5 特権パスワード管理のベストプラクティスと利点
特権パスワード管理の最終的な任務は、特権の資格情報のライフサイクルを管理して、リソースへのユーザやアプリケーションやマシン、ツールなどの安全な認証を実現し、特別な処理を行えるようにすることです。ほとんどの組織は、企業パスワード管理の手法において、手動と自動の両方の手段を何らかの形で組み合わせています。システムやリソースに関する内部の知識を活用する内部者という形態の脅威と、自動化されたハッキングのツールキットを備えた攻撃者という形態の脅威の両方がある状況で、パスワードを管理するのに手作業の処理に依存している組織は大きな不利益をこうむります。簡単に言えば、攻撃者が完全にすべてを包括する自動化ツールを使っているなら、こちらもそうすればいいということになるのではないでしょうか。
この項では、特権アカウントと資格情報の管理をもっと進化させるために注目すべき8つの基本領域について述べます。おそらく、全体的な企業パスワード管理は、段階的な手法をたどった先に実現できるでしょう。読み進めるうちに、どこから手をつけ、どう進めればいいかというヒントが見えてくることと思います。
手動と自動のソリューションを組み合わせることによって、この8つの領域にそれぞれ断片的に取り組むこともできますが、最終的に完全に自動化された手段を取りたいのであれば、8つの異なるソリューションは必要ありません。実際、特権パスワード管理ソリューションによっては自動化機能を持ち、パスワード管理のライフサイクル全体で簡略化したワークフローを実現してくれるものもあります。
1 すべての特権アカウントを検出する
これには、オンプレミスとクラウドの両方のインストラクチャで使われる共有管理者、ユーザ、アプリケーション、サービスといったアカウント、SSH鍵、データベースアカウント、クラウドとソーシャルメディアのアカウント、その他の特権資格情報-ベンダーが使うものも-が含まれます。あらゆるプラットフォーム(Windows、Unix、Linux、クラウド、オンプレミスなど)、ディレクトリ、ハードウェアデバイス、アプリケーション、サービス/デーモン、ファイアウォール、ルーターなどで発見を行う必要があります。この処理ではまた、特権レベルやパスワード期間、ログオン日と有効期限、そのアカウントに依存したグループのメンバーシップとサービスなど、リスクを評価するのに役立つユーザアカウントの詳細情報を収集することも必須です。
検出によって、特権パスワードがどこでどのように使用されているかを明らかにし、以下のように、セキュリティの盲点と誤った使用法がわかるようにしなければなりません。
- 長期間放置された孤立したアカウント。これによってクラウドが攻撃者に基幹インフラストラクチャへの裏口を提供してしまいかねない
- 有効期限のないパスワード
- 特権パスワードの不適切な使用-複数のサービスアカウントで同じ管理者アカウントを使用することなど
- 複数のサービスでSSH鍵を再利用すること
- ハードコード化された資格情報を持つサービスアカウント、アプリケーションアカウントなど
検出によって得た知見を使えば、そのアカウントに関するポリシを見直し、アクセス許可を調整し直すことが可能になります。新しいシステムや企業アプリケーションは急成長する可能性が常にあるため、定期的に発見を行い、あらゆる特権資格情報が安全で一元管理されているようにしておく必要があります。
検出ソリューションは手動か自動か
自動化なしでは、記録にスプレッドシートを使い、複数のスクリプト言語やAPIなどを利用するというように、全体的な発見は極めて時間のかかる作業となるでしょう。そのうえ、この手法では資格情報が欠落し、セキュリティに隙間ができるなどということが頻繁に起こると思われます(詳細は、下記のアプリケーションパスワード管理の項をご覧ください)。サードパーティのソリューションがあれば、IPアドレス、ポート、システム、サービス、アプリケーション、クラウド、ソーシャルメディアのアカウントまで、スキャンを自動化することができます。手作業では未来永劫(人間の生きる年齢で数えれば)かかるような処理も、自動化ソリューションを使えばほんの数分に短縮することができるのです。
2 特権資格情報を一元管理のもとに置く
