お役立ち資料
Introduction
PAM(特権アクセス管理)とは、組織や企業のなかで、あらゆるシステムやリソースへのアクセス権限をもつアカウントを管理する戦略、技術のことです。適切なPAMソリューションを導入することで、企業や組織の資産を守ることが可能です。
この記事では、PAMの基本事項や特権アカウントを導入するメリット、ベストプラクティスなどについて解説します。
目次
PAM(特権アクセス管理)とは?
PAM(特権アクセス管理)とは、セキュリティ対策を行ううえで欠かせない仕組みです。
ここでは、PAMの定義や重要視されている背景などについて解説します。
重要なリソースへの特権アクセスを管理 する戦略、技術のこと
PAM(特権アクセス管理)とは、重要なリソースへの特権アクセスを管理する戦略や技術のことです。組織や企業をサイバー攻撃の脅威から守るため、重要なリソースへの特権アクセスを監視し、不正なアクセスを検出、防止します。
PAMによって、特権アクセスをもっているのは誰なのか、何をしているのかを監視して可視化することで、システムのセキュリティ向上につながります。
では、PAMソリューションで具体的に何をするのでしょうか?PAMソリューションには、組織ごとのセキュリティポリシーをサポートする機能、たとえば自動パスワード管理機能や多要素認証機能などが必要です。これらの機能を用いて、管理者がアカウントを作成、変更、削除するプロセスを自動化します。また、システムへのアクセスを継続的に監視できる仕組みも必要です。これらの仕組みを活用して、異常の検知や調査を行います。
銀行の例をもとに、特権アクセスとは何かをご説明します。銀行には、顧客、出納係、支店長がいて、それぞれもっている権利が異なります。顧客は、自分の口座にしかアクセスできませんが、出納係は全口座にアクセス可能です。さらに支店長は、銀行の奥深くで厳重に管理されている、金庫室の現金にもアクセスできるのです。このように、もっている権限に応じて、アクセスできるエリアが変わっています。
ITシステムでも同様に、アクセス権限がわけられています。上記の例でいうと、特権アクセスをもつのは支店長や出納係です。銀行の例のように、ITシステムへのアクセス権限を適切に割り振ることで、データ資産を守る必要があります。
PIM(特権ID管理)との違い
PIM(特権ID管理)とは「Priviledged Identity Management」の略です。
PAMは、データへのアクセスを保護、制限、追跡するためのものです。アクセス権限を管理し、セッション管理やアクセスログの管理などにより、不正アクセスを防止します。
一方、PIMソリューションでは、特権アカウントの管理と保護を行います。具体的には、特権アカウントへの認証制御やパスワード変更管理、特権アカウントへのアクセス記録などです。
PAMとPIMは、その目的や対象が異なります。PAMはデータやリソースのアクセス権限管理を行いますが、PIMは特権アカウントの管理と保護が目的です。それぞれ保護する対象が異なることがわかります。
特権アクセス管理が重要視されている背景
近年、企業や組織において、特権アクセス管理の重要性が高まっています。その背景には、次のようなことがあります。
・特権アカウントの保護によりサイバー攻撃を防ぐのに役立つ
・組織のコンプライアンスを達成できる
・生産性を向上する
・組織全体のプロセスとツールの統合を助ける
PAMにより特権アカウントを保護することで、サイバー攻撃を防ぐことが可能です。サイバー犯罪者は、社内システムなどに入り込み、特権アカウントを奪うことで機密情報や個人情報を盗みとろうとします。
特権アカウントを守れれば、サイバー犯罪者が目的を達成することはむずかしくなります。また、コンプライアンスの達成や生産性の向上、プロセスやツールの統合など、組織や企業にとってメリットが多いため、PAMの重要性はますます高まっているのです。
特権アカウントとは?
