はじめに
ゼロトラストセキュリティの実現において、IDの統制・管理は非常に重要な要素の一つです。
その中でも、組織の重要なリソースへアクセスするために利用する特権アカウントは、サイバー攻撃の標的にもなりやすい傾向があります。
そのため、適切な特権アクセス管理のソリューションを導入することで組織の情報資産に対するセキュリティを高めることができます。
今回は「特権アカウントの保護」を実現する領域であるPAM(特権アクセス管理)についてご紹介します。
特権アカウントとは
特権アカウントとは、システム上で高い権限を持つアカウントを指します。
一般ユーザーアカウントよりも高い権限を持ち、重要なリソースへのアクセスやシステムの設定変更など、様々な操作が可能です。
例えば、
・Windows OSの「Administrator」アカウント
・Linux OSの「root」アカウント
・アプリケーションの管理者アカウントやスーパーユーザーアカウント
などが特権アカウントの一つです。
PAMの重要性
特権アカウントは高い権限を持ち、様々な操作が可能です。
一般ユーザーのアカウントを侵害したとしても、基本的にはそのユーザーに関する情報にしかアクセスできません。
しかし、特権アカウントさえ侵害できてしまえば重要なリソースにアクセスして情報を盗んだり、
思うがままに設定変更できる危険性があるため、特権アカウントはサイバー攻撃の重要なターゲットとなります。
特権アカウントを用いた不正アクセスが許されると、そこからネットワーク内で横方向に移動し侵害範囲を拡大する攻撃手法である「ラテラルムーブメント」や、
組織のデータの改ざんや暗号化を行い、身代金を要求する「ランサムウェア攻撃」の餌食となります。
そのような深刻な被害を防ぐためにも、「特権アカウントの保護」を実現する「PAM(特権アクセス管理)」は非常に重要なセキュリティ対策の一つです。
PAM(特権アクセス管理)とは
PAMとは、特権アカウントを用いたアクセスを制御・監視・管理することで重要なリソースを保護する技術を指します。
PAMソリューションで特権アカウントの管理を行い、利用者はPAMソリューションにアクセスし、そこから各リソースへの特権アクセスを行うのが一般的です。
具体的な機能としては、以下のような機能が挙げられます。
特権アクセス中の監視
PAMソリューションを経由して特権アクセスを行った際、特権アクセス中のログを取得・保管します。 製品によっては、特権アクセス中の画面を録画し、保管することもできます。
特権アクセス時の多要素認証要求
特権アクセスを行う際に、多要素認証を要求します。 所持情報・生体認証などの要素を用いることで、第三者からの不正アクセスを防止します。
申請・承認による特権アクセスの許可
特権アカウントを用いてアクセスを行う際、あらかじめ定義した申請・承認のワークフローをもとに
管理職などの承認を行うことで特権アクセスを実施することができます。
また、必要な時だけ利用者に特権アカウントの権限を付与したり、対象システムに一時的な特権アカウントをプロビジョニングし、
利用終了時には権限を剥奪、一時的な特権アカウントを削除することが可能です。
その結果、ユーザーに対して永続的な特権を付与することなく「必要な時に最低限の」特権アクセスを許可することで
特権アカウントの乱用や第三者への使いまわしなどを防ぎます。
まとめ
以上がPAMに関するご紹介となります。
PAMは組織の重要なリソースを保護しセキュリティを強化する要素です。
PAMを導入して終わりではなく、最小特権の原則を実装するための要件定義・設計や
組織に存在するリソースの特権アクセスをPAMソリューションに集約するなどベストプラクティスに沿った設計・実装が必要となります。
Sky株式会社ではSIerとして豊富な実績とプロダクトをもとに、PAMを含む、ゼロトラストセキュリティを基軸としたITインフラ環境の設計・構築・運用を一貫してサポートします。
ゼロトラストセキュリティの実現をご検討される際は、是非一度ご相談・ご質問ください。
