PAM (特権アクセス管理) 
サイバーセキュリティはもはやIT部門が解決すべきタス
組織は高度なサイバー攻撃の脅威から身を守るために、IDおよびアクセス管理 (IAM) に関して最新の多層的な戦略を立てる必要があります。こうした戦略に不可欠な要素となるのが、IDガバナンスおよび管理 (IGA) と特権アクセス管理 (PAM) です。 IGAプロセスでは、IDの運用期間を通じてアクセス権の適切な承認、適用、確認を徹底する仕組みが構築されます。一方、PAMは運用時に特権アカウントをきめ細かく制御し、監視する役割を果たします。 それぞれが、特権アクセス管理、ジャストインタイム (JIT) アクセスの承認、既存のIDプロバイダ (IdP) との連携において重要な役割を果たし、 併用すると、重要度の高いリソースの保護、権限付与の効率化、IDを標的とする攻撃ベクトルの縮小といった相乗効果が得られます。
以下では、IGAとPAMがどのように連携し、それによりどのようなメリットをもたらすかについてご紹介します。
IGAとは
IDガバナンスおよび管理 (IGA) は、システム、アプリケーション、データへのアクセス権が適切なデジタルIDに付与、運用されるようにするための仕組みです。 IDライフサイクル管理 (ILM) と組み合わせると、人間の使用するIDと非人間アイデンティティ (NHI) の使用するIDの両方で、完全な可視化、ポリシーの一貫適用、監査に対応可能なコンプライアンスを実現できます。 IGAは、IDを使ったプロセス (権限の付与と取り消し、アクセス要求など) を大規模に自動化するうえで重要な役割を果たします。
たとえば新規従業員のオンボーディングでは、役割に応じてアクセス権を割り当てたり、承認ポリシーを使って付与するアクセス権を必要最小限に絞ったり、定期的にアクセス状態を確認したりするのに役立ちます。 このようにポリシーを利用する方式は、業務効率の向上に加え、HIPAA*1やGDPR*2などの規制遵守に役立ちます (*1米国医療保険の携行性と責任に関する法律、*2欧州一般データ保護規則)。 IGAでIDを一元管理することで、組織はアカウントへの過度の権限割り当てや不正アクセスに絡むリスクを軽減できます。ハイブリッドクラウドやマルチクラウドといった複雑な環境では軽減効果はとりわけ大きくなります。
PAMとは?
特権アクセス管理 (PAM) は、機密データや重要なシステムへの特権アクセスを保護、管理、監視します。 IT管理者、開発者、サービスアカウントなどの特権ユーザーは、多くの場合、権限範囲が広いため、そのID情報が漏洩した場合、大規模なデータ侵害に発展する可能性が高くなります。 PAMを利用すると、ユーザーに特権アクセスが付与されるのは、特定のタスクの実行に必要な範囲で、かつ必要な期間に限定されます。 固定的な特権を排除し、機密データへのアクセスを保護することで、攻撃対象領域が絞り込まれ、高リスクのセッションをリアルタイムに監視しやすくなります。
KeeperPAM®は、認証情報ボルト、セッション監視、JITアクセス、パスワードローテーション、詳細な監査といった高度なセキュリティを支える機能を搭載する最新のPAMソリューションです。 ゼロトラストモデルを採用し、マルチクラウド環境に対応するクラウドネイティブ型のプラットフォームには、パスワード管理、シークレット管理、リモートアクセス保護、エンドポイント特権管理、特権セッション制御といった数々の機能が揃っています。
PAMとIGAが連携する仕組み
IGAとPAMがIAM内で担う目的は異なりますが、いずれも連携させたときに、それぞれの効果を最大限に発揮します。 連携させることで、IGAでのユーザーへのアクセス権承認からPAMによるそのアクセス権の運用 (付与・使用) 管理までが一貫するようになり、特権アカウントに総合的な保護対策を適用できます。 IGAとPAMが相互を補完し合う仕組みを以下に詳しく説明します。
- 特権アクセス: IGAは役割とポリシーに基づいて、要件を満たすユーザーにアクセス権を割り当てます。PAMはJITアクセス権とセッション制御を運用時に適用します。
