サイバーセキュリティ 
経済産業省は、サプライチェーン全体の安全性を確保する
現代のITチームとセキュリティチームにとって、従業員のライフサイクル全体にわたるユーザーアクセスを管理することはますます複雑になっています。 新入社員のプロビジョニングやロール変更時における既存の権限の変更から、退職者のデプロビジョニングまで、組織は業務を中断することなく、きめ細かなアクセス制御を維持する必要があります。 ハイブリッドワークやリモートワークの増加に対応するには、IDベースのセキュリティリスクを軽減するための最新のアイデンティティライフサイクル管理 (ILM) が、組織にとって不可欠です。Keeper®は、既存のIDプロバイダ (IdP) とシームレスに統合しながら、認証情報を一元化し、最小権限アクセスを強制し、プロビジョニングとデプロビジョニングを自動化することによって、ILMを簡素化します。
不適切なILMを実践するリスクと、Keeperが組織の自動化、特権アクセス制御、ゼロトラストセキュリティを改善する方法についてご紹介します。
アイデンティティライフサイクル管理 (ILM) とは
アイデンティティライフサイクル管理 (ILM) は、組織のシステムとアプリケーション全体でユーザーIDとそのアクセス権限を作成、更新、削除するプロセスです。 オンボーディングからオフボーディングまで、ILMはすべての従業員、請負業者、またはベンダーが、適切なシステムに適切なタイミングで、かつ必要な期間だけアクセスできるようにします。 ID管理とアクセス管理 (IAM) の重要な一部として、ILMは、不要あるいは古いアクセスを防止することで、組織のセキュリティ強化、コンプライアンスの向上、攻撃対象領域の縮小を支援します。
ILMのフェーズ
ILMの主なフェーズでは、従業員のライフサイクル全体を通じ、アクセス権限の付与、調整、取り消しをどのように行うかの概要を示します。
- オンボーディング: ILMは、新しいユーザーが組織に参加すると即座に開始されます。オンボーディング時に、ITチームはユーザーアカウントをプロビジョニングし、認証情報を割り当て、ロールと部門に基づいてさまざまなアプリケーションやシステムへのアクセスを許可します。オンボーディングプロセスを合理化することで、生産性を即座に向上させ、アクセスの設定ミスやアカウントに過剰な権限が付与されるリスクを軽減できす。
- ロールの変更: ユーザーのロールや責任が変更すると、それに応じてアクセス権限も変更する必要があります。これには、ITチームが不要なアクセス権限を取り消し、新たな権限を付与するとともに、最小権限アクセスが確実に維持されるよう確認することが求められます。
- オフボーディング: ユーザーが組織を離れる際は、セキュリティリスクを軽減するために、すべてのアクセス権限を迅速かつ完全に取り消す必要があります。オフボーディング時のアカウント削除や権限解除が遅れたり不十分だったりすると、、内部脅威、コンプライアンス違反、アカウント乗っ取りといったリスクにつながるおそれがあります。
不適切なILM実践のリスク
強固なILMの実践がなければ、組織は次のような深刻なセキュリティ、運用、コンプライアンスのリスクに直面します。
- 特権アクセスの残存: 不適切なオフボーディングにより、元従業員や請負業者が組織の重要なシステムへの特権アクセスを保持したままになる可能性があります。これらの特権アカウントが、ユーザーの退職後も有効なままであれば、システムが悪用されたりサイバー攻撃の対象になったりする可能性があります。
- 古い、または安全でない認証情報: 不適切なILMが実践されると、認証情報が安全でなくなったり、期限切れになったり、使用されないままになったりする可能性があります。複数のセキュリティ企業による調査では、大多数の組織が、機密データへのアクセス権を持つ古いアカウントを大量に保持していることが明らかになっています。
- 内部脅威: 古い権限や過剰な権限は、偶発的な誤使用や認証情報の悪用リスクを高めます。アクセス制御の継続的な見直しを怠ると、ユーザーが必要以上に多くのアクセス権限を蓄積し、特権クリープのリスクの増大につながる可能性があります。
- コンプライアンスの隙: SOC 2、HIPAA、ISO 27001などのフレームワークでは、ユーザーのプロビジョニングとデプロビジョニングに対する厳密な制御が必要とされます。ILMが不適切であると、コンプライアンス基準に従っていないとして、罰金や監査の不合格につながる可能性があります。
