古くて新しい「特権アクセス保護」について技術的内容を分かりやすく解説する連載。今回は、特権アクセス保護(PAM)の歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどについて解説する。
古くて新しい「特権アクセス保護」(PAM:Privilege Access Management)について技術的内容を分かりやすく解説する本連載「ゼロトラスト時代の特権IDの守り方」。連載初回の前回では、そもそも「特権」とは何か、特権の持つ特徴リスク、抱える課題などについて整理しました。
今回は、PAMの歴史と本質、具体的にどのように機能するのか、ID管理基盤/IDaaS(ID as a Service)との違いなどを解説します。
多くの読者の方にはあまり聞きなじみがないかもしれませんが、海外では特権アクセス管理のことを「PAM」(Privilege Access Management)といいます。ベンダーによっては、「PIM」(Privileged Identity Management:特権ID管理)とすることもありますが、本質的には同じ問題を解決するソフトウェアです。
主な機能としては、管理者が使う特権アカウントの認証情報の保管と保護、それらをセキュアに払い出すことです。
初期のPAMでは、認証情報をしっかりと保護する管理的な機能に力点が置かれていました。ユーザーがパスワードといった認証情報を持つ必要をなくし、利用する都度、管理しているPAMに聞きにいって、取得するイメージです。
この仕組みの中で、認証情報を保護するコンポーネントを「Vault(ボルト)」といいます。日本語では「金庫」「金庫室」「保管室」といった意味で、サイバーセキュリティの文脈では、「非常に重要な情報が保管される場所」といったニュアンスです。
PAMの製品を提供するベンダーが異なっても、一般的にこの用語は使われることが多いので、知っておいて損はないと思います。「この単語自体を初めて聞いた」といった方もいるかもしれませんが、私たちがよく使うMacやWindowsのPCにもVaultといった単語を含む機能が入っているので、これからはこの用語は、ますます一般的になってくると思っています。
話を元に戻します。このVaultに認証情報を集約することで、ユーザーの端末にパスワードを保管させる必要がなくなりました。必要があれば、Vaultに問い合わせてもらいにいきます。この際に、誰でも簡単に問い合わせて取り出せると、Vaultに集約して保管する意味がなくなってしまうので、そこは厳重にガードする仕組みを設けます。
具体的にはVaultにアクセスできるネットワークを制限したり、曜日や時間を制限したり、多要素認証を使ったり、読み、書き、削除などの認可権限を組み合わせてロール設定して、アクセス制限を細かく設定したりなどです。また認証情報を定期的に更新する機能も盛り込まれていました。つまり、認証情報の厳格な保管と管理に力点が置かれていました。これを「第1世代」と呼ぶことにします。
次に、認証情報を取得してWindowsやLinuxのターゲット機器に接続するセッション管理機能も加えられました。ユーザーはターゲット機器にリモートアクセスしたいとき、認証情報をVaultに取りにいきます。認証情報はユーザーに見られることなく、WindowsのリモートデスクトップやLinux機器やネットワーク機器にSSH接続するためのアプリケーションに渡され、特権IDを使って接続されます。その接続中の操作内容は録画、記録され、接続が終わればそのタイミングも把握できるようになりました。これは、内部不正の防止や抑制に効果があります。これが、「第2世代」のPAMです。
これらの仕組みは、比較的シンプルです。ベンダーによって違いはありますが、エージェントを入れる方法と、エージェントを入れない代わりにターゲット機器にアクセスできるゲートウェイを建てて、ゲートウェイ経由で接続を一元化させる方法のいずれかです。世界的にはゲートウェイ型の仕組みが主流のようですが、ユースケースよって向き不向きがあると思うので、必要に応じて専門家のアドバイスをもらうのがよいと思います。
下図はゲートウェイ型のイメージ図です。図だけ見ると、ユーザーは一度ゲートウェイに入って、そこからまたリモート接続するようにも見えてしまいますが、ユーザーはゲートウェイの存在を意識しません。PAMの機能で自動的にターゲット機器まで接続してくれるので、ユーザー体験としても、従来の接続体験とあまり差を感じないと思います。
Copyright © ITmedia, Inc. All Rights Reserved.