BeyondTrust社白書 “PRIVILEGED PASSWORD MANAGEMENT EXPLAINED”より
1 はじめに
ときに特権資格情報管理、或いは企業パスワード管理とも呼ばれる特権パスワード管理とは、特権を持つアカウントやサービス、システム、アプリケーション、マシン、その他もろもろに関する資格情報を安全に制御する手順と技法を指します。特権パスワード管理の最終目標は、昇格したアクセス権を与えるあらゆる資格情報を特定し、安全に保管し、一元管理して、リスクを軽減することです。特権パスワード管理は、最小権限の法則の適用と併せて効果を発揮し、すべての組織の特権アクセス管理(PAM)製品の基本的な要素となるべきものです。
数十年前は、企業全体でほんのわずかな資格情報だけを管理すれば十分だったかもしれませんが、昨今の環境の複雑さを考えると、異なる種類の特権アカウント(ドメイン管理者やシステム管理者から管理者権限を持つワークステーションに至るまで)、オペレーティングシステム(Windows、Unix、Linuxなど)、ディレクトリサービス、データベース、アプリケーション、クラウドインスタンス、ネットワークハードウェア、モノのインターネット(IoT)、ソーシャルメディアなど複数の形態に向けた特権の資格情報が必要だということになります。
図1:特権パスワード管理の代表例
ほとんどの組織は、さまざまな種類の特権パスワード管理「ソリューション」に頼っています。これは、単純なパスワード追跡を行うためのExcelのスプレッドシートだけの場合もあれば、昇格した特権アクセス権を与える企業の資格情報の全てについて、特権アカウントと資格情報の発見や登録、アクセス制御、一元保護と一元保管、変更、警告、レポーティング、統制などを自動化する高度な企業パスワード管理ソリューションの場合もあります。
この白書の守備範囲外ではありますが、それぞれの資産のための個人的な特権資格情報を制御するチームパスワード管理ツールも、組織には役に立ちます。こうした個人的なパスワード管理者は、重要な組織の資格情報がそれぞれの場面で保護されるようにし、使っているリソースにユーザを自動ログインさせてくれることもあるのです。
2 特権パスワードとは?
パスワードの基本的な定義は、権限を持つユーザや処理を不正なユーザと区別する(アクセスを許可する目的で)ことを意図した単語や文節です。特権パスワードは、アカウント、アプリケーション、システム全体でアクセス権と許可を昇格させることができる資格情報のサブセットです。高い特権を持つアカウントパスワード-LinuxとUnixでのrootやWindowsでのadministratorなど-はよく、「IT王国への鍵」と称されますが、それは認証されたユーザに対し、組織の最も重要なシステムとデータの全てにほぼ制限なく特権アクセスできる権利を与えるからです。こうした特権に備わっている力はこれほど強いので、内部者は濫用しがちになり、ハッカーの格好の標的にもなりやすいのです。Forrester Researchの試算では、セキュリティ違反の80パーセント以上に特権資格情報が絡んでいるといいます。