登録処理はパスワード作成の時点で、またはそのすぐ後、決まった手順として発見のためのスキャンが行われる際に行われるのが最も望ましいことです。自身のパスワードを個別に管理している個人やチーム(すなわちDevOps)の保管庫は、資格情報の拡散や人間のミスが発生しやすい場所です。すべての特権資格情報を一元管理し、制御し、保管しなければなりません。理想的なのは、パスワード保管庫がAES256のような業界標準の暗号化アルゴリズムをサポートしていることです。
手動の方法か自動化ソリューションか
特権資格情報の保管を暗号化されたデータベースに一元化し、しかもExcelのスプレッドシートで値を記録することも可能です。自動化された企業パスワード保管ソリューションなら、暗号化されたデータベースが作成され、そこからパスワードのライフサイクルを管理することができます。企業パスワード保管ソリューションを使い、パスワードの複雑さや独自性(資産やアカウントごとに異なるパスワードなど)、有効期限、変更、チェックインとチェックアウト、デフォルトパスワードの削除、その他の規則といった特権パスワード管理ポリシを自動的に強制実施することができます。このことによって、新しい特権パスワードを作成した際に、そのための資格情報の発見と登録が非常に簡単になるのです。
3 パスワード変更を有効にする
変更というポリシは、あらゆる特権アカウント、システム、ネットワーク化されたハードウェア、IoTデバイス、アプリケーション、サービスなどに対応していなければなりません。これによって、パスワードを再利用した攻撃に対する脅威の入口を減らすことができます。前に述べた通り、パスワードは独自性を持ち、再利用や使い回しが行われず、チェックインの際、または具体的な脅威や脆弱性に対応して、決められた頻度で組み替える必要があります。
パスワード変更は手動か自動か
Excelのスプレッドシートにある特権資格情報の値を変更して、それを関連するアカウントとシステムに手動でログインすることも可能です。拡張性は高くありませんが、単純な環境であれば、これである程度のパスワード管理は間に合います。ただし、ある種の資格情報(ハードコード化されたパスワードと鍵)の管理と変更は、おそらく不可能でしょう。企業パスワード保管ソリューションを使った自動化されたサードパーティの手法を使えば、すべて(数千から数百万)の特権資格情報を、ポリシに従って設定された間隔で定期的に変更させることが確実に行えます。さらに、企業パスワード保管ソリューションがあれば、アカウントが存在しているディレクトリでのパスワード変更を、パスワードが使われているシステム/デバイス/アプリケーション/サービスでの変更とシームレスに同期させることができ、停止時間が発生することを避けられます。
4 特権セッション管理を導入する
こうしたソリューションによって、特権アカウントと資格情報に対する完全な統制と信頼性が保証されます。特権セッション管理とは、特権セッションに対する監視と記録と制御のことです。IT担当者は、セキュリティに照らして特権動作を監視し、SOX、HIPAA、GLBA、PCI DSS、FDCC、FISMAその他の規格を遵守できるようにする必要があります。動作の監視には、Dual Control(特定のコマンドへのアクセスとその実行を承認する人を2人に分ける必要がある)、キー操作と画面の取得(ライブの映像と再生が可能になる)、セッションまたは生産性を止めずに疑わしいふるまいを記録し、ロックし、文書化する機能、その他もろもろの処理が手段が含まれることもあります。特権の分野全体で―従業員が行うものかベンダーが行うものか、人手によるものかまたは非人的なものかに拘わらず―あらゆるセッションを制御し、監視し、記録することができるようにしなければならないのです。
セッション管理ソリューションは手動か自動か
画面の記録など、手動で実施できる処理も確かにありますが、自動化されたソリューションを使えば、それを数百、数千といった規模の同時セッションでシームレスに達成することができます。その上、最適なサードパーティのソリューションなら、IT担当者が異常のあるセッションを特定し、一時停止し、ロックし、中止し、動作が適切であると判断できるようにするなど、特権セッションに対してきめ細かい制御を行う自動化されたワークフローが実現できます。