公開日:2024年7月19日
投稿者:Matthew Kosinski
特権アクセス管理(PAM)は、特権アカウント(管理者アカウントなど)と特権アクティビティー(機密データの処理など)を管理および保護するサイバーセキュリティーの領域です。
コンピューター・システムにおいて「特権」とは、標準ユーザーよりも高いアクセス権限を指します。標準のユーザー・アカウントはデータベース内のエントリーを表示する権限を持っている場合がありますが、特権管理者は例えば、エントリーを構成、追加、変更または削除できます。
マシンやアプリ、ワークロードなどの人間以外のユーザーも、昇格された権限を持つことができます。たとえば、自動バックアップ・プロセスでは、機密ファイルやシステム設定にアクセスできる可能性があります。
特権アカウントは、ハッカーにとって価値の高いターゲットであり、ハッカーはそのアクセス権を悪用して、検知を逃れながらデータを盗んだり、重要なシステムに損害を与えたりすることができます。実際、IBM® X-Force 脅威インテリジェンス・インデックスでは、有効なアカウントの乗っ取りは、今日で最も一般的なサイバー攻撃ベクトルとなっています。
PAMツールと関連するプラクティスは、組織が特権アカウントをIDベースの攻撃から保護するのに役立ちます。PAM戦略は、特権ユーザーとアカウントの数を削減し、特権を持つ認証情報を保護し、最小特権の原則を適用することで、組織のセキュリティー体制を強化します。
IDおよびアクセス管理(IAM)は、すべてのユーザーとリソースを対象とした、組織のIDセキュリティーへの取り組みをすべて網羅する幅広い領域です。PAMは、IAMの一部であり、特権アカウントとユーザーの保護に重点を置いています。
IAMとPAMはどちらも、デジタルIDのプロビジョニング、アクセス制御ポリシーの実装、認証および承認システムの導入を伴うという点で共通しています。
ただし、特権アカウントには標準アカウントよりも強力な保護が必要であるため、PAMは標準の IAMよりもさらに進んでいます。PAMプログラムは、認証情報ボールトやセッション記録などの高度なセキュリティー対策を通じて、ユーザーが昇格された特権を得る方法とその権限を使用して実行できることを厳格に制御します。
このような強力な措置を非特権アカウントに適用することは非現実的であり、効果もありません。こういった措置を講じることで、標準ユーザーのアクセスが中断され、日常業務を行うことが困難になります。このようなセキュリティー要件の違いが、PAMとIAMが別々のものではあるものの、関連のある分野に領域に分けられている理由です。
Gartnerの最新の「Magic Quadrant for Access Management」レポートでIBM Security Verifyがリーダーに選出された理由をご覧ください。
特権アカウントは、セキュリティー上のリスクを高めます。昇格されたアクセス権が悪用される機会が増しており、多くの組織はオンプレミスとクラウド・システム全体で特権アクティビティーを追跡するのに苦労しています。PAMは、組織が特権アカウントをより細かく制御して、ハッカーを阻止し、ユーザーに必要な権限を付与するのに役立ちます。
ハッカーがユーザー・アカウントを乗っ取り、有効な権限を悪用するアイデンティティー・ベースの攻撃が増加しています。IBMのX-Forceは、こうした攻撃が昨年度に71%増加したと報告しており、セキュリティー侵害の30%を占めています。これらの攻撃は、直接的に、または横移動を通じて、特権アカウントを標的にすることがよくあります。
特権アカウントを得た悪意のあるアクター(内部脅威または外部の攻撃者)により、深刻な損害を受ける可能性があります。悪意のあるアクターは、昇格されたアクセス権を悪用してマルウェアを拡散し、重要なリソースに無制限にアクセスすることができます。また同時に、セキュリティー・ソリューションを欺いて、有効なアカウントを持つ正当なユーザーであると思わせることができます。
IBMのデータ侵害のコストに関する調査によると、ハッカーが盗んだ認証情報を悪用したデータ侵害は、平均462万ドルと最も高いコストの1つです。有効な権限を悪用した内部脅威は、さらに大きな損害を引き起こす可能性があり、その被害額は平均490万米ドルに達します。
