見出し画像

【前編】その特権アカウント危ないかも!特権 “アクセス” 管理で対策してみませんか!?

Keita Fujiwara

皆様こんにちは。日本IBMの藤原です。

いきなりですが皆さん

  • ご自身の組織では特権アカウントのリスク管理はどのように行っていますか?

  • エクセルなどでアナログな台帳管理していませんか?

  • リスクは想定されていますか?

  • 特権アクセスまで管理できていますか?

セキュリティ侵害において全体の8割で特権アカウントの情報が狙われている、またインシデントの内4割は特権アカウントが関連するという調査結果があります。
権限の強力さから攻撃者にとって特権アカウントは非常に狙いたくなる魅力的な標的ということになります。
また、昨今の急速なデジタル化により利用システムが増加し、それに合わせて特権アカウントも増えますが、それらすべて管理するのは簡単なことではありません。

ということで今回は特権アカウント保護の重要性について書いていきたいと思います。

特権アカウントとは?


特権アカウントは一般的なユーザアカウントよりも上位の権限を持っている特殊なアカウントのことを指します。
よくある例として、Windowsの「Administrator」やLinuxの「root」が該当し、管理者はこのアカウントを使ってユーザやディレクトリの管理、データの書き換えなどを行います。
特権アカウントは操作範囲が広いため、リスクの観点で利用者やアクセス情報は限られた人にだけ公開されるなど厳重に取り扱われるのが一般的ですが、管理において課題もあります。

特権アカウント管理の課題


・システマチックな管理が難しい


特権アカウントはADやIDaaSのように集約して管理するアカウントとは異なり、各システムに存在しています。
セキュリティへの関心が高まった現在において、特権アカウントを管理していないことはないと思いますが、エクセル管理といったアナログな管理のみというケースは考えらます。
その場合ログイン情報が記載されているドキュメントが漏れるだけで特権アカウントが不正利用される可能性があります。

・パスワード変更の不徹底


特権アカウントはパスワード/SSHキーの変更が徹底されていないことがよくあります。
これらが徹底されていない場合、万が一漏洩してしまった場合に内部システムへのアクセスを許してしまう可能性があり、定期的な変更等の対処が重要です。

・MFAの不適用


ワンタイムパスワードなどに代表されるMFA(多要素認証)はユーザ本人であることを証明し、アカウントのセキュリティを強力にする一つの手段ですが、特権アカウントにまで適用されているケースはあまりありません。

特権アカウント管理と特権アクセス管理


特権アカウント管理と特権アクセス管理は似ている言葉ですが特権アカウントを考えるうえで違いを理解することは重要です。
特権アカウント管理はアカウントがどこで、何の目的で使われていているか、またアカウントの管理を行うことを指しますが、特権アクセス管理は加えて特権アカウントの操作内容、アクセスデータといったアクセス状況の管理・制御を実施します。
ここまで実施すると万が一不正にアカウントが操作されてしまっても、操作内容を後追いする、セッションをリモートで切断するなどよりセキュリティ効果が高まるほか、運用管理性も向上します。

IBMならご支援できます!


ここまでお読みになり特権アクセス管理が重要であるか、少しご理解していただいたと思います。
冒頭でお話ししたように多くの攻撃で特権アカウントが狙われていることから、特権アカウントに対しより強力な保護、監視体制を組むことでかなり攻撃のリスクを低減することができます。

そして、弊社IBM Securityは包括的な特権アクセス管理ソリューション(Privilege Access Management:PAM)としてIBM Security Verify Privilege Vaultをご提供可能です!!
IBM Security Verify Privilege Vaultに関する情報は次回の記事でご紹介させていただきます。

弊社公式ホームページはこちら。
IBM Security Verify Privilege Vault - 概要 - 日本 | IBM

もし特権アクセス管理にご興味ありましたら、ぜひ次回の記事もお読みください。
お読みいただきありがとうございました。

本記事および関連ページをお読みになり、もし気になる点などございましたら是非とも下記お問い合わせフォームにてご記載いただければ幸いです。
問い合わせフォームはこちら

日本アイ・ビー・エム株式会社
テクノロジー事業本部 デジタルセールス事業部 第二デジタル営業部
藤原 圭汰
Email:Keita.Fujiwara@ibm.com
LinkedInでも情報発信しています。お気軽につながりお待ちしております。
https://www.linkedin.com/in/keitafujiwara-2535a1240

この記事が気に入ったらサポートをしてみませんか?