Priviledged Access Management (PAM) とは

Priviledged Access Management (PAM) とは?

Priviledged Access Management (PAM) は ID セキュリティソリューションの 1 つであり、組織をサイバー脅威から保護するために重要なリソースへの未承認の特権アクセスを監視、検出、防止します。PAM は人、プロセス、テクノロジの組み合わせを扱うものであり、誰が特権アカウントを使用しているか、およびログインした状態で何をしているかを可視化することができます。管理機能にアクセスできるユーザーの数を制限することは、システムのセキュリティ向上につながると同時に追加の保護レイヤーとなり、脅威アクターによるデータ侵害を軽減します。

Priviledged Access Management のしくみ

PAM ソリューションとは、特権アクセスを必要とする人、プロセス、テクノロジを特定し、これらに適用されるポリシーを指定するものです。組織に導入される PAM ソリューションには、その組織のポリシーをサポートできる機能 (たとえば自動パスワード管理や多要素認証) が必要であり、管理者がアカウントの作成、変更、削除のプロセスを自動化できることが必要です。その PAM ソリューションは、セッションを継続的に監視できることも必要です。これで、レポートを作成して異常の特定と調査を実行できるようになります。

Priviledged Access Management の主なユースケースは、資格情報の盗用防止とコンプライアンス達成の 2 つです。

資格情報の盗用とは、脅威アクターが特定ユーザーのアカウントへのアクセス獲得を目的としてログイン情報を盗むことです。ログインに成功すれば、組織のデータにアクセスし、さまざまなデバイスにマルウェアをインストールし、高レベルシステムへのアクセスを獲得することができてしまいます。PAM ソリューションはこのリスクを軽減するために、Just-In-Time かつ Just-Enough のアクセス権と多要素認証をすべての管理者 ID とアカウントに対して保証します。

どのようなコンプライアンス基準が組織に適用される場合でも、おそらく最小特権ポリシーは必要です。その目的は、支払いや個人の健康情報などの機密データを保護することです。PAM ソリューションを利用すると、組織のコンプライアンスを証明することもできます。具体的には、特権ユーザーのアクティビティに関するレポートを生成して、誰がどのデータに、なぜアクセスしているかを明らかにすることができます。

その他のユースケースとしては、ユーザーライフサイクルの自動化 (アカウントの作成、プロビジョニング、プロビジョニング解除など)、特権アカウントの監視と記録、リモートアクセスのセキュリティ保護、サードパーティアクセスの制御などが挙げられます。PAM ソリューションは、デバイス (モノのインターネット)、クラウド環境、DevOps プロジェクトにも適用することができます。

特権アクセスの悪用はどの組織にとってもサイバーセキュリティ上の脅威の 1 つであり、深刻かつ甚大な被害をもたらすおそれがあります。PAM ソリューションには、このリスクに先手を打つための強固な機能があります。

重要なリソースへの Just-In-Time アクセスを提供する
安全なリモートアクセスを、パスワードの代わりに暗号化ゲートウェイを使用して実現する
調査的監査をサポートするために特権セッションを監視する
組織に害を及ぼす可能性のある、通常とは異なる特権アクティビティを分析する
特権アカウントのイベントをコンプライアンス監査目的でキャプチャする
特権ユーザーのアクセスとアクティビティに関するレポートを作成する
DevOps を統合パスワードセキュリティで保護する

特権アカウントの種類とベストプラクティス

スーパーユーザーアカウントは管理者が使用する特権アカウントであり、ファイル、ディレクトリ、リソースに無制限にアクセスできます。ソフトウェアのインストール、構成や設定の変更、ユーザーやデータの削除を行うことができます。

特権アカウント

特権アカウントには、非特権アカウント (標準ユーザーアカウントやゲストユーザーアカウントなど) を超えるアクセスや特権が付与されます。

サービスアカウント

サービスアカウントは、アプリケーションとオペレーティングシステムとの相互作用をより安全に行うのに役立ちます。

ドメイン管理者アカウント

ドメイン管理者アカウントは、そのシステム内で最高レベルの制御権を持ちます。このアカウントは、ドメイン内のすべてのワークステーションとサーバーにアクセスでき、システム構成、管理者アカウント、グループメンバーシップを制御します。

ビジネス特権ユーザーアカウント

ビジネス特権ユーザーアカウントには、職務上の責任に基づく高レベルの特権が付与されます。

ローカル管理者アカウント

ローカル管理者アカウントは、特定のサーバーやワークステーションを管理者として制御するためのものであり、多くの場合はメンテナンス作業のために作成されます。

緊急アカウント

緊急アカウントは、災害などの混乱が生じたときにシステムを安全に守るために非特権ユーザーに管理者アクセス権を付与するためのものです。

アプリケーション管理者アカウント

アプリケーション管理者アカウントには、特定のアプリケーションとその中に保存されているデータへのフルアクセス権が付与されます。

PAM とPIM

Priviledged Access Management は、組織が ID を管理して脅威アクターによるネットワーク侵入と特権アカウントアクセスの獲得を難しくするのに役立ちます。特権グループの保護がさらに強化され、このグループが制御しているドメイン参加コンピューターとそのコンピューター上のアプリケーションへのアクセスも保護が強化されます。PAM には監視、可視化、粒度の高い制御の機能もあり、特権管理者が誰で、そのアカウントがどのように使用されているかを知ることができます。

Privileged Identity Management (PIM) は、時間ベースおよび承認ベースのロールのアクティブ化を提供します。これにより、これらのアカウントに対して Just-In-Time アクセスと Just-Enough-Enough アクセスを適用することで、組織内の機密性の高いリソースへの過剰、不要、または悪用されたアクセスのリスクを軽減できます。このような特権アカウントのセキュリティをさらに高めるために、PIM では多要素認証などのポリシーオプションを適用できます。

