エンタープライズ環境では、「特権アクセス」は、標準ユーザー以上の特別なアクセスまたは能力を指定するために使用されます。特権アクセスにより、組織はインフラストラクチャとアプリケーションのセキュリティを確保し、ビジネスを効率的に実行し、機密データと重要なインフラストラクチャの機密性を維持することができます。
特権アクセスは、人的ユーザーだけではなく、アプリケーションや マシンIDなど、人以外のユーザーに紐づけることもできます。
人に紐づけられる特権アクセスの例:
- スーパーユーザーアカウント:システムやアプリケーションの設定、ユーザーの追加や削除、データの削除に使用できる、ITシステム管理者が使用する強力なアカウント。
- ドメイン管理アカウント:ネットワークドメイン内のすべてのワークステーションおよびサーバーに特権管理アクセスを提供するアカウント。通常、これらのアカウントは少数ですが、ネットワーク全体で最も広範囲かつ堅牢なアクセスを提供します。一部の管理者アカウントおよびシステムの特権的な性質が理由で「IT王国の鍵」と呼ばれる場合もあります。
- ローカル管理アカウント:エンドポイントまたはワークステーションにあり、ユーザー名とパスワードの組み合わせが使用されます。ユーザーはローカルマシンやデバイスにアクセスして変更を行うことができます。
- セキュアソケットシェル(SSH)キー:重要なシステムへの直接ルートアクセスを提供するアクセスコントロールプロトコルとして、頻繁に使用されます。デフォルトはrootで、Linuxや他のUnixライクなオペレーティングシステム上のすべてのコマンドやファイルにアクセスできるユーザ名またはアカウントです。
- 緊急アカウント:このアカウントを使用して、緊急時にセキュリティで保護されたシステムへ管理アクセスを行うことができます。これは、「ガラスアカウントのリコールまたは破損」と呼ばれることもあります。ファイアコールアカウントまたはブレーグラスアカウントと呼ばれることもあります。
- 特権ビジネスユーザー:機密システム(財務、人事、マーケティングシステムなど)にアクセスする必要があるIT部門外のユーザー。
人以外に紐づけられる特権アクセスの例:
- アプリケーションアカウント:アプリケーションソフトウェアに固有の特権アカウント。通常、アプリケーションソフトウェアへのアクセスを管理、構成、または管理するために使用されます。
- サービスアカウント:アプリケーションまたはサービスがオペレーティングシステムとのやり取りに使用するアカウント。これらのアカウントを使用して、オペレーティングシステムまたは設定にアクセスして変更することができます。
- SSHキー:(上記と同じ)。SSHキーは、自動プロセスでも使用されます。
- シークレット:開発および運用(DevOps)チームが特権アクセスを提供する場合に使用するSSHキー、アプリケーションプログラムインターフェイス(API)キー、およびその他の認証情報の総称。
特権アカウント、認証情報およびシークレットはあらゆるところに存在します。通常、その数はユーザー数を3~4倍上回ると推定されています。現代のビジネス環境では、システム、アプリケーション、マシンツーマシンアカウント、クラウド/ハイブリッド環境、DevOps、ロボテックスプロセスオートメーション、IoT デバイスの相互接続が進んでいるため、特権関連の攻撃対象領域が急速に拡大しています。攻撃者はこれを把握しており、特権アクセスを標的にしています。現在、高度な攻撃のほぼ100%が特権認証情報を利用して、最も機密性の高いデータ、アプリケーション、インフラストラクチャを標的にしています。特権アクセスが悪用された場合、ビジネスに大混乱が引き起こされます。
特権アクセスに関連する重大なセキュリティ侵害
過去10年にわたって、特権アクセスの悪用に関連するセキュリティ侵害が多数発生しています。テリーチャイルズ、エドワードスノーデン、Yahoo!、バングラデシュ銀行に対する米国人事管理局の大規模な違反、ウクライナの電力網への攻撃、さらにはUberへの攻撃など。それぞれの共通点は、特権認証情報がサイバー攻撃の計画、調整、実行に使用されたことです。
特権アクセス管理(PAM)とは?
