特権ID(Windows Administrator, root等)は、システム管理者がシステムの根幹にかかわる重要な設定変更や一般ユーザIDの管理をおこなう際に使われるものであり、非常に重要なIDです。そのため、サイバー攻撃者はいかにこの特権IDを窃取するかを常に狙っており、また、悪意のない正当な従業員でもこのIDを使って不用意な操作ミスをしてしまうと、システムのみならず企業全体の事業活動に多大な影響をおよぼす恐れがあります。
このような特権IDにかかわるリスクを軽減し、適切に管理するソリューションが「特権アクセス管理ソリューション」です。
近年、サイバー攻撃はますます高度化しており、「境界で守る」ことから「侵入されることを前提として守る」ことがセキュリティ施策の常識となりつつあります。また、守るべき対象も、従来のオンプレミス環境だけでなくクラウド環境、ロボット(RPA)のIDなど多種多様となり、管理すべき特権IDの範囲が飛躍的に拡大、分散しています。
これらの環境変化に応じて、グローバルでの各種法規制やガイドラインにおいて特権アクセス管理として求められる要件も厳しくなっていると同時に、大手調査会社の提言においても「特権アクセスセキュリティの導入または改善を推奨」が重要なセキュリティプロジェクトとして挙げられています。
これらのため、多くの企業においてセキュリティリスクを下げるために「特権アクセス管理ソリューション」が有効な手段として注目され始めています。
特権IDはシステム管理に携わる複数の複数のスタッフが共有している場合がほとんどであり、それらのスタッフがいつでも特権IDでのログインが可能な状況にある場合、「いつ」「誰が」「何の目的で」「どんな作業を行ったか」が把握できません。万が一のセキュリティ事故発生の際に、これらの記録を容易に追跡できるようにしておく必要があります。
申請・承認手続きを適切におこなったとしても、それだけでは悪意のあるサイバー攻撃者からの不正アクセスは防止できません。そのため、特権IDを利用したシステム操作をすべてログに記録したり、GUI操作をすべて録画することが必要です。さらには、その記録を改ざんできないことも重要です。
特権IDを利用していたスタッフが異動や退職をした場合には、不要な特権IDを放置せず適切に削除したり、パスワードを変更する必要があります。ただし、重要なシステムであればあるほど、思わぬ誤作動を避けるために一定期間放置してそのままになっているケースもシステム運用の現場ではよくある話です。そういった事態を防ぐため、定期的な特権IDの棚卸やパスワードの定期変更をおこなうことが重要です。また、これらの棚卸やパスワードの定期変更をシステムで自動化することにより、システム管理者ユーザ自身にはパスワードが秘匿されることが理想です。
従来の基本的な特権アクセス管理の方法は以下でした。
パスワード等の認証情報を暗号化し安全に保管
ハードニングされた踏み台サーバを経由して特権アクセスを行うセッションを提供
ユーザが行った作業のログだけでなく、動画を記録し、暗号化保管管理画面から時刻やコマンド、アプリケーション名で検索も可能
さらに近年では、より高度なサイバー攻撃に対する強化のために以下の機能も実装されています。
想定外の特権ID利用をリアルタイムに検知し通知する他、自動的にセッション切断や一時停止、あるいはパスワードの強制変更可能
特権IDを自動で登録が可能
ハードコードされたID/パスワードをなくし、認証情報を安全に保管、提供
動作を限定した権限付与によりリスクの高い過剰な権限でのアクセスを回避
日時を限定した特権付与により内部不正を抑止
ベニックは、特権アクセス管理ソリューションとして以下の製品を提供しています。