BeyondTrust社ブログ記事 “ICAM, CDM Programs Strengthen Government Endpoint Security” August 13, 2020 by Craig McCulloughより
米国では全省庁に適用できるリスク管理戦略、とりわけリモートアクセスの保護にまつわる戦略を導入する流れは、COVID-19 の流行前から始まってはいました。ただ、各省庁が大規模な形でリモートワークに対応する必要に迫られたために、この試みが加速したのです。
行政管理予算局(OMB)は、2019年5月、アイデンティティ、資格証明およびアクセス管理(ICAM)ポリシの更新版の公開に伴い、ネットワークの境界を越えたアイデンティティ中心の手法へと進展したセキュリティ制御を大々的に発表しました。OMBはネットワークの境界を強化することが大切なのは承知していましたが、「各省庁は、単に境界を出入りするアクセスを管理するだけでなく、連邦の資産にアクセスしようとするユーザや情報システムの試みに日々さらされるというリスクを管理する基盤として、アイデンティティを使うやり方へと転換を図る必要がある」というのです。
国立標準技術研究所(NIST)による手引きに沿ったICAMのポリシは、特権アカウントや管理者アカウントを保護し、管理し、監視すること、特に迅速に資格証明を呼び出したり破棄したりできる機能の重要性をよく認識しています。さらに、このポリシでは、各省庁が唯一の一体化されたICAMポリシ、プロセス、技術ソリューションのロードマップをそれぞれの業務遂行の必要性に合わせて定義したり管理したりすることを求めていますが、これは政府の米国持続的な診断と緩和(CDM)プログラムに沿ったものです。
当社のブログ、“Raising the Bar on Government Endpoint Security (政府機関のエンドポイントでセキュリティのハードルを上げる)”では、公共部門全体を通じ、今後リモートワークが定まった形になることは確かだと書き、政府機関がエンドポイント特権管理(EPM)を使ってどのようにエンドポイントのセキュリティを強化すべきかについて述べています。このブログではBeyondTrustの特権アクセス管理(PAM)ソリューションが政府のICAMとCDMのポリシにどのような形で準拠しているかについて述べることにします。
ICAMとCDMはネットワークの可視性を上げることに注力
米国国土安全保障省(DHS)の管理下にあるCDMプログラムの目標は、連邦政府が常に次のようなことを知っておくようにすることです。
1. 自分たちのネットワークに誰がいるか
2. 自分たちのネットワークに何が起きているか。
こうした2つのニーズに応えることは、連邦政府全体としてネットワークの可視性とデータ保護の基準を高め、強化するために重要です。各省庁がサイバーインシデントを効果的に監視し、防御し、迅速に対応するためには、このレベルの可視性を満たさなければなりません。CDMは、各省庁が資産やユーザやネットワークでの動作について組織全体の可視性を高めるためのツールの採用を後押しすることによって、この基準の達成を推進します。
BeyondTrustは、安定してすべてのCDM要件に対応できます。結果として、当社の特権アクセス管理プラットフォーム―安全なリモートアクセス、エンドポイントの特権の管理、特権資格情報の管理から構成される―では、各省庁は自分たちのネットワークに誰がいて、どこに接続し、どんなデバイスやIDがそこにあるリソースにアクセスしているかを見て、これを制御することができるのです。
BeyondTrustのPAMプラットフォームは特権管理に対して普遍的な手法を使い、特権を持ったセッションやユーザ、資産などの安全性を完全に網羅しています。この包括的な手法によって攻撃面は縮小され、横方向への移動は制限され、どんなタイプの攻撃者―内部者、部外者、マシン、マルウェア、人手による攻撃のすべて―に対しても、防御が可能となるのです。
BeyondTrustは、自身のソリューションに強力なアプリケーションプログラミングインタフェース(API)を構築しています。このAPIは幅広いツールやデバイスに結びつけられ、柔軟性の高いダッシュボードにデータを集めて交換し、リアルタイムで解析や統合ができるようにします。これはリモートやモバイルによるアクセスが人々の働き方の定番となっている現在の環境において、非常に重要なことです。
