特権アクセス管理とは？

• IAM 用語集
• 特権アクセス管理とは？

特権アクセス管理（PAM）とは、IT 管理アカウント、給与計算システム、コードリポジトリなど、機密性の高いシステムやデータへのアクセス許可を持つアカウントを管理、保護することです。特権アクセスを必要とするユーザーには、システム管理者やアカウント管理者、上層部、セキュリティ担当者、人事担当者、財務担当者などが含まれます。

特権ユーザーのすべてが人間というわけではありません。特に DevOps 環境では、システムやアプリケーションにおいて特権クレデンシャルが広く使用されています。これらのクレデンシャルは、シークレットとも呼ばれます。

組織が拡大するにつれ、特権ユーザーの管理がより複雑で時間がかかるようになり、設定ミスが深刻な事態を引き起こすこともあります。特権ユーザーは、組織で最も機密性の高いシステムやデータにアクセスできるため、サイバー脅威者は特権クレデンシャルを追い求めています。ベライゾンは、セキュリティ侵害の 49%に特権クレデンシャルの漏洩が関与していると推定しています。

特権アクセス管理でサイバーリスクを低減する方法

特権アクセス管理システムは、IT 管理者やセキュリティ担当者が効果的かつ正確に特権クレデンシャルを整理、管理、保護できることで、漏洩につながる設定エラーを回避できるようにします。

IAM と PAM の違いとは？

アイデンティティアクセス管理（IAM）と PAM は、関連していますが異なる概念です。どちらも、組織の IT 環境におけるユーザーアクセスを管理することを意味しますが、IAM は包括的な用語であり、PAM はより具体的な用語です。

IAM は、組織内のすべてのユーザーアカウントの管理に広く対応しています。IAM ソリューションでは、すべてのユーザーが、システム管理者によりそのライフサイクルを通じてモニタリング、管理される、信頼性のある固有のデジタル ID を持ち、システム管理者がポリシー強制、パスワード管理、多要素認証、アクティビティモニタリング、ロールベースのアクセス制御（RBAC）などを制御できるようにします。

PAM とは IAM のサブセットであり、組織の重要なインフラ（最も機密性の高いデータや IT リソース）へのアクセスを制御することに重点を置いています。特権アカウントの漏洩や誤用は、組織にとって致命的な結果をもたらす可能性があるため、特権ユーザーのアクティビティは、通常のシステムユーザーによる活動よりも厳しくモニタリングされます。PAM は通常、きめ細かい認証、自動化、承認、セッション記録、監査、ジャストインタイムアクセスなどの制御能力を含みます。

特権アクセス管理ソリューションのメリット

専用の PAM ソリューションには、以下のような多くの利点があります：

• ネットワーク、アプリケーション、サーバー、デバイスすべてのアクセスを可視化。 PAM ソリューションにより、管理者はクラウドとオンプレミスの両方のシステムとインフラを含むデータ環境全体を完全に可視化することができます。また、PAM は、最適な形で機能する上で特権アクセスを必要とするすべてのシステムとデバイスの追跡と制御を円滑にします。

• 特権クレデンシャルの誤用や漏洩を防止。 PAM ソリューションは、特権アカウントを保護し、外部脅威者による侵害や内部脅威者による悪用を困難なものとします。

• コンプライアンスを簡素化。 ほとんどの規制や業界のコンプライアンスフレームワークは、特権ユーザーアカウントの特別な管理と監査を要求しています。PAM ソリューションには、ユーザーセッションを記録し、組織に監査証跡を提供する監査ツールがあります。PAM ソリューションは、PCI DSS、HIPAA、FDDC、SOX Government Connect、FISMA などのフレームワークへの準拠をサポートします。これらのフレームワークは、ユーザー許可を割り当てる際に最小特権の原則を用いることを組織に要求します。

• 生産性を向上。 システム管理者は、包括的な PAM ソリューションにより中央ダッシュボードから、個々のシステムやアプリケーションへのアクセスを手動で設定する必要なく特権ユーザーアカウントを管理できるため、IT スタッフとエンドユーザーの両方にとって時間の節約と生産性の向上につながります。

• 設定ミスの減少。 約 49％の組織で、業務遂行おいて必要以上のアクセス権限を持つユーザーを抱えており、深刻なセキュリティリスクとなっています。PAM はアクセス管理プロセスを合理化し、設定ミスを最小限に抑え、最小特権の原則へと確実に従うようにします。

特権アクセス管理のベストプラクティス

IAM と同様に、特権アクセスセキュリティは一時的な仕事ではなく、むしろ継続的なプロセスと言えます。ここでは、組織の最も重要な資産へのアクセスを保護するためのベストプラクティスをいくつかご紹介します。

• Privileged Task Automation（PTA、特権タスク自動化）ワークフローの使用。 PTA は、特権クレデンシャルや昇格したアクセス権を使用するプロセスを自動化し、シームレスなオンボーディングと管理を可能にします。

• 動的なコンテキストベースのアクセス制御を強制。 ジャストインタイムアクセスとも呼ばれるこの原則は、必要なときに必要なだけの特権システムへのアクセス権をユーザーに提供することを含むゼロトラストの原則です。これにより、クレデンシャルの漏洩を防ぎ、資産に対する既知の脅威が存在する場合には、セキュリティチームが自動的に特権を制限することができます。

• 特権的なアクティビティを監査。 堅牢な PAM ソリューションには、キーストロークやスクリーンショットをキャプチャするなどの監査機能があります。これらの機能を利用してセキュリティリスクを検出、調査することは、脅威を管理する上で不可欠なものです。管理者アカウントは、特権的なセッション管理を強制し、疑わしい活動を特定することができます。

• 特権アカウントの使用を特権アクティビティのみに制限。 特権ユーザーは、特権アクセスアカウントに加えて、標準的なユーザーアカウントも持つべきであり、特権アカウントにログインするのは特権アクティビティを行うときだけとすべきです。

• パスワードセキュリティのベストプラクティスを採用。 一般的なユーザーアカウントに適用されるパスワードセキュリティのベストプラクティスは、特権アクセスに対処する際にさらに重要なものとなります。例えば、すべての特権アカウントでは、強力な独自のパスワードを使用し、多要素認証で保護する必要があります。

• システムおよびネットワークの区別。 ネットワークのセグメンテーションは、万が一侵入された場合、脅威者がシステム内で横方向に移動することを防ぎます。また、エンドユーザーが業務に必要のないシステムやデータへと不用意にアクセスすることも防げます。

多くの組織では、目に見える最大のリスクにまず取り組み、管理者権限の削除やユーザーモニタリングの展開などのセキュリティ対策に時間をかけて磨きをかけることで、最小特権アクセスに対応しています。しかし、最も深刻なセキュリティリスクは、目に見えるものとは限りません。このため、理想的なアプローチは、既存の特権リスクを徹底的に監査し、脅威レベルに応じて問題をランク付けすることです。