- アクセス権の割り当てと適用の自動化: IGAソリューションはユーザーへの特権的な役割の付与と取り消しを自動的に行います。PAMソリューションは特権セッションの管理、特権アカウントの認証情報のローテーション、アクセス制御のきめ細やかな適用を通じて、特権アカウントを保護します。
- 完全な可視化: IGAはアクセス権限者と付与された理由に関する詳細な監査証跡を作成します。PAMは特権アカウントの活動をリアルタイムに記録します。両者が提供するログとセッション記録により、コンプライアンスとインシデント対応が強化されます。
- IDライフサイクル管理: IGAはユーザーの入社、異動、退職時におけるアクセス権の適切な処理を徹底させます。PAMは現在のIDステータスに即した形での有効な特権アカウントの運用を徹底させることで、使用されていない、または現状にそぐわない特権の排除を促します。
- IDの統合エコシステム: IGAはIDの運用期間にわたり状況に応じてIDを管理します。KeeperPAMは、IDプロバイダやIDガバナンスプラットフォームと統合し、マルチクラウド環境全体でアクセス権の適切な運用を可能にします。
PAMとIGAを連携させるメリット
PAMとIGAを連携させると、IDとアクセスに付随するリスクを大規模に管理するための統一的な枠組みが完成し、 IDライフサイクル全体にわたって、アクセス制御を強化できます。
アイデンティティセキュリティ戦略を統一
IGAとPAMを連携させると、IDライフサイクルの管理体制の構築と特権アクセスの最適な運用が1つのプラットフォームで可能になります。 最小限必要なツールだけで、セキュリティ上の弱点を減らし、ユーザーと環境全体に一貫してアクセスポリシーを適用できます。
コンプライアンス態勢を強化
各国の規制基準の中には、特権アクセスの完全な可視化と厳重な管理を義務付けているものがあります。 PAMとIGAを連携させると、ポリシーの適用が効率化するうえ、アクセス承認と特権セッションでの活動が詳細に記録されるため、監査プロセスの簡素化にもつながります。
特権の誤用リスクや認証情報の悪用リスクを軽減
IGAはユーザーに付与されるアクセス権の範囲を必要な範囲に限定します。PAMは付与されたアクセス権が使用される方法と使用される時期を規律します。 これら2つが組み合わさると、最小権限アクセスの徹底を通じて攻撃対象領域が狭まります。また、固定的な特権の排除と認証情報の悪用防止にもつながります。
エンドツーエンドの可視性と監査対応力
IGAはアクセス権限者と付与された理由を追跡し、PAMは特権セッションでのアクセス権の使用方法に関する詳細な監査ログを提供します。 両者を連携させることで、「IDライフサイクル全体の完全な可視化」という、正確なインシデント対応と継続的なリスク評価にとって不可欠な要素を手に入れることができます。
最小権限原則とゼロトラストモデルの実践
IGAのアクセス権の割り当て機能とPAMのJITアクセスの適用機能を組み合わせることで、組織は最小権限アクセス原則とゼロトラストセキュリティモデルを大規模に実用化できます。 最新のセキュリティフレームワークとベストプラクティスに従って、アクセス要求は必ずコンテキストデータを根拠とし、時間制限が設けられます。
IDガバナンスと特権アクセス用ソリューションを統一
IDを標的とする高度なサイバー攻撃が増加する中、IDガバナンスとアクセス制御の両機能に対応するセキュリティスタックは組織の必須ツールとなっています。 IGAとPAMソリューションの導入は、コンプライアンス能力と運用効率を高めるだけでなく、ゼロトラストモデルの採用に向けた重要なステップでもあります。 特権アクセス戦略の刷新を検討中の組織にお勧めなのが、KeeperPAMです。IDプロバイダやガバナンスプラットフォームとシームレスに統合するこのソリューションは、迅速・簡単に導入できるうえ、エンタープライズクラスのセキュリティを実現します。
今すぐKeeperPAMの無料トライアルを開始して、IDと特権アクセスの大規模な保護にいかに役立つかをご体験ください。