特権に関する全体像
この新しい方針ではまた、今の機能を評価し、新しい機能とソリューションへ移行する計画を策定するためのICAMを省庁規模で構築することが、省庁に対して指示されています。今の機能にある穴を発見するには、自分たちの組織内の特権アカウントで何が起きているかをより深く理解する必要があるでしょう。
組織中に散らばっている特権アカウントをすべて探し出すのは、ともすれば厄介な仕事になりがちです。企業や省庁の管理者は、自分たちの環境で特権アカウントがどう機能し、他のシステムと相互通信しているかを理解していないことが多く、サービスアカウントやアプリケーションアカウント、他のマシンアカウントなどの非ユーザアカウントでは特にそうです。
サービスアカウントはアプリケーションやサービスで使用され、オペレーティングシステムと通信する特権アカウントやローカルアカウントで、アプリケーションアカウントはアプリケーションで使用され、データベースにアクセスしたり、バッチジョブやスクリプトを実行したり、他のアプリケーションにアクセスできるようにするためのアカウントです。
第一のステップは、所属の機関にあるセキュリティの弱点を見つけることです。どんな資産やアカウントが攻撃を受けやすいか、どのような攻撃ベクトルを介して攻撃されるかということを特定するのです。BeyondTrustのソリューションはすべての特権アクセスに対する監査と監視を強め、組織が疑わしいセッションをすぐに特定して行動を起こす―例えば停止したり中止したりする―のに役立ちます。BeyondTrustのプラットフォームは、どのシステムやソフトウェアが昇格した特権で実行しているかを示し、また承認されていないアプリケーションがシステムにログインしようとすればそれを教えてくれるレポートを実行することができます。ITとセキュリティのチームはいつでも、自分たちのアカウントやアプリケーション、資産の範囲内で何が起きているか、特権がどのように利用されているかを見ることができるのです。
他の特権管理ソリューションは受動的な監視モードで動作し、数か月間データを集めてから管理者がどのアプリケーションを許可し、拒否するかがわかるということも多いものです。ところがBeyondTrustの手法では、デフォルトでアカウントの「特権を剥奪し」、特権を必要とする限定的なインスタンスへのアクセスのみ昇格させるのです。この目的は、特権アカウントの数を減らし、そうした特権の実行可能時間を制限することによって、脅威のベクトルを減少させることです。その結果、各機関はBeyondTrustのPAMを導入することですぐに利益が得られ、さらにその後も、結果をきめ細かく調整することができるのです。
特権アクセスの保護に関する全体的な概観
ICAM戦略で書かれているように、技術の進歩によってデジタルによる通信や業務処理がさらに増え、連邦政府には、より速く、信頼性の高い接続や操作が可能になる機会が与えられています。その一方、多くの人やデバイスが省庁のネットワークにアクセスするようになったために、連邦政府が国に対して仕事やサービスをうまく提供するのに、アイデンティティや資格情報の管理がますます重要になってきています。この点において、特にエンドポイントのデバイスがリモートで接続することが多く、ネットワークへの経路を広げてしまうことがある今、特権とリモートアクセスを保護することは最優先事項です。
Craig McCullough 公共部門 地域副社長(Regional Vice President)
Craigはテクノロジー業界で20年を超える経験を持ちます。はじめはワシントンDCで知的財産関連の事務弁護士としてキャリアを積み、次に国や州、地方の政府をサポートし、成長しつつあるテクノロジービジネスで指導者的な役割を果たしました。まぎれもなく業界のリーダーであり、頻繁に情報発信し、多くのメディアでインタビューを行い、たくさんの業界イベントでパネルディスカッションに参加しています。Craigは2018年にBeyondTrustのメンバーとして加わり、公共部門のチームを立ち上げました。