdP) やシングルサインオン (SSO) ツールと通常連携します。 シームレスな連携により、オンボーディングやデプロビジョニングプロセスが簡素化し、諸経費の削減やアクセス制御の一元化を通じたセキュリティ強化といったメリットがもたらされます。
リモートブラウザ分離とBYODへの対応
従業員の勤務地が分散し、私有デバイスの使用が増加しているため、PAMは管理対象外のエンドポイントからのセキュアアクセスにも対応する必要があります。 そこでおすすめなのが、リモートブラウザ分離 (RBI) です。この機能は、安全な分離された環境にある特権システムへのユーザーアクセスを、社内インフラを露出させることなく許可します。 これにより、私有ITデバイスの業務利用 (BYOD) ポリシーが適用される遠隔地の請負業者や組織向けの保護層が追加されます。
ハイブリッドインフラでの展開の容易さと拡張性
旧式PAMソリューションは、複雑で、リソースを大量に消費し、導入に時間がかかることがあります。 オンプレミスのソリューションとは対照的に、先端PAMソリューションは、ハイブリッドインフラ全体にわずか数日で簡単に拡張できるクラウドネイティブでの導入が可能です。 クラウドネイティブのPAMソリューションは、ハイブリッド企業向けに設計されており、運用効率を損なわずに特権アクセスを保護するために必要な柔軟性、拡張性、セキュリティを備えています。
監査にすぐ対応可能でコンプライアンスに寄与
SOC-2、HIPAA、FedRAMPといった基準に準拠するうえで、監査ツールと自動報告書作成機能が搭載されていることはきわめて重要です。 クラウドネイティブのPAMソリューションは、きめ細かなアクセス制御と詳細な監査証跡で現代のコンプライアンス要件を満たすのに適しています。
オンプレミス、ハイブリッド、クラウドネイティブ: 最適な環境とは?
PAMソリューションの選定にあたり、特に重要なのが組織のインフラとセキュリティ目標に最適な導入モデルを決定することです。 CyberArkのような旧式オンプレミスプラットフォームは、インフラ依存が強く、通常、高コスト、継続的メンテナンス、長期の導入サイクルという3つのデメリットを伴います。 ハイブリッドソリューションの方が柔軟性は高いものの、VPNや複数環境でのファイアウォールのアップデートなど、大幅な構成作業がなお必要です。
対照的に、KeeperPAM®をはじめとするクラウドネイティブのPAMソリューションは、動的な分散環境向けに設計されているため、受信ネットワーク接続を必要とせず、わずか数日で導入でき、あらゆるIDプロバイダやシングルサインオンプロバイダとスムーズに連携できます。 下表では、オンプレミス、ハイブリッド、クラウドネイティブの各PAMソリューションの主要機能についてまとめています。
| Feature | On-prem PAM | Hybrid PAM | Cloud-native PAM |
|---|---|---|---|
| Zero-trust and zero-knowledge architecture | Rarely supported; relies on static credentials and perimeter-based security | Partial support, but with legacy-based limitations | Fully supports zero trust and zero knowledge with end-to-end encryption and credential-less sessions |
| Session monitoring and recording | Available but complex to configure at scale | Supported, often requires manual setup across environments | Built-in across RDP, SSH, Kubernetes and databases with centralized logging and visibility |
| Password and secrets management | Secrets may be stored separately across systems, increasing sprawl risk | May store credentials in the cloud, but lacks full centralization | Unified credential and secrets management across environments, apps and users |
| Time-limited access and credential rotation | Access provisioning may be manual, and credentials may rarely be rotated | Some automation, but typically requires scripting and extensive maintenance | JIT access with automatic credential rotation to eliminate standing access |
| Integration with IdPs and SSO | Generally requires custom connectors and complex configuration | Supported but may require frequent firewall updates | Native integration with major IdPs and SSO tools for centralized policy enforcement |
インフラとともに成長するPAMソリューションを選ぶ
組織には、複雑なハイブリッド型のIT環境でアクセスを保護するPAMソリューションが必要です。 インフラが進化するなか、導入するPAMソリューションも適応力が不可欠となります。つまり、複数のクラウドに拡張し、リモートアクセスを有効にし、より厳格なコンプライアンス規制に対処可能なことが条件となります。 現代の組織はこうした変化に備えるために、導入が迅速で、シームレスに統合し、ビジネスニーズに合わせて拡張するPAMソリューションを必要とします。 KeeperPAMのようなクラウドネイティブプラットフォームはこれらの条件を満たしており、ゼロトラストアーキテクチャ、さまざまなIDプロバイダとの連携や、一元化されたシークレット管理など、高度な機能を提供します。
KeeperPAMを無料でお試しください。トライアル体験を通じて、PAM戦略を最新にし、組織の最も機密性の高いシステムを守るための新たなヒントが得られるでしょう。
