特権アクセス管理 (PAM)

システム管理者、ネットワーク管理者、セキュリティ管理者、DevOps　エンジニア、財務部門や経営にかかわる一部の従業員や役員は、他のユーザーよりも幅広いアクセス権限を必要とします。 

しかし、昇格権限を厳重に管理しないと、認証情報の不正使用やインサイダー脅威、偶発的なサイバーエクスポージャーなどに繋がる恐れがあります。

明確な制限なしに広範なアクセスを与えることは、最も機密性の高いシステムへのリスクを高めます。

PAM はアクセス制御を可能にするツールです。PAM を使用すれば、リスクの高いパーミッションを制限、監視、監査するポリシーを実施できます。 これは、悪用される可能性のあるアタックサーフェスを縮小して、悪意のある内部者や外部の攻撃者による組織環境の乗っ取りを防ぐ、というアイデンティティセキュリティの 2 つの主要目標を達成するのに役立ちます。

特権アカウントは、漏洩した場合、大きなリスクをもたらします。 

ドメイン管理者であろうと、Kubernetes クラスタのロールであろうと、データベースのスーパーユーザーであろうと、これらのアカウントには多くの場合、機密システムにアクセスできる広範で無制限な権限が与えられています。攻撃者がこれらの認証情報にアクセスした場合、データの流出、マルウェアのデプロイ、システムのシャットダウンが可能になり、場合によってはアラートが作動しないこともあります。

特権アクセスが攻撃者にとって最も貴重な標的の 1 つであるのはそのためです。 また、セキュリティ責任者がゼロトラスト戦略において PAM を重要な一部とする理由でもあります。

PAM ソリューションは、以下のようなアクセスの管理と監視を支援します。

• インフラ: サーバー、データベース、ネットワーク機器
• アプリケーション:管理コンソール、設定ポータル
• クラウド環境： AWS、Google Cloud、Azure で IAM として機能
• DevOpsツール：パイプライン、コンテナ、Kubernetesクラスタ
• 第三者アクセス：ベンダー、請負業者、サービスアカウント

PAM の目的はシンプル。ユーザーが必要なときだけ、できるだけ短時間で、アクセスパターンと特権の使用状況を可視化しながら、昇格アクセスを与えることです。

ジャストインタイムアクセス (JIT)

JIT アクセスでは、ユーザーは限られた期間のみ昇格した権限を得ることができます。 タスクが完了すると、アクセス権は自動的に失効し、 誤用や権限忘れが環境に残る可能性を減らすことができます。

JIT は、ユーザーが本当に必要としない限り、機密システムへの永続的なアクセスを保持しないようにすることで、最小権限の原則をサポートしています。 

権限セッション管理

PAM ツールは、すべての特権ユーザーセッションを監視して記録し、ログに記録する。 異常なスクリプトの実行や不正なファイルアクセスなど、不審なことが起きた場合、誰が、いつ、どの IP アドレスや地理的位置から行ったかを知ることができます。

この監査証跡は、コンプライアンスや調査に極めて重要で、 インサイダー脅威の抑止にも役立ちます。

認証情報の保管とローテーション

PAM ツールは、特権認証情報を暗号化された保管庫に保存し、使用後にパスワード、トークン、セキュアシェル（SSH）キーを自動的にローテーションできます。 ユーザーが共有認証情報を知る必要も、管理する必要もなくなる。

認証情報のローテーションは、パスワードの再利用、フィッシング、トークンの盗難などを防止し、特にシークレットスプロールが現実的な問題である DevOps 環境で役立ちます。

アクセス承認ワークフロー

昇格アクセスが必要な場合、まず PAM ワークフローを通じてリクエストが発信されます。 リクエストは承認者に送られ、承認者は承認するか、拒否するか、あるいは追加の文脈を要求します。 このワークフローは、特権アクセスを許可する前に、特権取得の意図を文書化し、人間の監視を確実にすることを主旨としています。

