システム管理者のログイン情報を管理する
学習の目的
この単元を完了すると、次のことができるようになります。
- 特権アクセス管理システムを定義する。
- 最小権限の法則を説明する。
特権アクセス管理
パスワードマネージャーは個人のパスワードの生成と保護には適していますが、特権ユーザー (管理ユーザー) のログイン情報を保護するにはさらに安全なシステムが必要です。特権ログイン情報とは、複数のアカウント、アプリケーション、システムにわたって高いアクセス権と権限を提供するログイン情報の一部 (パスワードなど) です。特権パスワードはユーザー、アプリケーション、サービスアカウントなどに関連付けることができます。
特権アクセス管理 (PAM) ソリューションは、パスワードや暗号化鍵 (プレーンテキストを暗号化 (またはスクランブル) するアルゴリズムと組み合わせて使用する言葉、数字、フレーズ) などの秘密を保存する方法です。PAM ソリューションでは一元化されたツールを使用して特権アクセス権の管理、委任、監査を行います。PAM は組織が最小権限の法則を実装するのに役立ちます。この原則では、ユーザーに業務に必要な最低限のアクセス権を付与します。
特権アカウントのパスワードポリシー
システムを保護するために組織は特権アカウントのパスワードに関する明確なポリシーを作成して適用し、特権アカウントを使用し管理するすべての関係者と共有する必要があります。
ユーザーがアクセスするアカウントとその他のシステムがアクセスするアカウントの両方について特権アカウントのパスワードポリシーを作成することをお勧めします。ユーザーのアカウントに関しては、長いパスフレーズと多要素認証 (MFA) の義務付けをポリシーに含める必要があります。
パスワードローテーション標準では、すべてのアカウント、システム、ネットワーク接続されたハードウェアデバイス、アプリケーション、サービスのパスワードの体系的なローテーションを定めることができます。ローテーション標準にはパスワード更新時の関係者への自動通知を含める必要があります。
最小権限を実装する
セキュリティとデータ保護にとって境界の防御だけでは十分ではありません。政府と民間企業のどちらのシステムでも、ネットワークログイン情報が侵害されたためにデータが侵害されるという事例が後を絶ちません。そのような事例では攻撃者は機密データや非公開レコードにアクセスするために特権アカウントへのアクセスを狙っています。
管理者ログイン情報を設定するときには、最小権限の法則 (POLP) を実装することを検討してください。セキュリティのトレーニングでは何度も POLP が取り上げられますが、それは POLP がシステムを保護するための基本的な方法の 1 つであるためです。復習になりますが、最小権限の原則とは、アクセス権とプログラムの特権を業務に必要なもののみに制限するという IT セキュリティの設計原則のことです。つまり、すべてのドアに使える鍵を持っているか、特定の部屋のみを開くことができる鍵を持っているかの違いです。
最小権限の実装の一環のとして、システムエンドポイントへの完全なローカル管理者アクセス権を削除します。たとえば、バックアップを作成する権限のみが必要なユーザーアカウントにはソフトウェアをインストールする権限は必要ないため、そのアカウントにはバックアップとバックアップ関連のアプリケーションのみを実行するアクセス権を付与し、新しいソフトウェアのインストールなどのその他の権限はブロックします。
特権管理を簡単にするために、ユーザー、アクセス権を要求している対象、その要求のコンテキストに基づいて最小権限の付与を自動化することをお勧めします。ユーザーが業務に必要なシステムのみにアクセスできるようにし、情報への全般的なアクセス権は付与しないようにします。
たとえば、人事 (HR) 部門の Sally は、グローバルな商談に取り組んでいる財務部門の Bilal のデータベースにはアクセスできないようにする必要があります。適切な特権アクセス管理とは、Sally が自分の業務に必要なすべての HR レコードへのアクセス権を持ち、Bilal も自分の業務に必要なすべての財務レコードへのアクセス権を持ちながら、2 人はお互いのファイルへのアクセス権は持たないということです。
特権アクセス管理 (PAM) ソリューションを選択する
世の中には多数の PAM ソリューションが存在し、提供される機能やリリースオプションもさまざまです。どれを実装するかを決める前に、いくつかをテストして評価できます。PAM の実装で重要なことは、使用事例とユーザープロファイルがしっかりと定義されていることです。PAM に基づいてサービスアカウント管理、検出機能、アセットと脆弱性の管理、分析などへのアクセス権を割り当てます。
このようなソリューションのインストール、設定、管理を行うためのトレーニングを受けたセキュリティスタッフを維持するリソースがない場合は、その機能を代行するマネージドサービスプロバイダー (MSP) を利用することを検討します。
継続的に特権アカウント検出を実施する
特権アクセスを保護する重要なステップの 1 つは、サーバー、クラウドサービス、データベース、その他のシステムに対するすべての有効な特権アクセスを識別することです。これによって、特権アカウントが有効であることを確認するとともに、有効でないアカウントを特定することもできます。たとえば、人が部門間で異動したり退職したりしたときには、特権の付与だけではなく削除も追跡することが重要です。
特権アカウントは自動的なメカニズムによって常時監視して、悪意ある活動や誤った活動を識別する必要があります。この活動を分析することでユーザーの行動に関するインサイトを得て、アクセスシステムが最新であり最小権限が適切に適用されていることを確認できます。
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点されるものではありません。左側の説明を右側の対応する用語にドラッグしてください。全アイテムを結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[リセット] をクリックしてください。
順調です!
リソース
- 外部リンク: National Institute of Standards and Technology (NIST): Privileged Account Management Guide (米国標準技術局 (NIST): 特権アカウント管理ガイド))
- Trailhead: ID とアクセス権を管理する