特権アカウントは、大きく2種類にわけられます。ここでは、具体的に特権アカウントにはどのようなものがあるのかを見ていきます。
ユーザーアカウント
ユーザーアカウントとは、組織内で各担当者に割り当てられるアカウントです。
たとえば、営業部署の管理者など、特定の部門の管理権限をもつアカウントなどで、部署内のアカウント管理などを行います。そのため、部門内など限られた範囲のなかで、権限をもっているのです。組織内のすべてのアクセス権限をもつ、ユーザーアカウントもあります。
マシンアカウント
マシンアカウントとは、その名前のとおり、マシンに割り当てられたアカウントです。自動化されたプロセスや、統合システムなどに割り当てられています。人間のユーザーではなく、アプリケーションやサービス、ネットワークデバイスなどに、マシンアカウントが割り当てられます。
特権アカウントの種類
特権アカウントには、さまざまな種類のものが存在します。
ドメイン管理者アカウント
複数のシステムやリソースなどを管理できるアカウントです。
ローカル管理者アカウント
ある特定のエリア、デバイス、エンドポイントなどに限定した権限をもつアカウントです。
アプリケーション管理者アカウント
自動化されたプロセスを実行するマシンや、アプリケーションなどに関連づけられたアカウントです。特定のタスクを実行するために使用します。
サービス アカウント
アプリケーションやサービスが、さまざまなシステムとやりとりを行うために用いられるアカウントです。
ビジネス特権ユーザーアカウント
職務上の責任範囲に応じた、高レベルの特権が付与されたアカウントです。
緊急アカウント
災害などの緊急事態が起きた際にシステムを守るため、特権ユーザー以外のアカウントに、管理者アクセス権限を付与する場合があります。このようなアカウントは、緊急アカウントと呼ばれます。
PAM(特権アクセス管理)を導入するメリット
PAMを導入することで、企業や組織のセキュリティレベルを向上させるだけでなく、生産性の向上など多くのメリットがあります。ここでは、PAMを導入することで得られるメリットについて、解説します。
サイバー攻撃のリスクを軽減できる
組織内の特権アカウントは、非常に重要な存在です。特権アカウントがサイバー犯罪者に乗っとられてしまったら、機密情報や個人情報が侵害されるなど、大きな損害を受けてしまうでしょう。不正アクセスや情報漏えいなどのリスクを防げなくなってしまいます。
サイバー犯罪者はシステム内に侵入するため、特権アカウントではない一般のアカウントやサブシステムなどを狙って、不正アクセスを試みます。権限の弱いアカウントやサブシステムの方が、セキュリティレベルが低いことが多いためです。セキュリティの弱いところから侵入して、システム内で水平移動し、特権アカウントにたどりつこうとします。
そこで、特権アカウントを強固に守っておけば、このような水平移動によるアカウントの侵害を防ぐことが可能です。
コンプライアンスが向上する
PAMソリューションによって、最小アクセス制御のポリシーを施行でき、組織がコンプライアンスを達成することを助けます。
生産性が向上する
PAMによって、パスワード設定や保管などのタスクを自動化できます。これにより、アカウント管理者の生産性を向上させることが可能です。
サイロ化を防止できる
PAMにより、サイロ化の防止も可能です。組織全体でプロセスやツールをまとめることで、部署ごとに対応がわかれるなどのサイロ化を減らし、全体的なセキュリティレベルの向上につながります。
PAM(特権アクセス管理)のベストプラクティス
PAMは、組織のリソースやデータを守るために必要不可欠な仕組みです。しかし、PAMソリューションを上手に活用して特権アカウントを守るためには、ベストプラクティスを選択する必要があります。
ここでは、PAM活用時に必要なベストプラクティスとは何かをご説明します。
最小特権の原則(PoLP)を実装する
各ユーザーに権限を付与する際は、それぞれのタスクを遂行するために、必要最低限の権限を付与します。
よくあるのが、アカウント権限を付与する際に、面倒だからと多めに権限を与えるケースです。「このデータへのアクセス権限がほしい」「このデータに触ることはなくなったから権限が不要になった」などに、その都度対処するのは面倒です。しかし、面倒だからといって、広範囲のデータにアクセスできる権限を一度に付与するのは、危険といえます。