さらに、デジタル・トランスフォーメーションと人工知能の発展により、平均的なネットワークにおける特権ユーザーの数が増加しています。新しいクラウド・サービスやAIアプリケーション、ワークステーション、モノのインターネット(IoT)のデバイスは、どれも新しい特権アカウントをもたらします。これらのアカウントには、人間のユーザーがこれらの資産を管理するために必要な管理者アカウントと、これらの資産がネットワーク・インフラストラクチャーと対話するために使用するアカウントの両方が含まれます。
問題をさらに複雑にしているのは、特権アカウントを共有している人が多いことです。例えば、多くのITチームは、各システム管理者に独自のアカウントを割り当てるのではなく、システムごとに1つの管理者アカウントを設定し、資格情報を必要とするユーザーと資格情報を共有しています。
その結果、組織が特権アカウントを追跡することは難しくなり、一方で悪意のある行為者はまさにそのアカウントを狙っています。
PAMテクノロジーと戦略は、組織が正規ユーザーのワークフローを中断することなく、特権アカウントとアクティビティーをより詳細に可視化し、制御できるようにします。インターネット・セキュリティー・センター(Center for Internet Security)は、その「重要な」セキュリティー管理の中にPAMの中核的なアクティビティーを掲げています。1
認証情報保管庫やジャストインタイムの権限昇格などのツールを使用すると、ハッカーや権限のないインサイダーの侵入を防ぎながら、必要なユーザーの安全なアクセスを促進できます。特権セッション監視ツールを使用すると、組織はネットワーク上ですべてのユーザーが自分の特権を使って行うすべてのことを追跡できるため、ITチームとセキュリティー・チームは不審なアクティビティーを検知できます。
特権アクセス管理では、プロセスとテクノロジー・ツールを組み合わせて、特権の割り当てとアクセス、使用方法をコントロールします。多くのPAM戦略は、次の3つの柱に焦点を当てています。
特権アカウント管理:高い権限を持つアカウントの作成、プロビジョニング、安全な廃止
特権管理:ユーザーがいつ、どのように特権を得るか、またその特権を使って何ができるかを管理
特権セッション管理:特権アクティビティーを監視して疑わしい行動を検知し、コンプライアンスを確保します。
特権アカウント管理は、作成から廃止まで、昇格された権限を持つアカウントのライフサイクル全体を監視します。
特権アカウントとは、システム内で平均より高いアクセス権限を持つアカウントです。特権アカウントのユーザーは、システム設定の変更や新しいソフトウェアのインストール、他のユーザーの追加または削除などを行うことができます。
現代のIT環境では、特権アカウントはさまざまな形態をとります。人間のユーザーも、IoTデバイスや自動ワークフローなどの人間以外のユーザーも、特権アカウントを持つことがあります。例えば以下のようなものがあります。
ローカル管理者アカウントは、1台のノートPCやサーバー、その他の個々のエンドポイントに対するコントロールをユーザーに付与します。
ドメイン管理アカウントは、Microsoft Active Directoryドメイン内のすべてのユーザーやワークステーションなど、ドメイン全体をコントロールする権限をユーザーに付与します。
特権ビジネス・ユーザー・アカウントは、財務部門の従業員が会社の資金にアクセスするために使用するアカウントなど、IT以外の目的でユーザーに昇格されたアクセス権を付与します。
スーパーユーザー・アカウントは、特定のシステムで無制限の特権を付与します。UnixおよびLinux®システムでは、スーパーユーザー・アカウントは「root」アカウントと呼ばれます。Microsoft Windowsでは、これらは「管理者」アカウントと呼ばれます。
サービス・アカウントは、アプリや自動ワークフローがオペレーティング・システムと対話できるようにします。
アプリケーション・アカウント は、アプリケーション同士の対話やアプリケーション・プログラミング・インターフェース(API)の呼び出し、その他の重要な機能の実行などを可能にします。
特権アカウント管理は、次のような特権アカウントのライフサイクル全体を処理します。
発見:ネットワークに存在するすべての特権アカウントのインベントリ化
プロビジョニング:最小権限の原則に基づいて、新しい特権アカウントを作成し、権限を割り当てる
アクセス:誰がどのように特権アカウントにアクセスできるかを管理
廃止:不要になった特権アカウントを安全に廃止
特権アカウント管理の主な目標は、システム内の特権アカウントの数を減らし、それらのアカウントへのアクセスを制限することです。認証情報管理は、この目標を達成するための重要なツールです。
