特権アカウントは標準アカウントよりも適切に保護する必要があり、特権アカウント管理(PAM:Privileged Access Management)では、すべての特権アカウントを管理するための厳格な計画とITインフラストラクチャを必要とします。
「特権アカウントの概要」については、こちらを参照ください。
→keyspider.co.jp →クラウドID管理のリスクと課題「 特権アカウント の概要」
「データ侵害の74%は特権アカウントへのアクセスに関係している」というデータもあります。
特権アカウント管理を確実に実施するためのベストプラクティスを紹介します。
コンテンツ
特権アカウント管理のベストプラクティス 20選
①確実な特権アカウント検出プロセスを確立
重要データにアクセスできるアカウントを指定するためには、オンプレミスとクラウドの両方で、すべての特権アクセスを識別する必要があります。
これには「個人アカウント」「共有アカウント」「ローカル管理者アカウント」「ドメイン管理者アカウント」などのすべてが含まれます。
システムやアカウントは常に更新されているため、継続的プロセスを確立することが重要です。
②特権アカウント用パスワード保護ポリシーの導入
「不正アクセス防止」「規制準拠実証」のために、特権アカウント用パスワード保護ポリシーを導入します。
特権アカウントを使用および管理するすべての人が理解して受け入れることができる明確なポリシーを作成することが重要となります。
③最小特権の原則
攻撃者が機密データにアクセスするリスクを減らすために、アカウントにはタスク実施のために必要な最低限の特権のみを与えます。
④適切なPAMソリューションを選択
適切なPAMソリューションを導入することで、専門的なセキュリティ評価が可能となります。
特権アカウントが保護しているものを特定し、「セキュリティポリシー」「制御」「プロセス」を客観的に詳細化することにより、一定のレベルまでセキュリティを向上させることができます。
特権アカウントの「包括的可視性確立」「適切なポリシー制定」「最小限特権実装」「厳格なアクティビティ監視」などが実施されることで、特権アカウントの悪用を防ぎ、組織内外のセキュリティリスクに対して効果的に取り組むことができます。
⑤すべての特権アカウントの最新インベントリを維持
特権アカウントのインベントリを最新の状態に保ちます。
各特権アカウントについて「所有者」「連絡先情報」「アカウントが関連付けられているシステムコンポーネント」などについて正確に把握しておく必要があります。
対象アカウントの例
・ActiveDirectoryグループのドメイン管理者アカウント
・UNIXサーバのrootアカウント
・メインフレームシステムのシステム管理者
・データベース管理者アカウント
・ビジネスアプリケーション管理者アカウント ←「SAP」「リスクの高いアプリケーション」
・ネットワークデバイス管理者アカウント ←「ファイアウォール」「ルータ」「電話スイッチ」
⑥特権アカウントの共有禁止
特権アカウントの共有を禁止します。
特権アカウントをパーソナライズすることにより、管理者に責任を負わせる方法も有効です。
他に手段がない場合のみ、特権アカウントの使用を許可するようにします。
⑦特権アカウントの数を最小限に維持
理想的には「1つのシステムに対して1つの特権アカウントのみが存在」するようにします。
⑧パスワードポリシーの厳格適用
・デフォルトパスワードは使用禁止
・アプリケーション(アプライアンス)でハードコードされたパスワードの使用を避ける
・特権アカウントのパスワードを定期的に変更
・退職したスタッフがシステムを危険にさらさないように特に注意して管理 など
⑨特権アカウントに多要素認証を実装
特権アカウント認証を「パスワードのみ」で実施するのはリスクがあります。
多要素認証を設定して、認証を強化する必要があります。
多要素認証の例
・ハードトークン認証
・ソフトトークン認証
・プッシュ認証
・NFC Bluetoothビーコン認証
・GPS(位置情報)認証
・指紋認証 など
⑩職務分離の原則
多くの特権アカウントには制限がなく、すべてに対して完全にアクセスできてしまうため、大きなリスクとなります。
「特定システム(アプリケーション)に対してすべての特権アクションを実行できるスタッフは存在しない」というポリシーである『職務分離の原則』を徹底する必要があります。
アクセス制限設定例
・Active Directoryでの「アクセス許可の委任」
・ロールベースアクセス制御(RBAC:Role Based Access Control)設定 など
⑪特権昇格プラクティス
普段は通常アカウントを使用して、追加アクセス権を必要とする場合は、特権アクセス管理システムのチケットを使用して、要求と承認のプロセスを実施します。
承認されたら、指定されたタスクを実行するために必要な期間だけユーザーの特権を昇格させます。
⑫特権アクティビティの監視
特権アカウントに対する脅威の1つとして「正当な特権アクセスを持つ担当者による組織内からの侵害」があります。
この脅威を防ぎ軽減するためには、特権セッション監視機能を実装して、疑わしい特権アクティビティを監視する必要があります。
特権ユーザー行動分析ソリューションは、「ユーザーアクティビティ」「アカウント行動」「アクセス行動」「資格情報の機密性」「ユーザー行動を考慮した機械学習アルゴリズムに基づく行動ベースライン」などを使用して、特権アクティビティに関する洞察を得るのに役立ちます。
⑬特権アクティビティのリアルタイム監視
組織は、特権アカウントが実行しているすべてのアクションを追跡する必要があります。
一部の高度なソリューションでは、「特権アカウントアクティビティのリアルタイム監視機能」および「セッション記録再生機能」を利用できるものもあります。
⑭特権アクセス保護を社外サービスへ拡張
社外システム(サービス)に関連付けられている特権アカウントについて、特権アカウント管理ポリシーに従って保護する必要があります。
社外システム(サービス)の例
・ソーシャルメディア
・SaaSアプリケーション
・パートナー企業システム
・顧客システム など
⑮クラウドベース特権アカウントの保護
「クラウドベースの特権アカウント」に対しても、特権アクセス管理ベストプラクティスを適用します。
⑯特権アカウントの定期的リスク分析
すべての特権アカウントについて、定期的かつ継続的にリスク評価を実施します。
各特権アカウントがもたらす危険性を評価し、順次「リスクの高いアカウント」から重点的に保護します。
⑰サービスアカウントの保護
多くの場合、サービスアカウントには「データとインフラストラクチャに対する昇格特権」があるため、自動管理によって保護する必要があります。
⑱特権アカウント管理ポリシーを文書化
「特権アカウント管理に関するルールやプロセス」が明示的に文書化されている必要があります。
責任者によって署名されることで、強制力が発生するようにします。
⑲不要アカウントの完全削除
標準のベストプラクティスでは「必要な場合にのみ特権に昇格させる」となりますが、「アカウントが不要な場合は完全に削除しておく」とすることで、さらにリスクを低減できます。
⑳スタッフトレーニング
多くの場合、エンドユーザーのセキュリティリテラシーが、ITシステム保護において最も弱い部分となります。
スタッフに対して、「アカウントを保護するために必要な情報」を提供し、「サイバーセキュリティ慣行の重要性」について周知することが重要となります。
日本企業向けクラウドID管理サービス「Keyspider」とは?
Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。
「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。
参考元サイト