特権アクセスの結果として、多くのリスクが発生します。これらのリスクは、組織内の外部からの攻撃または悪意のある内部関係者から発生する可能性があります。いずれにせよ、リスクにより、特権アクセスのセキュリティを常に確保することが重要になります。
特権アクセス管理(PAM)は、主に、最も特権のあるアカウント(Windowsローカル管理者アカウント、ドメイン管理者アカウント、Active Directoryサービスアカウント、およびネットワーク環境の大部分を支配するあらゆるもの)を保護するために使用されると見なされています。ただし、PAMの真の価値は、重要なデータ、アプリケーション、およびシステムにアクセスできるアカウントを保護するために使用されるときに実現されます。機密性の高い、特権のある、保護された、またはその他の価値のあるデータにアクセスできるアカウントは、何らかの方法で同等に監視する必要があり、場合によっては、特定の基準が満たされた場合にアクセスを拒否する必要があります。
ここでは、ログイン管理が組織の両方の保護にどのように役立つかを見ていきます。 ITが非特権アカウントへのアクセスを簡単に保護できるようにすると同時に、特権アカウントの使用を制限して対応するITの機能を強化することにより、PAMが導入するセキュリティを強化します。
IS Decisionsのログイン管理ソリューションであるUserLockは、ログイン時にWindowsベースのネットワーク上に包括的なセキュリティレイヤーを提供します。 UserLockは、強制可能なログインポリシー、アラート、および応答アクションを組み合わせて使用することで、IT組織があらゆる種類の特権アクセスに関連するリスクを制限できるようにします。
1. あらゆる種類の特権アクセスを保護
すべてのユーザーは、アクセス権と特権を割り当てられており、ある種の特権ユーザーです。 (財務データ、知的財産などを考えてください)。 ただし、PAMソリューションの使用は、最後のすべての「非特権」ユーザーアカウントにまで簡単に拡張することはできません。これにより、追加のセキュリティ手順としてユーザーに負担がかかり、ITにも負担がかかります。非特権者がPAMへの認証に使用するには、さらに低レベルのアカウントが必要になります。
ログイン管理は、両方のユーザーセットからその負担を取り除きます。 これにより、すべてのアカウントが悪用されることがなくなります。 IT部門は、ユーザーに負担をかけることなく、「非特権」アクセスを「secure, manage, and monitor(保護、管理、および監視)」(Gartnerの言葉を借りると)、することが容易になります。
「非特権」アクセスに関するセキュリティを強化
PAMは、ドメインやローカル管理者タイプのアカウントなど、特に特権のあるアカウントを保護するために、ほとんどの組織で明らかに使用されています。 それでも、実際には、機密性の高い、特権のある、保護された、またはその他の価値のあるデータにアクセスできるアカウントは、何らかの方法で同等に監視する必要があり、場合によっては、特定の基準が満たされた場合にアクセスを拒否する必要があります。
たとえば、営業責任者のユーザーアカウントは特に「特権」があるようには見えませんが、顧客データベースへの完全なアクセス権はあります。
そのため、そのアカウントの使用に関するセキュリティの層(および従来は「特権」とは見なされていなかったそのようなアカウント)を持つことは、重要なデータ、アプリケーション、およびシステムへのアクセスでアカウントを保護したいというほとんどの組織の要望と一致します。
ログイン管理の役割
ログイン管理はボールトに資格情報を保持せず、要求されたときに資格情報へのアクセスを提供しますが、組織にログイン時の保護レイヤーを提供し、アカウントが悪用されたり侵害されたりしないようにします。
ログイン管理は、次の方法で非特権アクセスセキュリティを強化します:
- アクセスポリシーによるログインの制限 – アカウントがログインできるタイミング、マシン、デバイスかIPアドレス、また承認されたセッションタイプや同時セッションなしのみの利用などの制限を設定することで、不適切な使用のリスクを減らすことができます。
- 非特権アカウント使用への可視性を提供 – PAMは、特権アカウントが使用されたときにITに通知するように構成できます。 IT部門は、前述のセールスアカウントと同じレベルのリアルタイムの可視性を必要としているため、金曜日の夜の午後9時45分にログインするなど、潜在的な脅威を示す可能性のある異常なアカウントの動作を認識しています。
- 資格情報の誤用への対応 –リモートでロック、ログオフを強制する、またはWindowsセッションをリセットすることにより、不適切であることが判明したユーザーアクティビティへの自動またはアラートベースの対応します。
2. 最も特権のあるユーザーをより適切に保護(システム/管理者アカウント)
PAMの背後にあるセキュリティ要件を検討してください。 ガートナーの定義を要件セットとして分類すると、3つの明確なポイントがあります:
- “特権アクセスを提供ために” – 適切なユーザーが仕事をするために適切な昇格されたアクセス権を持っていることを確認する必要があります。
- “コンプライアンス要件への準拠” – 承認されたアクセスのみが許可されたことを証明する監査可能な方法があります。
- “特権アカウントとアクセスの保護、管理、監視” – アカウントをロックしたままにし、アクセスできるユーザーを定義し、いつ使用されたかを把握し、アカウントが悪用された場合に対応できるようにします。
これらの要件はすべて、PAM自体の外部にある単一の要因に基づいています。ユーザーは最初に自分自身を認証する必要があります。 ただし、多くのPAMソリューションは、Windowsログイン資格情報に依存して、適用されるポリシーとそのユーザーがアクセスできるアカウントを確立します。
したがって、PAMを効果的にするには、最初にログインを保護する必要があります。
