特権アクセス管理(PAM)とは?

特権アクセス管理 (PAM) は、組織のネットワークおよびシステム上の特権アカウントによってもたらされるリスクを制限するために設計されたセキュリティ手法です。 管理者アカウント、高い特権を持つアプリケーション アカウントとシステム アカウント、および広範なアクセス権または昇格されたアクセス許可を持つその他のアカウントは、組織にとって重大な脅威となります。 これらのアカウントに追加のセキュリティ制御を適用することで、組織はそれらに関連するリスクを管理します。

Network Security Musts Checklist 詳細はこちら

特権アクセス管理(PAM)とは?

特権アクセス管理(PAM)の重要性

ほとんどの場合、サイバー攻撃を成功させるには、 マルウェア または、攻撃の背後にいるサイバー脅威アクターが、一定レベルのアクセスまたはアクセス許可を達成するための攻撃を行います。 たとえば、効果的な ランサムウェア 攻撃には、組織が取得するために多額の身代金を支払う可能性が高い貴重で機密性の高いデータへのアクセスが必要です。

このように権限とアクセスを昇格させる必要があるということは、特権アカウントがサイバー脅威アクターの主な標的であることを意味します。 PAM は、攻撃者が検出されずに必要なアクセスを取得する可能性を減らすことができるため、不可欠です。 さらに、PAMの実装は、Payment Card Industry Data Security Standard(PCI DSS)などの規制に準拠するために不可欠です。 医療保険の相互運用性とアクセシビリティに関する法律 (HIPAA)、一般データ保護規則 (GDPR)、および機密情報への不正アクセスを防止することを主な目的とする同様のデータ プライバシー法。

特権アクセス管理のしくみ

PAM は 最小特権の原則これは、ユーザー、アプリケーション、およびシステムには、ジョブの実行に必要なアクセス許可のみを持つ必要があることを示しています。 さらに、システム管理者やネットワーク管理者など、特権アクセスを正当に必要とするユーザーは、この昇格されたアクセスを必要とするアクティビティにのみ特権アカウントを使用する必要があります。

確認後 最小権限の原則に基づくアクセスPAMは、不正アクセスや潜在的な誤用から特権アカウントを保護することに重点を置いています。 これには、これらのアカウントが強力な認証メカニズムを使用していることを確認し、正当なユーザーが企業ポリシーに準拠し、昇格したレベルのアクセスを悪用または乱用していないことを確認するための継続的な監視の実行が含まれます。 

PAM の利点

PAM の実装は、組織に次のような多くの利点をもたらします。

  • 攻撃対象領域の縮小: アカウント乗っ取り攻撃は、サイバー犯罪者が最も一般的に使用する戦術の一部です。 特権アカウントを制限してセキュリティで保護すると、攻撃者が必要なアクセス権を取得することがより困難になります。
  • 横方向の動きの軽減: 特権攻撃は、組織のネットワークを横方向に移動し、価値の高いデータやシステムにアクセスするために一般的に使用されます。 PAM を使用すると、組織はこの水平移動を検出してブロックできます。
  • 視認性の向上: 特権アカウントは、組織のネットワーク内で危険なアクションを実行し、攻撃に使用される可能性があります。 これらのアカウントを管理および監視することで、組織のシステムがどのように使用されているかを詳細に把握できます。
  • Simplified Compliance: 機密データへの不正アクセスを防止することは、データプライバシー法の主な目標の1つです。 PAM の実装は、コンプライアンス プロセスにおける重要なステップです。

PAM のベスト プラクティス

組織内で PAM を実装するためのベスト プラクティスには、次のようなものがあります。

  • 最小特権を強制する: 最小特権の原則では、ユーザー アカウント、アプリケーション アカウント、およびシステム アカウントには、そのロールに必要なアクセス許可のみが必要であるとされています。 最小特権を適用すると、組織が管理およびセキュリティで保護する必要がある特権アカウントの数が最小限に抑えられます。
  • アカウントの一元管理: さまざまなデバイスにアカウントが多数存在すると、組織が特権アカウントの可視性と制御を維持することが困難になります。 ある シングル サインオン 企業リソースの(SSO)ソリューションにより、企業アカウントの一元的な可視性と管理が可能になります。
  • 使う 多要素認証 (MFA): パスワードなどの一般的な形式のユーザー認証はセキュリティが不十分であるため、攻撃者がこれらのアカウントを乗っ取って攻撃に使用できます。 MFAは、攻撃者にパスワードや、認証を試みるたびにワンタイムパスワード(OTP)を受信または生成するスマートフォンなど、複数の認証要素へのアクセスを強制することで、これをより困難にします。
  • 道具 Zero-Trust Network Access (ZTNA): ゼロトラストセキュリティポリシーでは、企業のデータやリソースに対するすべてのアクセス要求をケースバイケースで検討することが義務付けられています。 これにより、すべてのリクエストが正当であることを確認し、特権アカウントがどのように使用されているかを可視化し、組織はアカウントの侵害を示す可能性のある誤用や異常なアクティビティを監視できます。
  • セキュア認証クレデンシャル: ユーザー、アプリケーション、およびシステムは、サードパーティのアプリケーション資格情報、SSH キー、API トークン、およびその他の認証メディアへのアクセスが必要になる場合があります。 これらの資格情報は、侵害の可能性を最小限に抑えるために安全に保存して使用する必要があります。

How Harmony SASE Implements PAM

ハイブリッドワークやリモートワークのポリシーやクラウドベースのインフラを採用する組織が増えるにつれ、安全なリモートアクセスが不可欠になっています。 ただし、次のような多くのリモートアクセスソリューション 仮想プライベートネットワーク (VPN)には、PAMのサポートが組み込まれていません。 これにより、攻撃者がセキュリティで保護されておらず、監視されていない特権アカウントを利用するため、組織のシステムは悪用に対して脆弱になります。

Check Point’s プライベートアクセスZTNA implements PAM and SSO, including the ability to integrate with identity providers, built-in management of encryption and authentication keys, and secure credential vaulting. As a ZTNA solution, How Harmony SASE uses granular security controls to allow or block access requests on a case-by-case basis, limits user application visibility based on need-to-know to minimize lateral movement, and offers real-time security monitoring and policy enforcement.

気軽に 無料デモに申し込む of Check Point Harmony SASE to see the security benefits of PAM for yourself.

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK