特権アクセス管理(PAM)に優先的に取り組む理由とその方法Gartner Insights Pickup(265)

特権アクセス管理(PAM)は、サイバー防御メカニズムとして優先的に取り組むことが不可欠だ。本稿では、その理由と、具体的な方法について紹介する。

» 2022年07月15日 05時00分 公開
[Homan Farahmand, Gartner]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

要約

  • 特権アクセス管理(PAM)は、単なるコンプライアンス要件の順守を超えてゼロトラストの多層防御戦略を実現する上で重要な役割を果たす
  • 何もしないより、最小限の管理をした方がましだが、さまざまな攻撃のリスクが存在する
  • 複雑なサイバー攻撃を防ぐには、PAMの制御範囲を広げるのがベスト

 特権アクセスでは、標準制御を回避して標準アクセス権の範囲を超えた操作を実行できるようになる。こうした特権アクセスは、対象となるシステムやIaaS(Infrastructure as a Service)などのシステムを高いリスクにさらすことがある。そのため、特権アクセス管理(PAM)はサイバー防御機能としての優先度が高い。だが、PAMを効果的にするには、包括的な技術戦略が必要になる。全ての資産を対象として特権アカウントを可視化し、制御することが、成功の鍵を握る。

 特権アクセスは、あるエンティティ(人間またはマシン)がITまたはデジタルシステムにおいて、管理者アカウントや高い権限を持つ認証情報を用いて、技術的なメンテナンスや変更、緊急停止への対処(特権的操作)をするときに発生する。

 特権アクセスは、オンプレミスでもクラウドでも行われる。この文脈での特権とは技術的なものであり、ビジネスプロセスに関連する高リスクの特別な権利とは異なる。PAMの制御により、全ての適切なユースケースにおいて、認可されたシステムに対し、認可された特権が使用されることが担保できる(特権アカウントや特権認証情報のような関連するあらゆるメカニズムを通じて)。

 特権アクセスのリスクは、特権の拡散、管理者のミスなどによって人的エラーが発生する可能性、認可されていない特権昇格(攻撃者がシステム、プラットフォーム、環境上でより高い権限を取得するために使用する手法)によって高まる。

 従来のPAM制御(認証情報の非保持、セッション管理など)は、特権ユーザーや特権アプリケーション、特権サービスに最小限の特権(JEP:Just Enough Privileges)をジャストインタイム(JIT)で付与し、アクセスリスクを軽減する。こうした対策は不可欠だが、部分的に導入するだけでは足りない。JIT特権アプローチの重視とマシンIDの管理が必須であり、特権タスクの自動化と高度な分析の実装が望ましい。

 PAMの制御範囲をクラウドプラットフォームやDevOps、マイクロサービス、ロボティックプロセスオートメーション(RPA)のシナリオに広げるには、シークレット管理とシークレットレスブローカリング、クラウドインフラストラクチャ権限管理(CIEM)といった追加の機能が必要になる。

 PAMはローカルとリモートの人間からマシンへ、そしてマシンからマシンへの全ての特権アクセスシナリオに適用できる。そのため、PAMは重要なインフラサービスとなる。機密性の高い認証情報/シークレット(資格情報)の保存や、さまざまなシステムでの特権操作の実行に関連するリスクを集約するからだ。こうしたPAMの機能には、考え抜かれた高可用性(HA)とリカバリーのメカニズムが必要になる。

 PAMは、サイバー防御メカニズムとして優先的に取り組むことが不可欠だ。単にコンプライアンス要件を順守するだけでなく、ゼロトラストの多層防御戦略を実現する上で重要な役割を果たすからだ。

 一部の企業は監査の指摘を受けて、コンプライアンス義務を果たすために最低限のPAM制御を導入することを選ぶかもしれない。だが、こうした企業はサービスアカウントや特権昇格、ラテラルムーブメント(横展開)といった攻撃ベクトルに対して依然として脆弱(ぜいじゃく)だ。最小限の管理は何もしないよりはましだが、PAMの制御範囲を広げることで、複雑なサイバー攻撃の防止に向けてより多くのリスクを軽減できる。

(出所:Gartner)

 セキュリティとリスク管理の技術担当者は、以下の実行が不可欠だ。

  • 自社のサイバーセキュリティフレームワークに沿ったPAM制御範囲マトリクスを作成する。これを用いてリスクベースのアプローチを開発し、PAM制御とその適用を計画、実行または拡大する
  • PAMの中核機能を実装する。そのためには、意図したユースケースをカバーするとともに、ゼロスタンディング特権運用モデルを推進するソリューションを展開する。このモデルには、ガバナンス、発見、保護、モニタリング、監査、JIT特権昇格および委譲が含まれる
  • PAMの追加機能を実装する。そのためには、展開したソリューションの拡張や、他のセキュリティ管理ツールとの統合を行う。追加機能には以下が含まれる
    • リモートサポート
    • タスクの自動化(特に、DevOpsパイプラインとIaC(Infrastructure-as-Code)のユースケースで)
    • 変更管理
    • 脆弱性の評価と修正
    • シークレット管理
    • シークレットレスブローカリング
    • クラウドインフラストラクチャ権限管理(CIEM)
  • PAMソリューションとセキュリティ情報およびイベント管理(SIEM)ツールやITサービス管理(ITSM)ツールを統合する
  • PAMソリューションのレジリエンス――強靭(きょうじん)性や回復力を設計する。そのためには、HA設計と高度なディザスタリカバリープロセスを利用する。このプロセスには単純なローカルバックアップおよびリカバリーではなく、ホットサイトやコールドサイトなどを使用する。また、信頼できるブレークグラス(緊急対応)アプローチを用いて、リカバリーシナリオを計画する

出典:Why and How to Prioritize Privileged Access Management(Smarter With Gartner)

筆者 Homan Farahmand

VP Analyst


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。