Privilege Management for Windows

Privilege Management for Windows

Windowsの操作から余剰に付与された特権を除去

新型コロナウイルス対応でのリモートワークについての考慮点

Privilege Management for Windows

セキュリティとユーザビリティの両立を高いレベルで実現

77%の重大脆弱性は特権排除でリスクを緩和可能

脆弱性は現在のサイバー攻撃での主要なターゲットの一つです。マイクロソフト製品では2019年の一年間で858件の脆弱性が認識されましたが、その中で「重大」とされる脆弱性の77%は特権を除去することで緩和可能というデータがあります。

業務効率を下げることなく、高いセキュリティを保つことを可能にします。

Windows PCのユーザーが管理者権限を持っていれば、特権が必要な操作を逐一申請する必要がなく業務効率は向上しますが、セキュリティリスクは上昇します。一方、一般ユーザー権限だけであればセキュリティリスクは抑えられますが、特権を必要とする操作の都度、サポート担当者の業務負担は上昇します。

Windows Serverでも同様のことが言えます。ユーザビリティを優先させると正当な操作以外も実行可能になるリスクが生じ、セキュリティを優先させるとサービスを再起動するだけでも特権が必要となってしまいます。

Privilege Management for Windowsは、セキュリティとユーザビリティの両立を高いレベルで実現するソリューションです。ユーザーに特権を付与する代わりに特権を必要とする操作やアプリケーションを制御することで、従来管理者の介在を必要としていた操作を可能にし、同時に故意 / 過失に関わらず発生しうる特権使用が前提になるセキュリティインシデントを防止することができます。

 なぜ「特権」を排除しなければならないのか?

10件中9件の脆弱性は過剰な特権に関連
80%の侵害は特権の悪用か誤用の結果
28%の侵害は内部から
62%の企業は特権アクセスの十分な追跡をしていない

 セキュリティとユーザビリティの両立

セキュリティとユーザビリティの両立

  •  制約少ない(でも生産性高い)

    • 全てのシステム管理者はアドミン権限を付与される
    • アドミン権限を与えたらすでに最小権限ではなくなる?
    • セキュリティは脆弱になり脅威は常に上昇

  •  制約過剰(でも安全)

    • 全てのシステム管理者は標準ユーザーアカウントのまま
    • アドミン権限なしではシステム管理者は業務が行えない
    • サーバはほぼ管理不可能に

Privilege Management for Windowsが解決!

システム管理者は承認済みの特定のタスクにのみ管理者権限が付与される
安全な最小権限環境下で業務を行うことができます

生産性を維持しながら管理者権限を削除

生産性を維持しながら管理者権限を削除

きめ細かいポリシー制御に基づき、生産性を低下させずに、標準ユーザー向けにアプリケーションに対する権限を昇格させます

セッションを監視&監査

アプリケーション起動を監視&監査

セッションを監視、監査して、アプリケーションの不正な使用を検知します

特権ユーザの行動を分析

特権ユーザの行動を分析

特権使用イベントを収集し保管することでユーザーの操作の分析を支援します

メリット

ベストプラクティス基盤でセキュリティとユーザビリティの両立を高いレベルで実現します。

  •  セキュリティの強化

    • 管理者アカウント使用を回避
      Windows資産での、故意、過失、および間接的な特権の誤用を防止します。
    • 疑わしいアクティビティのブロック
      ソフトウェアのインストールや使用、OSの設定変更を強制的に制限します。
    • 水平移動の追跡と防止
      ルールを利用し、ユーザーロールと対象のリソースに基づいて異常なユーザーアクティビティを追跡して防止します。
    • 認識の維持
      UACイベント、アプリケーションルール、昇格の要求、拒否されたアプリケーションなどを監視します。
    • 独自のChallange & Response Codeを使用
      管理者のログイン情報を使用せず、申請と許可を独自のコードを発行することで許可した操作以外への悪用をを回避できます。

  •  コンプライアンス遵守と効率化

    • リスクの把握と伝達
      特権が使用された操作イベントを継続に監査するための情報の一元化と注意すべきイベントを認識しやすいコンソールを提供します。
    • 生産性の確保
      すべてのユーザーにデフォルトで標準権限を設定し、管理者の資格情報を必要とすることなく、特定のアプリケーションやタスクで特権を昇格できます。
    • 容易なポリシー作成および管理
      Active Directoryグループポリシーか、クラウド上のSaaSでポリシーを管理します。ドメイン参加以外のWindows資産もサポートします。
    • 迅速なルールの作成
      イベントとして上がってきたアプリケーションの属性情報を利用して、必要なルールを容易に設定できます。

特長

最小権限の原則の適用

最小権限管理

きめ細かなポリシーベースの制御に基づき、標準ユーザー向けにアプリケーションの管理者特権を昇格させます。必要十分のアクセス権を付与することで攻撃面が限定されます。

シームレスなアプリケーション制御

シームレスなアプリケーション制御

幅広いルールの設定、高度なユーザーに対する承認の自動化(詳細な監査証跡によって保護)、チャレンジレスポンスコードの利用が可能な、柔軟なポリシーエンジンを使用して、信頼ベースのアプリケーションホワイトリストを提供します。

監査とガバナンス

監査とガバナンス

プログラムの実行や特権使用のイベントを取得してコンプライアンスレポートを簡素化します。未承認のソフトウェアがインストールされないようにし、悪用につながる可能性がある回避策やギャップをなくせます。