Privileged User Management(特権ユーザー管理)とは?
- IAM 用語集
- Privileged User Management(特権ユーザー管理)とは?
特権ユーザー管理 (PUM) とは、組織内で高度なアクセス権を持つアカウントを管理、監視、制御するプロセスを指します。システム管理者やIT担当者などが使用するこれらの特権アカウントは、重要なシステムやデータへの広範なアクセス権を持っています。PUMは、各ユーザーに業務遂行に必要な適切な権限を付与するとともに、アクティビティを継続的に監視することで、セキュリティプロトコルへの準拠を維持します。
PUM、PIM、PAMの比較
特権ユーザー管理 (PUM)、特権ID管理 (PIM)、特権アクセス管理 (PAM) は、特権アカウントの管理に関する文脈でしばしば同じ意味で使われることがあります。しかし、それぞれはシステムやデータを保護する上で異なる役割を持っています。
| 特徴 | 特権ユーザー管理 (PUM) | 特権ID管理 (PIM) | 特権アクセス管理 (PAM) |
|---|---|---|---|
| 主な役割 | 特権ユーザーの権限やアクセス権を管理 | 特権IDのライフサイクル全体を管理 | システムやリソースへのアクセスを制御、監視 |
| セキュリティの重点 | アクセス権の管理と監視 | ID中心のセキュリティ | アクセス制御、監査、セッション監視 |
| 関係性 | PIMの一部として機能 | PUMを包含し、PAMと連携して動作 | ツールや制御を通じてPIMおよびPUMのポリシーを実施 |
| 推奨用途 |
|
|
|
特権ID管理 (PIM) は、ID管理とアクセス管理 (IAM) の一部で、特権IDの管理に特化した分野です。特権IDとは、組織のデータやシステムに対して高度なアクセス権を持つユーザーを指します。PIMは、役割とIDに基づき、承認されたユーザーのみが特権アクセスを受けられるように管理します。また、ユーザーアカウントのプロビジョニング、変更、デプロビジョニングを含むIDのライフサイクル全体を管理し、安全なアクセスを維持します。
同様に、特権アクセス管理 (PAM) は、特権ユーザーがシステムにアクセスする方法を制御、監視することに重点を置いています。PAMは、PUMおよびPIMのポリシーを実施するための強制手段として機能します。PAMソリューションには、通常以下のような機能が含まれます。
- パスワードの保管
- パスワードローテーション
- セッションの記録と監視
- ジャストインタイム (JIT) アクセス
- ワークフローの自動化
PUMやPIMが誰がリソースにアクセスできるかに重点を置くのに対し、PAMは、ユーザーがアクセスした後に、そのアクセスがどのように管理、監視、制御されるかに重点を置きます。
特権ユーザー管理の仕組み
特権ユーザー管理は、高度なアクセス権を持つユーザーが組織内でのライフサイクル全体にわたって適切に管理されるよう、体系的なプロセスに従って行われます。
- オンボーディング: ユーザーの役割を決め、それに応じた適切な権限を割り当ててからアクセスを許可するプロセスです。これにより、ユーザーは業務に必要な最小限のアクセス権だけを持つように管理されます。
- モニタリング: アクセスが許可された後、ユーザーのアクティビティは継続的に監視されます。これにより、不正な操作の検知、ポリシーの遵守強化、監査証跡の維持が可能になります。
- デプロビジョニング: ユーザーが組織を離れる場合や、特権アクセスが不要になった場合に、権限を取り消し、アカウントを無効化します。これにより、不正アクセスの防止が可能になります。
PUMアカウントの安全性について
特権ユーザー管理アカウントは、適切に実装されていると安全に運用できます。しかし、これらのアカウントは通常のアカウントより高い権限を持ち、複数の管理者やIT担当者で共有されることも多いため、本質的にリスクが高いものです。
これらのリスクを軽減するために、組織は以下のような強力なセキュリティ対策を実施する必要があります。
- 多要素認証 (MFA) によってユーザーの身元を検証する
- パスワードローテーションによって侵害のリスク期間を短縮する
- アクティビティのログ記録と監視によって不正な操作を検知して対応する
- 最小権限アクセスによってユーザーに必要最小限の権限のみを付与する
最小権限の原則 (PoLP) を実装することは特に重要です。各ユーザーの役割に必要な範囲にのみアクセスを制限することで、アカウントの侵害や誤用による潜在的な被害を最小限に抑えることができます。
