Windowsのローカル管理者のアカウントやドメイン管理者のアカウント、Active Directoryのサービスアカウントなど、ネットワーク環境の大部分を管理する特権的なアカウントは、その権限の大きさからセキュリティ上のターゲットとなりやすく、そのようなリスクから特権アカウントを守るため、厳重に管理、監視、保護を行う特権アクセス管理(PAM)が活用されます。しかし、PAM本来の価値は、重要なデータ、アプリケーション、システムにアクセスする、すべてのアカウントを保護する場合に発揮されます。
この記事では、UserLockがどのようにして特権的なアカウントだけでなく、すべてのアカウントを保護するのかをご紹介します。
- 特権的なアクセス権を持つあらゆるアカウントのセキュリティを確保する方法をご紹介します。
- すべての特権アカウントのセキュリティを強化する方法について説明します。
特権的なアクセス権を持つ
アカウントを保護する方法
すべてのユーザーはアクセス権や特権が帰属する、ある種の特権ユーザーである。
PAMは多くの企業や組織において、ドメインやローカルの管理者アカウントなど、特に特権アカウントを保護するために使用されています。しかし、機密情報や保護された情報、その他の価値があるデータ(財務データや知的財産など)にアクセスする一般的なアカウントも特権アカウントと同様に、監視と特定の基準が満たされた場合には、アクセス拒否を行う必要があります。
しかし、従来のPAMソリューションでは、すべての「非特権」ユーザーアカウントまで簡単に拡張することはできません。非特権ユーザーアカウントをPAMに認証させるためには、さらに低いレベルのアカウントが必要になるため、セキュリティステップが追加されることになり、ユーザーの負担が増加します。
UserLockは、IDとパスワードなどを保管するだけの認証情報管理ツールではありません。ログイン時にセキュリティレイヤーを設置することで、なりすましや内部不正などといったアカウントの悪用やリスク回避を実現します。
IT系の著名なコンサルティング企業であるガートナー社のレポート(英語サイト)によれば、ユーザーに不必要な負担をかけることなく、非特権アクセスの「保護・管理・監視」をIT管理者が簡単に実施できます。さらに、従来は「特権」と見なされていなかったアカウントの使用にもセキュリティレイヤーを設けることは、重要なデータ、アプリケーション、システムにアクセスするアカウントを保護するという、多くの企業や組織の要望に応えるものです。
UserLockは、非特権者のアクセスセキュリティを強化します。
- 多要素認証の有効化
管理者は、多要素認証(MFA)が要求される状況をカスタマイズし、接続するたびにユーザーが追加の認証を求められることを回避することができます。 - アクセスポリシーによるログインの制限
時間帯やPC・端末、接続するセッションタイプなどによりログインを制限することで、不適切な使用のリスクを軽減します。 - 非特権アカウントの使用状況の可視化
従来のPAMソリューションでは、特権アカウントが使用された場合には、管理者に通知が来るように設定することができます。しかしIT管理者は、あらゆるアカウントの使用状況をリアルタイムに把握し、不審な挙動が行われた場合に認識できる必要があります。 - 不審なアクセスイベントへの対応
不審なアクセスイベントが行われた場合、自動でアラートが発出されるため、管理者はすぐに該当するユーザーセッションを管理画面上からロック、ログオフ、またはリセットすることが可能となり、迅速な一次対応を実行することができます。
すべての特権アカウントの
セキュリティを強化する方法
PAMを有効に使うには、まずセキュアなログインを実現する必要があります。
PAMの背景にあるセキュリティ要件について考えてみましょう。前述のガートナー社の定義を要件として分解してみると、明確なポイントが3つあります:
- “特権アクセスを提供すること”
仕事をするために、適切なユーザーが適切な昇格アクセス権を持つことを保証する必要があります。 - “コンプライアンス要件に適合すること”
承認されたアクセス権のみが付与されたことを証明する監査可能な方法を備える必要があります。 - “特権アカウントとアクセスの保護・管理・監視”
アカウントのロック、アクセス権の定義、使用状況の把握、アカウントの不正使用時に対応できる必要があります。
これらの要件はすべて、PAMの外側にある1つの要因、つまりユーザーが最初に自分自身を認証する必要があることに軸足を置いています。しかし、多くのPAMソリューションは、どのポリシーが適用されているか、また、どのアカウントがどのユーザーに紐づいているかを確認するのに、Windowsログインの認証に依存しています。したがって、PAMを有効活用するためには、まず、このログインを保護する必要があります。
もしあなたのPAMソリューションがマイクロソフトの言うことを鵜呑みにしているだけであれば、それは問題があるかもしれません。
社内アカウントが悪用される次のようなケースを考えてみましょう:
- 悪意のある内部関係者が他のユーザーの認証情報を使用するケース
全従業員の約半数が、自分の資格情報を同僚と共有している(英語サイト)というレポートがあります。これは企業の一般従業員だけでなく、法務、人事、IT、財務などといった主要部門の従業員も含まれます。社内の従業員が不正を行おうと考えた場合、彼らはログインを行い、PAMソリューションによって認証され、特権アカウントへのアクセス権が付与される可能性があります。 - 外部の攻撃者がユーザーの認証情報を漏洩させるケース
情報漏えいの約半数はハッキングによるものです。そして、ハッキングの主要な手口は盗まれた認証情報であり(英語サイト)、これは最も現実的なケースの1つです。PAMソリューションが特権パスワードのローテーション機能をサポートしていない、または使用後にローテーションするように設定されていない場合、特権ユーザーがエンドポイントにログインすると、特権アカウントの資格情報がエンドポイントのメモリに保存されます。ローカル管理者権限を持つアカウントを取得した外部の攻撃者は、エンドポイントのメモリから資格情報を抽出し、それを使って組織内でラテラルムーブメント(横移動)を行うことができます。
ポイントとしては、特権アカウントへのアクセスが、アカウント情報の正確性だけに基づくのであれば、PAMは安全とは言えません。重要となるのは、PAMが機能する前に、これらの認証情報の悪用を阻止するために必要な、追加のセキュリティレイヤーです。
UserLockは一般的なPAMソリューションには無い保護機能を実装しています。
- 多要素認証の有効化
特権アカウントへのアクセスを許可された者のみに限定することで、特権アカウント使用時のセキュリティを強化するために使用します。 - 特権アカウントの使用制限
特権アカウントによるWindowsマシンへのログインは、PAMによる制限に加えて、独自の制限の対象とすることができます。例えば、ワークステーションのトラブルシューティングを行うドメイン管理者アカウントの制限など。 - 低レベルアカウントの使用制限
企業や組織のアカウントがログインできるPC、IPアドレス、セッションの種類などの制限、また同時ログインできるセッション数の制限を行うことで、低レベルのユーザーは承認されたワークステーションからのみログインできることがより確実になり、低レベルのアカウントがアカウント所有者以外によって使用される可能性を低減することができます。 - すべてのログインアクティビティの監視
特権アカウントの不審なログインが発生した場合、ログイン管理で検知して、IT管理者に通知するよう設定することが可能です。 - 特権的な資格情報の不正使用への対応
PAMにセッション管理が含まれていない場合(特権アカウントがプロキシを経由せずにエンドポイントで直接使用される場合)、IT管理者はUserLockを使用してユーザーのアクティビティを確認し、セッションをロックしてアカウントをログオフし、さらにそのアカウントがログインできないようにすることができます。
あらゆる種類の特権アクセスに
関連するリスクを制限する
特権アクセスの結果として、多くのリスクが発生します。これらのリスクは、外部からの攻撃や組織内の悪意ある内部者によってもたらされます。いずれにせよ、このようなリスクがあるため、特権的なアクセスのセキュリティを常に確保することが重要です。
そこで、将来的にPAMの導入を計画している場合、あるいは現在使用しているPAMソリューションのセキュリティを向上させる方法を探している場合、そして「非特権」経路のセキュリティを可能な限り拡張したい場合は、UserLockのログイン管理ソリューションご検討ください。
UserLockは、多要素認証とアクセス管理により、非特権アカウントへのアクセスを容易に保護すると同時に、特権アカウントの使用を保護、制限、対応するITの能力を向上させることができます。