Keeperでアイデンティティライフサイクル管理を簡素化
Keeperのゼロトラスト・ゼロ知識プラットフォームは、自動プロビジョニング、特権アクセス制御、ロールベースのアクセスによってILMを合理化します。
SCIMプロビジョニングと自動化
Keeperは、System for Cross-domain Identity Management (SCIM) プロビジョニングをサポートしており、Azure AD、Okta、JumpCloudなどのIDプロバイダ (IdP) からユーザー、ロール、チームを自動的に同期します。 適切なアクセス権限とチーム配属で新入社員が即座にプロビジョニングされる一方、退職社員がIDプロバイダで無効化されると、オフボーディングが自動的に処理され、アカウントが放置され、特権アクセスが維持されないようにします。
Keeperのリアルタイムのプロビジョニングとデプロビジョニングにより、手動による人的エラーが排除され、一貫したアクセス管理が保証されるため、速度とコンプライアンスが向上します。 Keeperは詳細な監査証跡により、組織が最小権限アクセスを維持し、全体的なセキュリティ体制を強化しながら、SOC 2やISO 27001などの規制フレームワークを遵守できるよう支援します。
KeeperPAMによる特権アクセス制御
KeeperPAM®は最新の特権アクセス管理 (PAM) ソリューションで、認証情報、シークレット、インフラストラクチャ、エンドポイントに対してきめ細かなアクセス制御を実現します。 KeeperPAMは、特権アカウントに恒常的なアクセスを許可するのではなく、ジャストインタイム (JIT) アクセスを許可することで、ユーザーが、必要な場合にのみ昇格された権限を受け取るようにします。 特権セッションが終了すると、アクセスが取り消され、ゼロスタンディング特権 (ZSP) を維持します。 KeeperPAMは、セキュリティリスクの低減と監査証跡の維持を目的として、特権セッションのすべてを記録します。これには、キー入力やコマンド操作も含まれており、再生による確認やリアルタイム監視が可能です。 特権アクティビティを完全に可視化することで、セキュリティチームは不正使用を監視し、セキュリティインシデントに迅速に対応し、コンプライアンス基準をサポートできるようになります。 KeeperAITMは、KeeperPAMに搭載されているエージェント型AIエンジンで、脅威検知と対応に加え、暗号化されたアクティビティ要約が利用できます。
さらにKeeperPAMは、IdPやアイデンティティガバナンスと管理 (IGA) プラットフォームと統合することで、特権アクセスをILMワークフローに沿って適切に管理します。 これにより、プロビジョニングとデプロビジョニングがさらに自動化され、組織がすでに導入している既存のILMプロセスに特権アクセスが確実に組み込まれるようになります。
ゼロトラストとロールベースのアクセス
Keeperは、ポリシーに基づくアクセス制御と安全なボルトのセグメント化により、ゼロトラストセキュリティを実現します。 アクセス権は必然的に与えられるものではなく、付与される前に必ず認証を必要とするため、ユーザーが閲覧・操作可能なリソースはそのロールに必要な承認済みのものに限定されます。 ロールベースのアクセス制御 (RBAC) を使用すると、ユーザーの責任に基づいてロールを割り当て、すべての認証情報とボルトに対して最小権限アクセスを強制できます。 ボルトをセグメント化することで、アクセスを必要としない人から機密データが保護され、侵害が発生した場合にも、組織内での不正なラテラルムーブメントを防ぐことができます。
Keeperでアイデンティティライフサイクルを効率化
アイデンティティライフサイクル管理は、現代のセキュリティ戦略の重要な一部となっており、組織に求められているのは、強固な保護を維持したまま複雑さを最小限に抑えるソリューションに投資することです。 Keeperは、ゼロ知識セキュリティアーキテクチャ、IdPとのシームレスな統合、オンプレミス環境とクラウド環境の両方をサポートする柔軟性を備えた理想的なソリューションです。 自動プロビジョニング、きめ細かなアクセス制御、ゼロトラストセキュリティモデルを備えたKeeperは、組織が高い一貫性を保ち、リスクを軽減しながらIDを管理できるよう支援します。
KeeperPAMの無料トライアルをご利用ください。ILMを強化し、組織全体の特権アクセスを保護する機能をぜひトライアルでご確認ください。
