クラウドID管理のリスクと課題「特権アカウントのベストプラクティス」

特権アカウントは標準アカウントよりも適切に保護する必要があり、特権アカウント管理(PAM:Privileged Access Management)では、すべての特権アカウントを管理するための厳格な計画とITインフラストラクチャを必要とします。

「特権アカウントの概要」については、こちらを参照ください。
→Keyspider.jp →クラウドID管理のリスクと課題「特権アカウントの概要」

「データ侵害の74%は特権アカウントへのアクセスに関係している」というデータもあります。

今回は、特権アカウント管理を確実に実施するためのベストプラクティスを紹介します。

主なベストプラクティス

確実な特権アカウント検出プロセスを確立

重要データにアクセスできるアカウントを指定するためには、オンプレミスとクラウドの両方で、すべての特権アクセスを識別する必要があります。

これには「個人アカウント」「共有アカウント」「ローカル管理者アカウント」「ドメイン管理者アカウント」などのすべてが含まれます。

システムやアカウントは常に更新されているため、継続的プロセスを確立することが重要です。

特権アカウント用パスワード保護ポリシーの導入

「不正アクセス防止」「規制準拠実証」のために、特権アカウント用パスワード保護ポリシーを導入します。

特権アカウントを使用および管理するすべての人が理解して受け入れることができる明確なポリシーを作成することが重要となります。

強力なパスワードは基本的なサイバーセキュリティ要件ですが、パスワードを定期的に変更し、パスワード管理のベストプラクティスに従う必要があります。決して共有されてはいけません。

パスワードだけではなく、生体認証を加えた多要素認証によるセキュリティ強化も必要です。

最小特権を実装

攻撃者が機密データにアクセスするリスクを減らすために、ユーザーには仕事をするために必要な最低限の特権のみを与えます。

特権アカウントは適切な担当者にのみ付与しますが、必要に応じて職務と特権を分離して割り当てる必要があります。

職務と特権を分離することで、担当者によるセキュリティ違反を防ぎ、インシデント調査ログの整合性を確保できます。

特権アクティビティの監視と監査

特権アカウントに対する脅威の1つとして「正当な特権アクセスを持つ担当者による組織内からの侵害」があります。

この脅威を防ぎ軽減するために、特権セッション監視機能を実装して、疑わしい特権アクティビティを監視する必要があります。

特権ユーザー行動分析ソリューションは、「ユーザーアクティビティ」「アカウント行動」「アクセス行動」「資格情報の機密性」「ユーザー行動を考慮した機械学習アルゴリズムに基づく行動ベースライン」などを使用して、特権アクティビティに関する洞察を得るのに役立ちます。

その結果、推奨ガイドラインからの逸脱を検出し、潜在的攻撃開始前に防げる可能性が高まります。

また、特権アクティビティの監視と記録に加えて、キーストロークとスクリーンショットをキャプチャして、すべてのアクティビティを監査する場合もあります。

適切なPAMソリューションを選択

適切なPAMソリューションを導入することで、専門的なセキュリティ評価が可能となります。

特権アカウントが保護しているものを特定し、「セキュリティポリシー」「制御」「プロセス」を客観的に詳細化することにより、一定のレベルまでセキュリティを向上できます。

特権アカウントの「包括的可視性確立」「適切なポリシー制定」「最小限特権実装」「厳格なアクティビティ監視」などが実施されることで、特権アカウントの悪用を防ぎ、組織内外のセキュリティリスクに対して効果的に取り組むことができます。

スタッフトレーニング

多くの場合、エンドユーザーのセキュリティリテラシーが、ITシステムにおいて最も弱い部分となります。

これは、迫り来る脅威を知らず、ハッカーから身を守る方法を理解していないためです。

そのため、アカウントを保護するために必要な情報を提供し、サイバーセキュリティ慣行の重要性についてスタッフと話し合うことが重要となります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「特権アカウントの概要」

アカウントの種類

①非特権アカウント

最小権限の原則により、ほとんどのユーザーは90%以上の時間、非特権アカウントで操作しています。

最小特権アカウント(LUA:Least-privileged User Account)とも呼ばれる非特権アカウントは、次の2つのタイプで構成されます。

標準ユーザーアカウント

標準ユーザーアカウントは、「インターネット接続」「オフィスアプリケーション」などの通常業務で最低限度必要なアクセスが許可されます。

ロールベースアクセスポリシーによって定義される「限られたリソースへのアクセス」など、制限された一部特権も保有します。

ゲストユーザーアカウント

ゲストユーザーアカウントは、通常、「インターネット接続」と「基本的なアプリケーションアクセス」のみに制限されているため、標準ユーザーアカウントよりも、さらに特権が少なくなります。

②特権アカウント

特権アカウントは、「スーパーユーザーアカウント」とも呼ばれる特別な種類のアカウントです。

管理用アカウントとして「非特権アカウントの制限を超えてのアクセス」と「最大級の権限」が付与されます。

「特権アカウント」とは

概要

特権アカウント(スーパーユーザーアカウント)は、主に専門のITスタッフによる管理に使用され、コマンドを実行してシステムを変更するためなどに使用されます。

実質的に無制限の権限を有しています。

OS別特権アカウント(スーパーユーザーアカウント)

UNIX(Linux)

UNIX(Linux)でのスーパーユーザーアカウントは「root」と呼ばれます。

自己システムを破壊できるほどの最大権限を有しています。

Windows

Windowsでのスーパーユーザーアカウントは「Administrator」と呼ばれます。

Windowsシステムでは、各Windowsコンピューターに少なくとも1つの管理者アカウントがあります。

ユーザーは管理者アカウントを使用することで、「ソフトウェアインストール」や「ローカル構成設定」などの操作を実行できます。

権限

・「ファイル」「ディレクトリ」「リソース」への無制限アクセス
・完全な「読み取り権限」「書き込み権限」「実行権限」
・ソフトウェアインストール
・完全なシステム変更権限
・ネットワーク全体に体系的な変更をレンダリングする権限 など

リスク

特権アカウントは、非特権アカウントよりも大幅に強力な権限による操作が許可されているため、非常に大きなリスクをもたらす危険性があります。

「操作ミス」「悪意のある操作」などが発生した場合、「システム完全停止」「機密情報流出」などにより、企業存続にまで影響を与える可能性があります。

そのため、特権アカウント管理は、ID管理の中でも最も重点的に管理しなければならない対象とされています。

「特権アカウント」の例

ローカル管理アカウント(システムアカウント)

ローカル管理アカウント(システムアカウント)は、ローカルホスト(インスタンス)のみへの管理アクセスが許可される非個人アカウントです。

主として、メンテナンスを実行するためにITスタッフによって日常的に使用されます。

ドメイン管理アカウント

ドメイン管理アカウントは、ドメイン内のすべてのサーバに対する特権的管理アクセスが許可されます。

ネットワーク全体で広範囲なアクセスを提供します。

緊急アカウント

緊急アカウントは、緊急時に、特権のないユーザーに対して安全なシステムへの管理アクセスを提供します。

「Firecall」または「Breakglass」アカウントと呼ばれることもあります。

サービスアカウント

サービスアカウントは、アプリケーション(サービス)がOSと対話するために使用する特権アカウントです。

アプリケーションアカウント

アプリケーションアカウントは、アプリケーションが「データベースアクセス」「バッチジョブ実行」「スクリプト実行」「他アプリケーションへのアクセス」などを実行するために使用するアカウントです。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト