特権アクセス管理 (PAM) とはなんでしょう?

特権アクセス管理と、それがセキュリティにもたらすメリットを理解する

PAM とは何でしょう?

特権アクセス管理 (PAM) は、権限が重要な企業リソースに格上げされたユーザーのアカウントを、高いセキュリティで管理するシステムを指します。これらは、管理者としての人、デバイス、アプリケーション、そして他のタイプのユーザーとすることができます。

特権のあるユーザーアカウントは、サイバー犯罪者にとって高価値なターゲットです。それは、彼らはシステム上で格上げされた権限を持ち、高度な秘密情報にアクセスを許可されるから、および/またはミッションクリティカルなアプリケーションやシステムに、管理者レベルの変更を行うからです。昨年は、44% のデータ違反に特権 ID が関与しました。1

また、特権アクセス管理は、時には特権アカウント管理、もしくは特権セッション管理 (PSM) とも称されます。特権セッション管理は、実際は適切な PAM システムのコンポーネントです。

PAM はなぜ重要なのでしょう?

特権アカウントは、どこにでもあります。数多くの種類の特権管理があり、オンプレミスにも、クラウドにも存在する可能性があります。それらは、ユーザーの大規模なグループの設定を変更する能力、など格上げされた権限があることが、他のアカウントとは異なります。また、多くの場合、複数の人達が、少なくとも臨時ベースで、特定の特権アカウントにアクセスできます。

たとえば、Linux マシンの root アカウントは、特権アカウントの形を取ります。Amazon Web Services (AWS) のアカウントオーナーは、もう 1 つの特権アカウントの形です。会社の公式 Twitter プロファイルの企業アカウントも、やはりもう 1 つの形です。

特権アカウントは重大なリスクをもたらします。サイバー犯罪者は、特権アカウントの信用情報の盗用に、他のタイプのアカウントよりもっと興味を持ちます。そのため、彼らは IT 部門に難題をもたらします。

従来は、このようなアカウントが侵害されると大きな損害の高いリスクがあるにもかかわらず、このようなアカウントへのアクセスはそれほどうまく管理されていませんでした。共通の問題には、多くの人達が同じアカウントを明確な履歴や説明責任なしで使用すること、それに静的パスワードが決して変更されないことが挙げられます。

PAM ソリューションは、このようなリスクに対処することを目指します。

特権アクセス管理はどのような仕組みで機能するのでしょう?

PAM 管理者は、PAM ポータルを使用して、さまざまなアプリケーションや企業リソースにまたがる特権アカウントへのアクセス方法を定義します。特権アカウントの信用情報 (パスワードなど) は、特殊用途の、高度なセキュリティのパスワードボルトに保存されます。また、PAM 管理者は、PAM ポータルを使用して、このような特権アカウントに、誰が、どのような条件でアクセスできるか、というポリシーを定義します。

特権ユーザーは、PAM を通してログインし、特権ユーザーアカウントへのアクセスをリクエストするか、または速やかに取得します。このアクセスはログ収集され、特定のタスクの排他的実行のために一時的に残されます。セキュリティを確実にするために、PAM ユーザーは、通常、アカウント使用のために、ビジネス正当化を提示するように要請されます。時には、マネージャーの承認も要求されます。往々にして、ユーザーはアプリケーションにログインするために使用する実際のパスワードにアクセスすることは許可されず、その代わりに PAM 経由でアクセスを提供されます。さらに、PAM はパスワードが、多くの場合自動で、定期的に、または使用されるごとに頻繁に変更されることを確実にします。

PAM 管理者は、PAM ポータルを介してユーザーの活動をモニターすることができ、必要に応じて、ライブセッションをリアルタイムに管理することすらできます。また、最新の PAM はマシンラーニングも使用して異常を特定し、リスクスコアを使用し、リスクが高い操作を PAM 管理者にリアルタイムで報知します。

PAM のメリットは何でしょう?

高めれらたセキュリティは、PAM システムを実装する明白なメリットです。しかしながら、その 1 つだけではありません。PAM の効用:

サイバー犯罪者に対する保護 管理者等の特権ユーザーは、複数のパスワードの記憶に関しては、他のユーザーと同じ難題に直面します—そして、同じパスワードを複数のアカウントにまたがって使用するという、同じ傾向があります。そうです。このようなユーザーは、サイバー犯罪者のターゲットに、もっとなりやすいです。PAM システムは、管理者が数多くのパスワードを記憶する必要性を軽減し、特権ユーザーがローカル/ダイレクトシステムパスワードを作成することを防止できます。セッション管理および警報は、最高管理者が、潜在的な攻撃をリアルタイムで特定するための役に立ちます。

内部攻撃に対する保護 残念ながら、相当数の攻撃は、組織内の悪人からです。または、退職後のアクセスを防止するためのプロビジョニング解除が、完全に行われていない元社員です。