このワークフローはインシデント対応プレイブックや変更管理プロセスと統合して、ポリシーの整合性を強化することもできます。

PAM は、誰がいつ何にアクセスしたかを検証することで、ゼロトラストを実施するのにも役立ちます。 過剰な権限のあるアカウントを制限し、必要なユーザーに必要な時間だけアクセスできるようにすることで、最小権限モデルに直接結びつけます。

PAM がないと、ユーザーが長期にわたってアクセスを蓄積するリスクがあります。 これは、一般的に権限クリープと呼ばれる問題で、 権限が積み重なると、攻撃者が認証情報を侵害した場合の攻撃の影響範囲が広がります。

PAM の実際の用途には次のようなものがあります。

• 外部ベンダーに、データベースへの期間限定アクセスを提供する
• DevOps エンジニアにデプロイメントのための一時的な Kubernetes 管理者権限を許可する
• システム管理者に週末アクセス権を付与し、認証情報のエクスポージャーを永続的に容認せずにシステムのアップデートを実行できるようにする
• ユーザが正規の勤務時間外に特権コマンドを実行したことを検知する

PAM は、アイデンティティが複雑で、アクセス境界が常に変化するクラウドやハイブリッド環境では特に価値があります。

特権アクセスは、多くのサイバーエクスポージャー管理シナリオにおいて重大な役割を果たします。 攻撃は特権アカウントから始める必要はないのです。 ただ、特権アカウントへに到達する経路が必要なだけです。 

そこで、過剰に許可されたサービスアカウント、設定ミスされたロール、非アクティブな管理者などがあると、攻撃者がそれらを発見すれば、最も機密性の高いシステムに誘導されることになります。

しかし、PAM があれば、攻撃経路が攻撃者に悪用される前にブロックできます。 最小権限を強制し、ジャストインタイムアクセスを自動化し、未使用の認証情報を排除することで、攻撃者が付け込むことのできるエントリーポイントの数を減らすことができます。

サイバーエクスポージャー管理プログラムに組み込まれた PAM は、以下のように機能して効果を発揮します。

• クラウド、アイデンティティ、インフラにまたがる権限関連攻撃経路を可視化し、破壊する
• ユーザー、ロール、リソースにまたがるリスクの高い特権の組み合わせを特定する
• 重大なシステムや資産へのアクセスを強化することで、ラテラルムーブメントを抑制する
• 過剰な権限や未使用のアカウントを継続的にクリーンアップすることで、アタックサーフェスを縮小する

サイバーエクスポージャー管理プラットフォーム「Tenable One サイバーエクスポージャー管理プラットフォーム」を利用することで、ユーザー権限、クラウド権限、接続インフラを一元的に可視化することができます。 つまり、危険な特権経路を特定し、設定ミスや攻撃手法など他のリスク要因と関連付け、攻撃者よりも先に標的を絞った対策を講じることができるのです。

PAM は過剰なアクセスを制限する一方、サイバーエクスポージャー管理は、それが悪用される可能性を制限する。 これらを組み合わせることで、リスクを予測し、優先順位をつけ、排除することができるようになります。

Tenable One のデモをリクエストして、統合サイバーエクスポージャー管理と PAM が、リスクの可視化、過剰特権の排除、ラテラルムーブメントの阻止にどのように役立つかをご覧ください。

アクセス制御は課題を解決する方法の一部でしかありません。 もしも特権ユーザーが未対処の脆弱性のるシステムにログインできるのであれば、攻撃者にも侵入の手段を与えることになりかねません。

特権アクセス管理と脆弱性管理が連携しなければならないのはそのためです。 

特権アカウントは、クラウドサービスやデータベース、レガシーインフラなどの重大資産に接続することが多く、これらの資産にはパッチが適用されていない脆弱性や設定ミスがある可能性があります。 悪意ある者がこれらのシステムを侵害した場合、昇格されたアクセス権を悪用して、組織環境に奥深く潜入することができます。

