Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

Priviledged Access Management (PAM) とは?

組織をサイバー脅威から保護するために、重要なリソースへの未承認の特権アクセスを監視、検出、防止します。

Priviledged Access Management (PAM) とは?

Priviledged Access Management (PAM) は ID セキュリティ ソリューションの 1 つであり、組織をサイバー脅威から保護するために重要なリソースへの未承認の特権アクセスを監視、検出、防止します。PAM は人、プロセス、テクノロジの組み合わせを扱うものであり、誰が特権アカウントを使用しているか、およびログインした状態で何をしているかを可視化することができます。管理機能にアクセスできるユーザーの数を制限することは、システムのセキュリティ向上につながると同時に追加の保護レイヤーとなり、脅威アクターによるデータ侵害を軽減します。

Priviledged Access Management のしくみ

PAM ソリューションとは、特権アクセスを必要とする人、プロセス、テクノロジを特定し、これらに適用されるポリシーを指定するものです。組織に導入される PAM ソリューションには、その組織のポリシーをサポートできる機能 (たとえば自動パスワード管理や 多要素認証) が必要であり、管理者がアカウントの作成、変更、削除のプロセスを自動化できることが必要です。その PAM ソリューションは、セッションを継続的に監視できることも必要です。これで、レポートを作成して異常の特定と調査を実行できるようになります。

Priviledged Access Management の主なユース ケースは、資格情報の盗用防止とコンプライアンス達成の 2 つです。

資格情報の盗用とは、脅威アクターが特定ユーザーのアカウントへのアクセス獲得を目的としてログイン情報を盗むことです。ログインに成功すれば、組織のデータにアクセスし、さまざまなデバイスにマルウェアをインストールし、高レベル システムへのアクセスを獲得することができてしまいます。PAM ソリューションはこのリスクを軽減するために、Just-In-Time かつ Just-Enough のアクセス権と多要素認証をすべての管理者 ID とアカウントに対して保証します。

どのようなコンプライアンス基準が組織に適用される場合でも、おそらく最小特権ポリシーは必要です。その目的は、支払いや個人の健康情報などの機密データを保護することです。PAM ソリューションを利用すると、組織のコンプライアンスを証明することもできます。具体的には、特権ユーザーのアクティビティに関するレポートを生成して、誰がどのデータに、なぜアクセスしているかを明らかにすることができます。

その他のユース ケースとしては、ユーザー ライフサイクルの自動化 (アカウントの作成、プロビジョニング、プロビジョニング解除など)、特権アカウントの監視と記録、リモート アクセスのセキュリティ保護、サードパーティ アクセスの制御などが挙げられます。PAM ソリューションは、デバイス (モノのインターネット)、クラウド環境、DevOps プロジェクトにも適用することができます。

特権アクセスの悪用はどの組織にとってもサイバーセキュリティ上の脅威の 1 つであり、深刻かつ甚大な被害をもたらすおそれがあります。PAM ソリューションには、このリスクに先手を打つための強固な機能があります。

  • 重要なリソースへの Just-In-Time アクセスを提供する
  • 安全なリモート アクセスを、パスワードの代わりに暗号化ゲートウェイを使用して実現する
  • 調査的監査をサポートするために特権セッションを監視する
  • 組織に害を及ぼす可能性のある、通常とは異なる特権アクティビティを分析する
  • 特権アカウントのイベントをコンプライアンス監査目的でキャプチャする
  • 特権ユーザーのアクセスとアクティビティに関するレポートを作成する
  • DevOps を統合パスワード セキュリティで保護する

特権アカウントの種類

スーパー ユーザー アカウントは管理者が使用する特権アカウントであり、ファイル、ディレクトリ、リソースに無制限にアクセスできます。ソフトウェアのインストール、構成や設定の変更、ユーザーやデータの削除を行うことができます。

特権アカウント

特権アカウントには、非特権アカウント (標準ユーザー アカウントやゲスト ユーザー アカウントなど) を超えるアクセスや特権が付与されます。

ドメイン管理者アカウント

ドメイン管理者アカウントは、そのシステム内で最高レベルの制御権を持ちます。このアカウントは、ドメイン内のすべてのワークステーションとサーバーにアクセスでき、システム構成、管理者アカウント、グループ メンバーシップを制御します。