ログイン:セキュアなPAMの基礎
あなたのPAMソリューションがあなたがあなたであるというMicrosoftの言葉を受け入れるなら、それは問題です。内部アカウントが悪用される次の2つのシナリオを考えてみましょう:
- 別のユーザーの資格情報を使用する悪意のある内部関係者 – 全従業員のほぼ半数が他の従業員と資格情報を共有しています1。そして、それは組織内の低レベルの役割だけではありません。法務、人事、IT、財務などの主要部門の従業員が含まれています。内部の従業員が悪意のある行為を実行することを決定した場合、彼らはログインし、PAMソリューションによって認証され、1つ以上の特権アカウントへのアクセスを許可される可能性があります。
- 外部の攻撃者がユーザーの資格情報を侵害する – すべてのデータ侵害のほぼ半分がハッキングに関係しています。そして、nハッキングで使用される一番の戦術は、視覚情報の盗難であり2、このシナリオは非常に現実的です。攻撃者は、現在使用されている種類のセキュリティソリューションに賢明であるため、特権アカウントにアクセスできるかどうかを確認するためにPAMソリューションへのアクセスを探す可能性があると考えるのは簡単です。
つまり、特権アカウントへのアクセスが、それが正しいユーザーアカウントであることにのみ基づいて与えられている場合、PAMは安全ではありません。必要なのは、PAMが登場する前に、この種の資格情報の誤用を防ぐための追加のセキュリティ層です。
ログイン管理によるPAMの保護
ログイン管理ソリューションは、Windowsログインを監視し、ポリシー、ワークフロー、アラート、および応答アクションを活用して、ITに異常なログインを認識させ、問題に対応する必要がある場合にログインを制御することで、保護を強化します。
基本的に、PAMをログイン管理と階層化することにより、特権アカウントへのアクセスが許可される前に、ログインが適切かどうかについて必要な可視性の層をITに提供します。
ログイン管理がPAMを支援する方法は2つあります:
1) ログイン管理は、必ずしもPAMにない制限を実装します
PAMソリューションには、特権アカウントへのアクセスと使用に関して独自の制限があります。 たとえば、特定のユーザーは、営業時間中に1つの特定の特権アカウントにしかアクセスできない場合があります。 また、PAMソリューションには独自の一連の制限がある場合がありますが、ほとんどの場合、特権アカウントを使用できる場所と時期に関係し、低レベルのアカウントには制限を設けません。
ログイン管理の役割
制限は、リスクを低減し、脅威のフットプリントを削減するのに役立ちます。 組織が最小特権の真の状態に近づくほど、特権アカウントの誤用のリスクを排除する以外はすべてに近づきます。
ログイン管理は、次の方法で特権アカウントの使用に関するセキュリティを強化するために使用できます:
- 低レベルのアカウント使用の制限 – アカウントがログインできるマシン、IPアドレス、およびセッションタイプを制限し、同時セッションの数を制限することで、組織は低レベルのユーザーが 承認されたワークステーションであり、アカウント所有者以外の人が低レベルのアカウントを使用する可能性を減らします。
- 特権アカウントの使用の制限 – Windowsベースのマシンへの特権アカウントによるログインは、PAMが適用する制限に加えて独自の一連の制限の対象となる可能性があります。 例えば。 Outは、ワークステーションのトラブルシューティングのためにドメイン管理者アカウントを正しく制限します。
2) ログイン管理は、資格情報の侵害から保護します
PAMソリューションがサポートされていないか、使用するたびに特権パスワードをローテーションするように構成されておらず、特権ユーザーがエンドポイントにログインした場合、特権アカウントの資格情報はエンドポイントのメモリに保存されます。 ローカル管理者権限を持つアカウントを取得した外部の攻撃者は、エンドポイントのメモリから資格情報を抽出し、それを使用して組織内を横方向に移動する可能性があります。
ログイン管理の役割
ログインアクティビティの監視は、PAMソリューション以外の異常な特権アカウントアクティビティを特定するのに役立ち、誤用が検出された場合にアクションを実行する可能性があります。
ログイン管理は、次の方法で資格情報の侵害から保護できます:
- すべてのログインアクティビティの監視 – ログイン管理は、特権アカウントの異常なログインがいつ発生したかを識別し、IT担当者に通知するように構成できます。
- 特権資格情報の誤用への対応 – PAMにセッション管理が含まれていない場合(特権アカウントはエンドポイントで直接使用され、プロキシを経由しない)、ITはログイン管理を使用して、ユーザーアクティビティの確認、セッションのロック、ログオフを行うことができます。 アカウント、さらにはアカウントのログイン機能を無効にします。
USERLOCKにより、PAMをより安全に
外部からの攻撃、フィッシング詐欺、マルウェア感染が増加しているため、組織は、組織の最も価値のあるデータへのゲートウェイである特権アクセスを保護する方法を模索しています。
UserLockを使用したログイン管理により、IT部門は、ユーザーに負担をかけることなく、非特権アクセスを簡単に「保護、管理、および監視」できます。 同時に、特権アカウントの使用を制限して対応するITの機能を強化することにより、PAMが導入するセキュリティを強化します。
したがって、PAMの将来の実装を計画している場合、または使用しているPAMソリューションのセキュリティを向上させる方法を探している場合、セキュリティを「非特権」パスの可能な限り拡張したい場合は、 ログイン管理を利用してログインを保護することを検討してください。
1 IS Decisions, Insider Threat Persona Study (2017)
2 Verizon, Data Breach Investigations Report (2018)