より高い生産性 PAM は特権ユーザーに恩恵をもたらします。PAM は、特権ユーザーに、必要なシステムへのログインを高速化し、数多くのパスワードを記憶する認知的負担を軽減します。また、スーパーユーザーが、特権ユーザーのアクセスを、多数のさまざまなシステムやアプリケーションではなく、集中した 1 つの場所から容易に管理することを可能にします。

コンプライアンスの保証 多くの規制が、きめ細かく具体的な特権ユーザーアクセスの管理と、監査閲覧の機能を要求します。機密システムへのアクセスを制限し、追加の承認を要求し、または特権アカウント用に多要素認証を使用することができます。PAM システムの監査ツールは活動を記録し、明白な監査証跡を提出することを可能にします。PAM は、組織が、SOX、HIPAA、PCI DSS、GLBA、ISO 27002、ICS CERT、FDCC、FISMA などの規制に [適合] (https://www.onelogin.com/blog/categories/security-and-compliance) するためのお手伝いをします。

PAMは ID アクセス管理 (IAM) と、どのように違うのでしょう?

特権アクセス管理は、時としてID アクセス管理 (IAM) と混同されます。IAM は、多くの場合社員、ベンダー、請負契約者、パートナー、そして顧客さえも含む、組織のすべてのタイプのユーザーの認証と権限付与に焦点を合わせています。IAM は、オンプレミスとクラウドを含む、アプリケーションやリソースへの全般的なアクセスを管理し、多くの場合 Microsoft Active Directory などのディレクトリシステムを統合します。

PAM は特権ユーザー、管理者、または組織で格上げされた特権を持つ管理者に焦点を合わせています。PAM システムは、このようなユーザーの、重要なリソースへのアクセスを管理し、セキュリティを確保するよう、専用に設計されています。

組織は、攻撃への防御を行うには、両方のツールが必要です。

IAM システムは、組織のエコシステム全体にわたる、数多くのユーザーからのアクセスの、より大きいアタックサーフェスに対応します。PAM は特権ユーザーに焦点を合わせます—それでも PAM は重要です。対応するのはより小さいアタックサーフェスですが、それは高価値なサーフェスであるからです。そして通常は一般ユーザーには関係なく、不適切な場合すらある、管理の追加セット (セッション記録など) を必要とします。

IAM は PAM をどのように改善できますか?

ご使用の PAM ソリューションを IAM ソリューションに統合することは、複数のメリットがあります。多くのお客様はこの統合を選択します。それは、セキュリティリスクが低減されるから、監査人やコンプライアンス規制により要求されるから、そしてユーザーエクスペリエンスが向上するからです。IAM は以下を可能にします。

  • 多要素認証 (MFA)適応認証を PAM アクセス用に追加します。このことは、PCI DSS Requirement 8.3 などのコンプライアンス要件に適合するための役に立ちます。PCI DSS などの多くの規制は、管理的なアクセスに、MFA などのツールによりセキュリティを確保することを要求します。
  • 特権アクセスが、社員が組織を退職した後、自動的に打ち切られることを確実にします。やはり、このことも、しばしば PCI DSS などのコンプライアンス要件となります。すべての PAM ツールがこのことを保証するわけではありません—非常に多くの場合—IT 部門は、元従業員を十分に迅速にプロビジョニング解除していません。元社員が特権アカウントにアクセスすれば、災害になりかねません。
  • 管理者の第 1 日目からの生産性を確実にします。IAM を PAM と合わせて使用すれば、管理者を自動的に PAM にプロビジョニングすることができ、まさに第 1 日目から適切なアクセスを彼らに許可できます。
  • シングルユーザーエクスペリエンスを提供。IAM を PAM へのインターフェースとして使用することにより、特権ユーザーのユーザーエクスペリエンスを向上させることができます。それは、特権ユーザーが、他の企業リソースにアクセスするのと同じ場所から PAM にアクセスできるからです。

結論として、PAM は、組織のリソースやデータのセキュリティを高めるために、重要な役割を果たします。最適な ID 管理ソリューションには、セキュリティと使いやすさを確実にする、IAM システムと PAM システムの協調的な使用が含まれます。

関連リソース:

『クラウドベースの ID およびアクセス管理 (IAM) を 3 つの簡単なステップで実装する方法』

「クラウドに移行するだけでは十分ではありません。クラウドでもセキュリティを確保する必要があります。そこで、IAM をどうしたらよいでしょう。」

詳しい情報

お客様の ID 管理をレベルアップするパワフルな 3 つのツール

社員、パートナー、そして顧客が、どのデバイスからでも会社の情報にアクセスすることを、高いコストをかけることなく合理化し、セキュリティを確保します。

詳しい情報

Gartner IAM Summit 2018 で学習した上位 5 つのこと

影響力の高い、ID とアクセス管理の、上位のトレンドの要約を入手してください。

詳しい情報