多くのPAMシステムでは、個々のユーザーに特権アカウントを割り当てるのではなく、これらのアカウントを一元化し、認証情報をパスワード保管庫に保存します。保管庫には、パスワードやトークン、セキュアシェル(SSH)キー、その他の認証情報が暗号化された形式で安全に保管されます。
ユーザー(人間であれ人間以外であれ)が特権的なアクティビティーを行う必要がある場合は、適切なアカウントの認証情報を保管庫からチェックアウトする必要があります。
例えば、ITチームのメンバーが会社のノートPCに変更を加える必要があるとします。これを行うには、このノートPCのローカル管理者アカウントを使用する必要があります。アカウントの認証情報はパスワード保管庫に保管されているため、ITチームのメンバーはまずアカウントのパスワードを要求します。
チームメンバーは、まず多要素認証(MFA)などの強力な認証課題に合格して、自分の身元を証明する必要があります。次に、コンテナーはロールベースのアクセス制御(RBAC)または同様のポリシーを使用して、このユーザーがこのアカウントの認証情報にアクセスできるかどうかを判断します。
このITチームメンバーはこのローカル管理者アカウントの使用を許可されているため、認証情報保管庫はアクセスを許可します。こうしてこのITチームメンバーは、ローカル管理者アカウントを使用して、会社のノートPCに必要な変更を加えることができるようになります。
セキュリティー強化のため、多くの認証情報保管庫はユーザーと直接認証情報を共有することはありません。代わりに、シングル・サインオン(SSO)とセッション・ブローカーを使用して、ユーザーがパスワードを見ることなく安全な接続を開始します。
通常、ユーザーのアカウント・アクセスは、設定された時間が経過するか、タスクが完了すると無効になります。多くの認証情報保管庫は、スケジュールに従って、または使用するたびに自動的に認証情報をローテーションできるため、悪意のあるアクターが認証情報を盗んだり悪用したりすることが難しくなります。
PAMは、ユーザーが常に同じ静的レベルの権限を持つ永続的な特権モデルを、ユーザーが特定のタスクを実行する必要があるときに昇格された特権を受け取るジャストインタイム・アクセス・モデルに置き換えます。特権管理とは、組織がこのような動的な最小権限アクセス・モデルを実装する方法です。
認証情報保管庫では、ユーザーが限られた時間と限られた目的のためにのみ特権アカウントにアクセスできるため、組織が永続的な特権を排除する1つの方法です。ただし、保管庫だけがユーザー権限をコントロールする方法ではありません。
一部のPAMシステムは、ジャストインタイム(JIT)特権昇格と呼ばれるモデルを使用します。ユーザーは、特権のあるアクティビティーを実行する必要があるときに、個別の特権アカウントにログインする代わりに、一時的に特権を昇格できます。
JIT特権昇格モデルでは、すべてのユーザーが標準のアクセス許可を持つ標準アカウントを持ちます。ユーザーが昇格されたアクセス許可を必要とする操作(ITチームメンバーが会社のノートPCの重要な設定を変更するなど)を行う必要があるときに、PAMツールにリクエストを送信します。リクエストには、ユーザーが何をする必要があるか、そしてその理由を概説する何らかの正当化が含まれることがあります。
PAMツールは、事前定義された一連のルールに照らしてリクエストを評価します。このユーザーがこのシステム上でこのタスクを実行する権限を持っていれば、PAMツールがその人の特権を昇格させます。これらの昇格された特権は短期間のみ有効で、ユーザーが実行できるのは必要な特定のタスクのみです。
ほとんどの組織では、特権管理に特権昇格と認証情報保管の両方を使用しています。一部のデバイスに組み込まれているデフォルトの管理者アカウントなど、専用の特権アカウントが必要なシステムもあれば、必要ないシステムもあります。
特権セッション管理(PSM)は、特権アクティビティーを監視するPAMの一面です。ユーザーが特権アカウントをチェックアウトするか、アプリがそのアカウントの特権を昇格すると、PSMツールはユーザーがそれらの特権を使って何をしたかを追跡します。
PSMツールは、ロギング・イベントとキー・ストロークにより、特権セッションのアクティビティーを記録することができます。一部のPSMツールは、特権セッションのビデオ録画も行います。PSMレコードにより、組織は不審なアクティビティーを検知し、特権アクティビティーを個々のユーザーに帰属させ、コンプライアンス目的の監査証跡を構築できるようになります。
特権ID管理(PIM)と特権ユーザー管理(PUM)は、特権アクセス管理の一分野として重複しています。PIMプロセスは、システム内の個人IDに特権を割り当てて維持することに重点を置いています。PUMプロセスは、特権ユーザー・アカウントのメンテナンスに重点を置いています。
ただし、PIM、PUM、PAMの他の側面の区別に関する見解は、一般的に一致いるわけではありません。専門家の中には、この用語を同じ意味で使っている人もいます。最終的に重要なのは、すべてがPAMの傘下に収まっていることです。組織が異なれば、PAMタスクの概念化も異なりますが、特権アクセスの悪用を防ぐという目標はすべてのPAM戦略に共通しています。
特権昇格や定期的なパスワードのローテーションなどの中核的なPAMタスクを手作業で実行するのは非効率的で、多くの場合不可能です。ほとんどの組織は PAMソリューションを使用して、プロセスの大部分を合理化し、自動化しています。
PAMツールは、ソフトウェアまたはハードウェア・アプライアンスとしてオンプレミスにインストールできます。これらは、クラウドベースのSaaS(サービスとしてのソフトウェア)アプリとして提供されることが増えています。
アナリスト企業であるGartner社は、PAMツールを次の4つのクラスに分類しています。
特権アカウントおよびセッション管理(PASM)ツールは、アカウント・ライフサイクル管理、パスワード管理、認証情報保管、リアルタイムの特権セッション監視を扱う
特権昇格および特権委譲管理(PEDM)ツールは、特権アクセス要求を自動的に評価・承認・拒否することで、ジャストインタイムの特権昇格を可能にする
機密管理ツールは、認証情報の保護と、アプリやワークロード、サーバーといった人間以外のユーザーの特権管理を重点的に行う
クラウド・インフラストラクチャー・エンタイトルメント管理(CIEM)ツールは、ユーザーやアクティビティがより拡散し、オンプレミスとは異なる管理が必要となるクラウド環境におけるIDおよびアクセス管理のために設計されている
一部のPAMツールは1つのクラスのアクティビティーをカバーするポイント・ソリューションですが、多くの組織は PASM、PEDM、管理、CIEM の機能を組み合わせた包括的なプラットフォームを採用しています。これらのツールは、特権セッション・ログをセキュリティー情報およびイベント管理(SIEM)ソリューションに送信するなど、他のセキュリティー・ツールとの統合もサポートする場合もあります。
包括的なPAMプラットフォームには、次のような追加機能を持つものもあります。
これまで知られていなかった特権アカウントを自動的に検出する機能
特権アクセスを要求するユーザーにMFAを適用する機能
特権アクティビティーとユーザーのための安全なリモートアクセス
サードパーティーの契約者およびパートナー向けのベンダー特権アクセス管理(VPAM)機能
アナリストたちは、他のセキュリティー制御と同様に、PAMツールにもAIと機械学習(ML) がますます組み込まれるようになると予想しています。実際、PAMツールの中にはすでにリスクベースの認証システムでAIとMLを使用しているものもあります。
リスクベース認証は、ユーザーの行動を継続的に評価し、その行動のリスク・レベルを計算し、そのリスクに基づいて認証要件を動的に変更します。例えば、1台のノートPCを構成する権限を要求するユーザーは、2要素認証を通過する必要がある場合があります。ドメイン内の全ワークステーションの設定を変更したいユーザーは、本人確認のためにさらに多くの証拠を提出する必要がある場合があります。
OMDIA2の調査では、PAMツールが生成AIを使用してアクセス要求を分析し、特権昇格を自動化し、アクセス・ポリシーを生成・改良し、特権セッション・レコード内の疑わしいアクティビティーを検知する可能性があると予測されています。
PAMツールと施策により、組織全体の特権アクティビティーを管理する一方で、特定のIDおよびアクセス・セキュリティーの課題に対処できるようになります。
- ID攻撃対象領域の縮小
- IDスプロールの管理
- 法規制への準拠
- DevOps機密管理
脅威アクターが、有効なアカウントを使用してネットワークに侵入するケースが増えています。同時に、多くの組織が特権クリープに苦しんでいます。ユーザーが必要以上に高い権限を持っており、また、古い特権アカウントが適切に廃止されません。
その結果、IDは多くの組織にとって最大のリスクとなっています。PAMツールと施策により、こうした脆弱性の修正が可能になります。