面倒でも、ユーザーごとに必要最低限のアクセス権限を付与することにより、サイバー攻撃者からの攻撃対象を減らす必要があります。
リスクに基づいて評価する
特権アカウントのリスクをつねに評価し、対策を継続していく必要があります。実際の人間のユーザーがいないアカウントなどが存在すると、サイバー攻撃者の格好の餌食になってしまいます。誰も管理していないアカウントが、知らない間に乗っとられて悪用されることもあるので、つねに利用状況を確認してリスク管理を行いましょう。
特権アカウントパスワードポリシーを作成する
特権アカウントのパスワードポリシーを作成し、デフォルトのパスワードは使わない、強度の高いパスワードの設定をするなどの具体的な内容にしましょう。ポリシーを設定することで、セキュリティレベルの高い状態を維持できるようになります。
また、パスワードポリシーは設定するだけでなく、日々見直しを行い、定期的に周知しましょう。決めただけでは守られないこともあるため、誰でも見られる場所に保管するなど、周知徹底が必要です。
すべての特権アカウントを管理・追跡する
特権アカウントを作成したら放置せず、つねに管理下に置き、行動を追跡できるようにしておきます。特権アカウントのライフサイクルプロセスを確立しておくことで、放置されることを防ぐことが可能です。
特権アカウントがどのくらいあるのか、定期的に利用されているか、利用状況に不審な点はないかなどを管理します。また、作成した特権アカウントを適切に管理し、不要になったら削除します。たとえば、その特権アカウントを使っていた担当者が退職した場合などは、パスワードを変更するか、削除して新しいアカウントを作成するなどです。
ロールベースのアクセス制御(RBAC)を使用する
特権アカウントは、それぞれのロール(役割)に適した権限を設定すべきです。すべてのユーザーに特権アカウントを付与するなどでは、意味がありません。システムに対して全員が何でもできてしまい、内部犯行による情報の流出などを防げないでしょう。
ロールベースのアクセス制御を正しく行い、権限をもつ管理者にのみ特権アカウントを付与し、それ以外には必要最低限のアカウントを付与すべきです。
一時的な特権昇格(ジャストインタイムアクセス)を実装する
恒常的にアクセス権限をユーザーに付与するのではなく、一時的な特権昇格(ジャストインタイムアクセス)を導入するのもよい方法です。
業務に必要なため、データベースサーバーにアクセスしたい場合に、一時的にアクセス権限を付与して、業務が終了したら権限を消去します。このような方法を使えば、必要以上にアクセス権限を広げる必要がなくなります。
自動化する
人間が手動でアクセス権限の設定を行うと、どうしてもミスが発生してしまいます。そのため、管理作業を自動化することで、ミスを減らすことが可能です。
定期的な監査を行う
特権アクセスを一度付与したら放置するのではなく、定期的な監査が必要です。特権アクセスをもつアカウントの設定は適切か、挙動に不審な点はないかなどを確認します。
また、特権アクセスの管理方法も確認する必要があるでしょう。現状の管理手法で問題がないかを確認し、セキュリティの不備が存在しそうな箇所があったら、改善していきます。
まとめ
この記事では、PAMの基本事項や特権アカウントを導入するメリット、ベストプラクティスなどについて解説しました。特権アカウントは、企業や組織運営のために必要なものですが、管理方法次第ではサイバー攻撃を生む存在にもなります。そのためPAMにより、適切な特権アカウント管理を行うことが重要です。
SHIFTでは、セキュリティソリューションの導入支援を行っています。アカウント権限の管理などにお困りの際は、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINTとは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
IDS/IPSとは?機能や役割の違い、対策できる攻撃について解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
-
- セキュリティ
SSLサーバ証明書とは?役割や仕組み、導入するメリットについて解説
2024.06.27
詳しく見る