PAM を脆弱性インサイトと連携すれば、以下が可能になります。

• リスクの高いシステムの過剰特権ユーザを特定する
• アクセス可能な脆弱性に基づいて、制限するアカウントの優先順位を決める
• パッチが適用されていない、または露出しているリソースに紐づく休眠管理者アカウントを検出する
• 過剰なアクセスと既知の弱点の組み合わせに起因する攻撃経路を削減する

Tenable Oneでは、アイデンティティ、脆弱性、クラウドの設定ミスのデータを1つのプラットフォームにまとめることができます。 そうすれば、リスクの全体像を把握し、悪用される可能性が最も高い特権アカウントに対処することができます。

PAM はアクセス制限に使用できます。脆弱性管理は、サイバーエクスポージャーを制限するのに役立ちます。 これらを組み合わせることで、より強力で積極的な防御が実現されます。

Tenable Oneのデモをリクエストして、最も脆弱性の高いシステムにアクセスできる特権アカウントを確認することで、攻撃経路を縮小し、脅威が拡大する前に食い止めることができます。

• 特権アクセスを許可する前にMFAを一貫して適用する
• ジャストインタイムアクセスを使って権限の存続期間を制限する
• 定期的に、特権権限とアカウントを見直し、監査する
• 認証情報を自動的にローテーションし、ハードコードされた秘密を削除する
• リアルタイムアラートですべての特権セッションを監視する
• CI/CD DevOps パイプラインに PAM を統合する

PAM は、アカウンタビリティを向上させ、可視性を高め、コンプライアンスを維持するのに役立ちます。 攻撃者が権限昇格できない場合、横方向に移動したり、データを盗んだり、損害を与えたりする能力が制限されます。

PAM をリアルタイムのアイデンティティの可視化と自動的なリスクスコアを組み合わせることで、アイデンティティの脅威が拡大する前に阻止する、よりプロアクティブなセキュリティ態勢を構築できます。

権限とは何か？
特権アクセス管理とは、ユーザーにシステムレベルの変更、設定の管理、機密データへのアクセスを許可する昇格権限を指します。 これらのアカウントには、システム管理者、ルートユーザー、DevOps やサービスアカウントが含まれます。

IAM と PAMの違いは？
IAM (アイデンティティアクセス管理) は、ユーザーのアイデンティティと一般的なアクセスを管理します。 PAM は IAM のサブセットに重点を置き、リスクの高いアカウントや高度なアカウントのアクセスを制御、監視、制限します。

なぜ PAM はセキュリティにとって重要なのですか?
特権アカウントは一般的な攻撃の対象であるため、PAM はセキュリティにとって重要です。PAM は、これらのアカウントがアクセスできる時間を制限し、その活動をログに記録し、最小権限を強制することで、侵害リスクを低減します。

ジャストインタイム（JIT）アクセスのしくみは?
JIT アクセスは、必要なときだけ、ユーザーに一時的な特権アクセスを与えます。 タスクの完了後、アクセス権は自動的に失効するため、放置されたアクセス権が悪用されたり濫用されたりする可能性は低くなります。

PAM はどのようにコンプライアンスに役立ちますか?
PAM は、アクセス制御の実施、監査証跡の維持、権限クリープの低減を支援します。これは、多くのコンプライアンス規制が要求する機能です。

クラウド環境に PAM は必要ですか?
はい、クラウドには PAM が必要です。 クラウドやハイブリッドのセットアップでは、権限が複数のサービスやロールにまたがることが多いのですが、 PAM は、特に AWS、Azure、Kubernetes のような複雑な環境において、これらのロールを一貫して管理・監視するのに役立ちます。

さあ、環境全体の特権アクセスリスクを軽減しましょう。Tenable Identity Exposure のデモを申し込んで、過剰権限のアカウントを特定し、最小権限を自動化する方法をご覧ください。