認証情報保管庫により特権アカウントの盗用が困難になり、PEDMツールにより最小特権のきめ細やかなアクセスが強制され、横移動が抑制されます。組織は、これらのソリューションやその他のPAMソリューションを使用することで、永続的な権限を、すべての接続とアクティビティーに対してユーザーを認証および承認する必要があるゼロトラスト・モデルに置き換えられます。このモデルにより、ID攻撃対象領域を縮小し、ハッカーのチャンスを制限できるようになります。
デジタル・トランスフォーメーションは、企業ネットワークにおける特権IDの爆発的な増加を助長し、情報セキュリティーに重大な課題をもたらしています。
平均的なビジネス部門では、87種類のSaaSアプリ3を使用しています。また、現在企業ネットワークにはさまざまなIoTデバイスやクラウド・インフラストラクチャー・サービス、BYOD(個人所有デバイスの業務使用)デバイスを使用するリモート・ユーザーが存在しています。これらの資産やユーザーの多くは、ITリソースと対話するために特権アカウントを必要とします。
そして、生成型AIを業務に組み込む組織が増えるにつれて、これらの新しいAIアプリと統合により、さらに別の特権IDセットが現場に導入されることになります。
こうした特権IDの多くは、AIアプリやIoTデバイスなど、人間以外のユーザーに属しています。今日の多くのネットワークでは、人間以外のユーザーの数が人間のユーザーよりも多く、認証情報を秘密にしておくのが苦手であることが知られています。例えば、認証情報をプレーン・テキストでシステム・ログやエラー・レポートに出力してしまうアプリもあります。
PAMを使用すると、人間および人間以外のユーザーの特権認証情報を保管し、それらへのアクセスを一元的に制御することで、組織のIDスプロールを管理できるようになります。認証情報の自動ローテーションにより、認証情報漏洩による被害を制限でき、また、セッション監視ツールにより、これらすべての異種のユーザーが特権で何を行っているかを追跡できるようになります。
医療保険の相互運用性と説明責任に関する法律(HIPAA法)やペイメント・カード業界データ・セキュリティー標準(PCI DSS) 、EUの一般データ保護規則(GDPR)などの データ・プライバシーとセキュリティー規制では、組織は医療情報やクレジットカード番号その他の機微データへのアクセスをコントロールすることが義務付けられています。
PAMにより、組織はいくつかの方法でコンプライアンス要件を満たせるようになります。PAMツールは、必要なユーザーだけが許可された理由でのみ機微データにアクセスできるように、きめ細かいアクセス権限を強制できます。
認証情報保管庫と特権権限昇格により、権限のないユーザーが機微データにアクセスする原因となる管理者アカウントの共有が不要になります。
特権セッションの監視により、組織がアクティビティーの特性を知り、違反や調査が発生した場合にコンプライアンスを証明するための監査証跡を作成できるようになります。
DevOps環境では「機密」と呼ばれることが多い特権認証情報の管理は、DevOpsチームにとって特に難しい場合があります。
DevOps方法論では、クラウド・サービスと自動プロセスが多用されています。これは、ネットワークのさまざまなエリアに多数の特権を持つ人間および人間以外のユーザーが分散していることを意味します。
SSHキーやパスワード、APIキー、その他の機密がアプリにハードコーディングされたり、バージョン管理システムなどにプレーン・テキストとして保存されたりすることは珍しくありません。これにより、ユーザーが必要なときに認証情報を簡単に取得できるようになり、ワークフローが中断されなくなりますが、悪意のある攻撃者が認証情報を盗むことも容易になります。
PAMツールを使用すると、DevOpsの機密を一元的なコンテナーに保存できるようになります。正当なユーザーとワークロードのみが、正当な理由でのみ機密にアクセス可能になります。保管庫は機密を自動的にローテーションできるため、盗まれた認証情報はすぐに役に立たなくなります。
脚注
すべてのリンク先は、ibm.comの外部にあります。
1 CIS Critical Security Controls、Center for Internet Security、2024年6月。
2 Generative AI Trends in Identity, Authentication and Access (IAA)、Omdia、2024年3月15日。
3 2023 State of SaaS Trends、Productiv、2023年6月21日。