Skip to main content

特権ユーザーを管理する

学習の目的

この単元を完了すると、次のことができるようになります。

  • 特権アクセス管理 (PAM) について説明する。
  • 特権ユーザーの責任を特定する。
  • 特権使用に関連するリスクを定義する。

特権アクセス管理 (PAM) とは?

アクセス制御はサイバーセキュリティの中心となる原則です。組織のセキュリティポリシーを実装するには、アクセスを制御します。アクセス制御の決定により、誰がアクセス権を付与するのか、何へのアクセス権を付与するのか、アクセス権と制限を適用する方法が管理されます。誰かがこうしたアクセス機能の設定と監視を担当する必要があります。その場合、そのユーザーは特権アクセスを持っていると言います。 

特権アクセス管理 (PAM) とは、ユーザー、アカウント、プロセスやシステムのアクセスレベルと権限を制御するために組織が使用する一連のサイバーセキュリティ戦略とテクノロジーです。組織は、セキュリティ侵害によって発生する可能性のある損害を防止したり軽減したりするために、適切なレベルの特権アクセスを設計します。すべての攻撃は外部ソースから行われると考えたい気持ちは山々ですが、優れたセキュリティプロトコルでは、内部侵害の可能性や違法行為 (事故または過失) によって引き起こされる可能性も考慮に入れる必要があります。 

アクセスの管理では、最小特権の原則が安全なシステムを維持するための鍵となります。最小特権の原則とは、システムを設定するときに、業務に絶対必要な最小限の権限のみをユーザーに付与することを意味します。この最小限の権限が、ここで言う最小特権です。 

特権ユーザーとは?

アクセスレベルを割り当てるには、割り当てを担当するユーザーが必要です。このユーザーを特権ユーザーと言います。特権ユーザーは、システムを変更したり、機密性の高い情報を表示したりするための管理者権限を持ちます。 

特権ユーザーには以下を含みます (ただし、これに限りません)。

  • オペレーティングシステム管理者とネットワークシステム管理者: オペレーティングシステムやネットワークデバイスの管理者権限を持つユーザー
  • データベース管理者: 1 つ以上のデータベースの管理者権限を持つユーザー
  • ドメイン管理者: ドメイン上のすべてのワークステーションとサーバーの特権アクセスを持つユーザー
  • アプリケーション管理者: 1 つ以上のアプリケーションの管理者権限を持つユーザー
  • ローカル管理者: メンテナンスを実行したり、新しいワークステーションを設定したりする IT スタッフなど、ローカルシステムの管理者アクセス権を持つユーザー

特権アクセスを持つユーザーは、組織のビジネスとデータを制御するシステムやデバイスにアクセスするため (最も大きなアクセス権)、そのアクセス権に伴うセキュリティ上の責任を理解していることが絶対に不可欠です。特権ユーザーは組織とそのデータへのアクセスポイントであるため、ここ重要なのは、外部からと内部からの両方のセキュリティ脅威を警戒することです。 

要塞化された城の入り口で、システム図の前で城の鍵を持っている特権ユーザー。

特権ユーザーができること

特権ユーザーは、他のユーザーと同様に、職務に応じてさまざまなレベルのアクセス権を持ちます。組織には次のことを実行できるユーザーが必要であるため、特権ユーザーが必要となります。

  • ソフトウェアをインストールする。
  • システムプロセスをインストールまたは変更する。
  • システム構成を作成または変更する。
  • システムアクセス制御を作成または変更する。
  • ユーザーをサポートするために、リモートアクセステクノロジーを使用してユーザーの画面を表示または制御する。

つまり、一部の特権ユーザーは、組織のデータの多くにアクセスしたり、本番環境制御やその他のネットワーク設定を変更したりする権限を持ちます。特権ユーザーは、組織のネットワーク、デバイス、サーバーにもアクセスできます。特権ユーザーは、ネットワークに対して大きなアクセス権を持ち、適用される制御が少ないため、他の非特権ユーザーを制限する制御を回避できることが多くあります。特権ユーザーは、その特権の性質上、セキュリティリスクとなり得ることに常に留意する必要があります。 

特権ユーザーが注意しなければならない理由

特権ユーザーは、アクセスレベルの高さゆえにセキュリティリスクとなります。特権ユーザーは、組織のセキュリティの番人であると同時に最大の負債となる可能性があります。

適切な意図を持つ特権ユーザーでさえもリスクをもたらします。単純なフィッシングを例にとってみましょう。昇格されたアクセス権を持つシステム管理者やネットワークエンジニアが悪意のあるリンクをクリックすると、そのアクセス権を持たない他のユーザーが同じリンクをクリックする場合よりも、組織全体に損害を与える可能性がはるかに高くなります。次は、このような特定の脆弱性を軽減する方法について説明します。

リソース

無料で学習を続けましょう!
続けるにはアカウントにサインアップしてください。
サインアップ ログイン
サインアップすると次のような機能が利用できるようになります。
  • 各自のキャリア目標に合わせてパーソナライズされたおすすめが表示される
  • ハンズオン Challenge やテストでスキルを練習できる
  • 進捗状況を追跡して上司と共有できる
  • メンターやキャリアチャンスと繋がることができる
今はしない