ローカル管理者アカウント

ローカル管理者アカウントは、特定のサーバーやワークステーションを管理者として制御するためのものであり、多くの場合はメンテナンス作業のために作成されます。

アプリケーション管理者アカウント

アプリケーション管理者アカウントには、特定のアプリケーションとその中に保存されているデータへのフル アクセス権が付与されます。

サービス アカウント

サービス アカウントは、アプリケーションとオペレーティング システムとの相互作用をより安全に行うのに役立ちます。

ビジネス特権ユーザー アカウント

ビジネス特権ユーザー アカウントには、職務上の責任に基づく高レベルの特権が付与されます。

緊急アカウント

緊急アカウントは、災害などの混乱が生じたときにシステムを安全に守るために非特権ユーザーに管理者アクセス権を付与するためのものです。

PAM とPIM

Priviledged Access Management は、組織が ID を管理して脅威アクターによるネットワーク侵入と特権アカウント アクセスの獲得を難しくするのに役立ちます。特権グループの保護がさらに強化され、このグループが制御しているドメイン参加コンピューターとそのコンピューター上のアプリケーションへのアクセスも保護が強化されます。PAM には監視、可視化、粒度の高い制御の機能もあり、特権管理者が誰で、そのアカウントがどのように使用されているかを知ることができます。

Priviledged Identity Management の情報Privileged Identity Management (PIM)  は、時間ベースおよび承認ベースのロールのアクティブ化を提供します。これにより、組織内の機密性の高いリソースへの過剰、不要、または悪用されたアクセスのリスクを軽減できます。これには、これらのアカウントに対して Just-In-Time アクセスと Just-Enough-Enough アクセスが適用されます。このような特権アカウントのセキュリティをさらに高めるために、PIM では多要素認証などのポリシー オプションを適用することができます。

PAM と PIM には多くの類似点がありますが、PAM はツールやテクノロジを使って組織のリソースへのアクセスを制御および監視するものであり、最小特権の原則 (従業員にはその仕事をするのに十分なアクセス権だけを付与する) に基づいて機能するのに対し、PIM は管理者やスーパー ユーザーを時間制限付きのアクセスで制御し、これらの特権アカウントを安全に保護します。

Priviledged Access Management のベスト プラクティス

PAM ソリューションの計画を立てて導入する際には、ここで紹介するベスト プラクティスを参考にしてください。これらは組織内のセキュリティ向上とリスク軽減に役立ちます。

多要素認証を必須とする

サインイン プロセスの保護をさらに強化するために、多要素認証を導入します。ユーザーはアカウントやアプリにアクセスするときに追加の本人確認を、別の確認済みデバイスを通じて行う必要があります。

セキュリティを自動化する

人為的なエラーのリスクを軽減し、効率を高めるために、組織のセキュリティ環境を自動化します。たとえば、脅威が検知されたときに自動的に特権を制限し、安全でない、あるいは未承認のアクションを防止します。

エンドポイント ユーザーを除去する

IT の Windows ワークステーションのローカル管理者グループの中にある、不要なエンドポイント ユーザーを特定して除去します。管理者アカウントが脅威アクターに使用されると、ワークステーションからワークステーションへ移動し、他の資格情報を盗み、自分の特権を昇格させてネットワーク内を移動することができてしまいます。

ベースラインを確立して逸脱を監視する

特権アクセスのアクティビティを監査し、システム内で誰が何をしているのか、特権パスワードがどのように使用されているのかを調べます。許容されるアクティビティのベースラインを把握しておくことは、システムを危険にさらす可能性のある逸脱を発見するのに役立ちます。

 

Just-In-Time のアクセス権を付与する

最小特権ポリシーをすべての物、すべての人に適用しておき、必要に応じて特権を昇格させます。このことは、システムやネットワークをセグメント化してユーザーやプロセスに、信頼度、ニーズ、特権に基づいて使用させるのに役立ちます。

永続的な特権アクセスを付与しない

永続的な特権アクセスではなく、一時的な Just-In-Time アクセスと Just-Enough アクセスを検討します。このことは、アクセス権に対する正当な理由を持つユーザーが、必要な時間に限定してそのアクセス権を持つことの保証に役立ちます。

アクティビティベースのアクセス制御を使用する

リソースに対する特権を付与するときは、その人の過去のアクティビティと使用状況に基づいて、その人が実際に使用するリソースに限定して付与します。このねらいは、付与された特権と使用された特権のギャップを埋めることです。

 

Priviledged Access Management の重要性

人間はシステム セキュリティにおける最弱点 (weakest link) であり、特権アカウントは組織に重大なリスクをもたらします。PAM を取り入れたセキュリティ チームは、特権の乱用から生じた悪意のあるアクティビティを特定して、リスクを修復するためのアクションを即座に取ることができるようになります。PAM ソリューションを利用すると、従業員にはその業務に必要なレベルのアクセス権のみが付与されていることを保証できます。

PAM ソリューションは、特権の乱用に関連する悪意のあるアクティビティを特定するだけでなく、以下のように組織に役立ちます:

  • セキュリティ侵害の可能性を最小限に抑える。セキュリティ侵害が発生しても、PAM ソリューションが導入されていれば、システム内での侵害の到達範囲を限定することができます。
  • 脅威アクターの入り口と通路を減らす。人、プロセス、アプリケーションの特権を制限することによって、内外の脅威に対して防御します。
  • マルウェア攻撃を防ぐ。マルウェアの足掛かりが作られたとしても、過剰な特権を除去することはその拡散の抑制に役立ちます。
  • 監査しやすい環境を構築する。包括的なセキュリティとリスク管理の戦略を実現するために、アクティビティ ログを活用して疑わしいアクティビティを監視および検出します。

PAM セキュリティの実装方法

Priviledged Access Managementを始めるには、以下のことについての計画が必要です:

  1. すべての特権アカウントと ID を完全に可視化します。導入する PAM ソリューションは、人間のユーザーとワークロードによって使用されるすべての特権を把握できるものであることが必要です。この可視性が確立したら、既定の管理者アカウントを排除して最小特権の原則を適用します。
  2. 特権アクセスのガバナンスと制御を行います。特権アクセスに関して常に最新の情報が得られることと、特権の昇格に対する制御を維持することが必要です。制御不能になって組織のサイバーセキュリティを危険にさらすことがないようにするためです。
  3. 特権アクティビティを監視および監査します。特権ユーザーの行動について、どのようなものが正当かを定義するポリシーを制定し、そのポリシーに違反する行動を特定します。
  4. PAM ソリューションを自動化します。何百万もの特権アカウント、ユーザー、資産に対して拡張することができ、セキュリティとコンプライアンスを向上させることができます。発見、管理、監視を自動化して管理のタスクと複雑さを減らします。

IT 部門の実情に応じて、導入した PAM ソリューションを最初はそのまま使用し、徐々にモジュールを追加してより大きな機能、より優れた機能をサポートすることもできます。また、コンプライアンス規制を満たすためのセキュリティ制御の推奨事項も検討する必要があります。

PAM ソリューションを セキュリティ情報およびイベント管理 (SIEM)  ソリューションと統合することもできます。

Priviledged Access Management のソリューション

テクノロジだけでは、組織をサイバー攻撃から守るには不十分です。人、プロセス、テクノロジを考慮するソリューションが必要です。

Microsoft Security の  ID およびアクセス ソリューション が、すべてのユーザー、スマート デバイス、およびサービスのコネクテッド ワールドへのアクセスを保護することによって、どのように組織を保護するのかを説明します。

Microsoft Security についてさらに学ぶ

ID およびアクセスのソリューション

組織を保護するためにすべてのユーザー、スマート デバイス、サービスに対して安全なアクセスを実現します。

詳細情報

Priviledged Identity Management

重要な操作へのアクセスを制限して、管理者アカウントのセキュリティを確実に維持しましょう。

詳細情報

条件付きアクセス

従業員のセキュリティを維持するために、粒度の高いアクセス制御をリアルタイムの適応型ポリシーで行います。

詳細情報

よく寄せられる質問

  • ID およびアクセス管理 (IAM) は、誰が、どのリソースに、いつ、どこで、どのようにアクセスするかを制御するルールとポリシーで構成されています。これには、パスワード管理、多要素認証、 シングル サインオン (SSO)、ユーザー ライフサイクル管理が含まれます。

    Priviledged Access Management (PAM) は、特権アカウントを保護するために必要なプロセスとテクノロジに関係があります。これは IAM のサブセットであり、特権ユーザー (標準ユーザー以上のアクセス権を持つユーザー) がシステムにログインした後のアクティビティを制御および監視できるようにするものです。

  • 堅牢なセッション管理は PAM のセキュリティ ツールの 1 つであり、特権ユーザー (組織内の、システムやデバイスへのルート アクセス権を持つ人) がログインした後に何をしているかを知ることができます。その結果として生成される監査証跡を見ると、特権アクセスの偶発的または意図的な誤用がわかります。

  • Priviledged Access Management (PAM) は、組織のセキュリティ態勢を強化する目的で使用できます。組織のインフラストラクチャとデータへのアクセスを制御し、システムを構成し、スキャンして脆弱性を見つけることができます。

  • PAM ソリューションのベネフィットとしては、セキュリティ リスクの緩和、運用コストと複雑さの縮小、組織全体の可視性と状況認識の向上、規制コンプライアンスの強化などがあります。

  • 組織に導入する PAM ソリューションを決定するにあたっては、そのソリューションに多要素認証、セッション管理と Just-In-Time アクセス機能、ロールベースのセキュリティ、リアルタイム通知、自動化、監査とレポートの機能が含まれていることを確認してください。

Microsoft Security をフォロー