組織は、特権アクセス管理(PAM))を実施して、認証情報の盗難や特権の悪用によって引き起こされる脅威に対する保護を行っています。PAMとは、ユーザー、プロセス、テクノロジーで構成される包括的なサイバーセキュリティ戦略です。これには、企業のIT環境全体にわたるすべての人および人以外の特権IDとアクティビティの制御、監視、保護、監査が含まれます。
特権アクセス管理(PAM)とは?
組織は、特権アクセス管理を実施して、認証情報の盗難や特権の悪用によって引き起こされる脅威に対する保護を行っています>
PAMとは、ユーザー、プロセス、テクノロジーで構成される包括的なサイバーセキュリティ戦略です。これには、企業のIT環境全体にわたるすべての人および人以外の特権IDとアクティビティの制御、監視、保護、監査が含まれます。
PAMは、最小特権の原則に基づいています。最小特権では、ユーザーは職務遂行に必要な最低限のアクセスレベルのみ許可されます。最小特権の原則は、サイバーセキュリティのベストプラクティスと見なされており、価値の高いデータや資産への特権アクセスを保護するための基本的なステップです。最小特権の原則を適用することで、組織は攻撃対象領域を減らし、コストのかかるデータ侵害を引き起こす社内の脅威や外部からのサイバー攻撃によるリスクを軽減できます。
特権アクセス管理の主な課題
組織は特権アクセスの保護、制御、監視に関する、以下のような多くの課題に直面しています:
- アカウント認証情報の管理:多くのIT組織が特権認証情報のローテーションや更新を手作業によるエラーが発生しやすい管理プロセスで行っています。これは非効率でコストのかかるアプローチと言わざるを得ません。
- 特権アクティビティの追跡:多くの企業が特権セッションを一元的に監視および制御できていないため、サイバーセキュリティの脅威やコンプライアンス違反にさらされています。
- 脅威の監視と分析:多くの組織が包括的な脅威分析ツールを備えていたいため、不信なアクティビティを事前に特定してセキュリティインシデントを修正できていません。
- 特権ユーザーアクセスの制御:多くの組織がクラウドプラットフォーム(サービスとしてのインフラストラクチャおよびサービスとしてのプラットフォーム)、サービスとしてのソフトウェア(SaaS)アプリケーション、ソーシャルメディアなどへの特権ユーザーアクセスを効果的に制御することに苦心しています。このため、コンプライアンスリスクが生じ、運用が複雑化しています。
- Windowsドメインコントローラーの保護:サイバー攻撃者が“Kerberos(英語)認証プロトコルの脆弱性を悪用して、認証されたユーザーになりすまし、重要なITリソースや機密データにアクセスする可能性があります。
組織にとって特権アクセス管理(PAM)が重要な理由
- 人は最も脆弱なリンクです。社内の特権ユーザーがアクセスレベルを悪用したり、外部のサイバー攻撃者がユーザーを標的にして権限を盗み出す可能性があります。「特権を持つ内部関係者」の疑わしい活動は、サイバーセキュリティチェーンで最も脆弱な部分といえます。特権アクセス管理により、任務を果たすために必要なレベルのアクセスだけを許可できます。また、セキュリティチームが特権の悪用に結び付いている悪意のある活動を特定して、リスクを是正するために迅速な行動を取ることができます。
- デジタルビジネスでは、あらゆるところに特権が存在します。このため互いにアクセスして通信できるシステムが必要です。クラウド、DevOps、ロボテックプロセスオートメーション、IoTなど、採用するマシンの数が増えるているため、特権アクセスを必要とするアプリケーションが急増し、攻撃対象領域が拡大しています。人以外の実体が典型的な組織の人員数を圧倒的に上回っているため、それらを監視および管理することが困難になっています。市販の(COTS)アプリは通常、ネットワークのさまざまな部分へのアクセスが必要なため、攻撃者によって悪用される可能性があります。強力な特権アクセス管理戦略により、オンプレミス、クラウド、ハイブリッド環境など場所に関係なく、特権を考慮して発生する異常なアクティビティを検出できます。
- サイバー攻撃者の標的となるエンドポイントとワークステーション。企業のすべてのエンドポイント(ラップトップ、スマートフォン、タブレット、デスクトップ、サーバーなど)には、デフォルト特権が含まれています。ビルトイン管理者アカウント(英語)、ITチームは問題をローカルで修正できますが、大きなリスクがもたらされます。攻撃者が管理者アカウントを悪用し、ワークステーション間をジャンプして、認証情報を盗み、権限を昇格させ、標的を探し当てるまで、ネットワークを水平移動し続ける可能性があります。予防的なPAMプログラムは、リスクを軽減するために、ワークステーションのローカル管理者権限の包括的な削除を考慮する必要があります。
- PAMはコンプライアンスを達成するために欠かせません。環境内の疑わしいイベントを監視および検出する機能は非常に重要です。しかし、最も多くのリスクをもたらすもの(管理されていない、監視されていない、保護されていない特権アクセス)を明確にすることにフォーカスしない限り、ビジネスは脆弱なままです。包括的なセキュリティおよびリスク管理戦略の一部として、PAMを実装することで、組織は重要なITインフラストラクチャと機密情報に関連するすべてのアクティビティを記録してログを保管でき、監査とコンプライアンスの要件を簡素化するのに役立てることができます。
PAMプログラムをより大きなサイバーセキュリティ戦略の一部として優先順位付けしている組織は、セキュリティリスクの軽減、サイバー攻撃の全体的な領域の削減、運用コストと複雑化の低減、企業全体の可視性と状況認識の強化、コンプライアンスの向上など、組織上のさまざまなメリットを享受できます。
特権アクセス管理のベストプラクティス
次の手順は、組織のセキュリティ体制を強化するために不可欠なPAM制御を確立するためのフレームワークを提供します。これらの手順を活用するプログラムを実装することで、組織はより大きなリスクをより短時間で削減し、ブランドの評判を保護し、より少ない内部リソースでセキュリティと規制の目標を満たすことができます。
- 不可逆的なネットワーク乗っ取り攻撃を排除。ドメインコントローラおよびその他のTier0およびTier1資産へのすべての特権アクセスを分離して多要素認証を要求。
- インフラストラクチャアカウントの制御とセキュリティ保護。すべての基地のインフラストラクチャアカウントを一元管理されたDIGITAL VAULTに配置。使用するたびにパスワードを定期的かつ自動的にローテーション。
- 水平移動を制限。IT Windowsワークステーションのローカル管理者グループからすべてのエンドポイントユーザーを完全に削除して、認証情報の盗難を防止。
- サードパーティアプリケーションの認証情報を保護。サードパーティアプリケーションで使用されるすべての特権アカウントをVaultに配置して、市販アプリケーションのハードコーディング認証情報を排除。
- *NIX SSHキーを管理。LinuxおよびUnix運用サーバー上のすべてのSSHキーペアをVaultに配置して、定期的にローテーション。
- クラウドおよびオンプレミスのDevOpsシークレットを保護。すべてのパブリッククラウド特権アカウント、キー、APIキーを保護。Ansible、Jenkins、DockerなどのCI/CDツールで使用されるすべての認証情報とシークレットを安全なVaultに配置してその場で取得して自動的にローテーションして管理できるようにします。
- SaaS管理者および特権ビジネスユーザを保護。共有IDへのすべてのアクセスを分離し、多要素認証を要求。
- 定期的なレッドチームエクササイズに投資して防御をテスト。実世界の攻撃に対する有効性を検証および改善。
これらのベストプラクティスを詳細については、こちらをご覧ください。