PAM と PIM には多くの類似点がありますが、PAM はツールやテクノロジを使用して組織のリソースへのアクセスを制御および監視するものであり、最小特権の原則 (従業員にはその仕事をするのに十分なアクセス権だけを付与する) に基づいて機能するのに対し、PIM は管理者やスーパーユーザーを時間制限付きのアクセスで制御し、これらの特権アカウントを安全に保護します。

Priviledged Access Management の重要性

人間はシステムセキュリティにおける最弱点 (weakest link) であり、特権アカウントは組織に重大なリスクをもたらします。PAM を取り入れたセキュリティチームは、特権の乱用から生じた悪意のあるアクティビティを特定して、リスクを修復するためのアクションを即座に取ることができるようになります。PAM ソリューションを利用すると、従業員にはその業務に必要なレベルのアクセス権のみが付与されていることを保証できます。

PAM ソリューションは、特権の乱用に関連する悪意のあるアクティビティを特定するだけでなく、以下のように組織に役立ちます:

セキュリティ侵害の可能性を最小限に抑える。セキュリティ侵害が発生しても、PAM ソリューションが導入されていれば、システム内での侵害の到達範囲を限定することができます。
脅威アクターの入り口と通路を減らす。人、プロセス、アプリケーションの特権を制限することによって、内外の脅威に対して防御します。
マルウェア攻撃を防ぐ。マルウェアの足掛かりが作られたとしても、過剰な特権を除去することはその拡散の抑制に役立ちます。
監査しやすい環境を構築する。包括的なセキュリティとリスク管理の戦略を実現するために、アクティビティログを活用して疑わしいアクティビティを監視および検出します。

PAM セキュリティの実装方法

Priviledged Access Management の使用を開始するには、以下のことについての計画が必要です。

すべての特権アカウントと ID を完全に可視化します。導入する PAM ソリューションは、人間のユーザーとワークロードによって使用されるすべての特権を把握できるものであることが必要です。この可視性が確立したら、既定の管理者アカウントを排除して最小特権の原則を適用します。
特権アクセスのガバナンスと制御を行います。特権アクセスに関して常に最新の情報が得られることと、特権の昇格に対する制御を維持することが必要です。制御不能になって組織のサイバーセキュリティを危険にさらすことがないようにするためです。
特権アクティビティを監視および監査します。特権ユーザーの行動について、どのようなものが正当かを定義するポリシーを制定し、そのポリシーに違反する行動を特定します。
PAM ソリューションを自動化します。何百万もの特権アカウント、ユーザー、資産に対して拡張することができ、セキュリティとコンプライアンスを向上させることができます。発見、管理、監視を自動化して管理のタスクと複雑さを減らします。

IT 部門の実情に応じて、導入した PAM ソリューションを最初はそのまま使用し、徐々にモジュールを追加してより大きな機能、より優れた機能をサポートすることもできます。また、コンプライアンス規制を満たすためのセキュリティ制御の推奨事項も検討する必要があります。

PAM ソリューションをセキュリティ情報イベント管理 (SIEM) ソリューションと統合することもできます。

Priviledged Access Management ソリューション

テクノロジだけでは、組織をサイバー攻撃から守るには不十分です。人、プロセス、テクノロジを考慮するソリューションが必要です。

Microsoft Security の ID およびアクセス管理ソリューションが、すべてのユーザー、スマートデバイス、サービスのコネクテッドワールドへのアクセスを保護することによって、どのように組織を保護するのかご確認ください。

スタンディングワークステーションでデュアルモニター上のコードを指し示している人。

ID およびアクセス管理ソリューション

組織を保護するためにすべてのユーザー、スマートデバイス、サービスに対して安全なアクセスを実現します。

詳細情報

Privileged Identity Management

重要な操作へのアクセスを制限して、管理者アカウントのセキュリティを確実に維持しましょう。

詳細情報

条件付きアクセス

従業員のセキュリティを維持するために、粒度の高いアクセス制御をリアルタイムの適応型ポリシーで行います。

詳細情報

よくあるご質問

ID およびアクセス管理 (IAM) は、誰が、どのリソースに、いつ、どこで、どのようにアクセスするかを制御するルールとポリシーで構成されています。これには、パスワード管理、多要素認証、シングルサインオン (SSO)、ユーザーライフサイクル管理が含まれます。

Priviledged Access Management (PAM) は、特権アカウントを保護するために必要なプロセスとテクノロジに関係があります。これは IAM のサブセットであり、特権ユーザー (標準ユーザー以上のアクセス権を持つユーザー) がシステムにログインした後のアクティビティを制御および監視できるようにするものです。
堅牢なセッション管理は PAM のセキュリティツールの 1 つであり、特権ユーザー (組織内の、システムやデバイスへのルートアクセス権を持つ人) がログインした後に何をしているかを知ることができます。その結果として生成される監査証跡を見ると、特権アクセスの偶発的または意図的な誤用がわかります。
Priviledged Access Management (PAM) は、組織のセキュリティ態勢を強化する目的で使用できます。組織のインフラストラクチャとデータへのアクセスを制御し、システムを構成し、スキャンして脆弱性を見つけることができます。
PAM ソリューションのベネフィットとしては、セキュリティリスクの緩和、運用コストと複雑さの縮小、組織全体の可視性と状況認識の向上、規制コンプライアンスの強化などがあります。
組織に導入する PAM ソリューションを決定するにあたっては、そのソリューションに多要素認証、セッション管理と Just-In-Time アクセス機能、ロールベースのセキュリティ、リアルタイム通知、自動化、監査とレポートの機能が含まれていることを確認してください。

Priviledged Access Management (PAM) とは?