5 非人的なマシンの資格情報に対処する
端的に言って、これには、一元化されたパスワード保管庫からパスワードの使用を呼び出す(すなわち要請する)ように、アプリケーションやスクリプトを強制実施するサードパーティ製のアプリケーションパスワード管理または秘密情報管理のソリューションを導入する必要があります。APIコールを導入すれば、スクリプトやファイル、コード、組み込まれた鍵に対して制御を行うことができ、ハードコード化され、組み込まれた資格情報を排除することができます。これを実現できれば、ポリシの指示に従って、何度でもパスワード管理を自動化することができます。それに、アプリケーションパスワードやDevOpsの秘密情報を管理下に置き、改ざん防止措置が施されている保管庫でそれを暗号化することにより、資格情報とその基礎となっているアプリケーションやツールは、パスワードを固定化してコードの中で孤立させておくよりはるかに安全になるのです。
6 SSH鍵を制御する
NIST IR 7966は、企業や政府機関や監査役などに対し、SSH鍵の発見、変更、利用、監視に関する推奨事項を含め、SSHの導入に関する正しいセキュリティ統制の手引きを示しています。SSH鍵の扱いは、管理しなければならない鍵のペアが加わるという以外、他のパスワードと同じです。秘密鍵とパスフレーズを定期的に変更させ、それぞれのシステムが固有の鍵のペアを持つようにするのです。
SSH鍵の管理は手動か自動か
SSH鍵を使うために設定されたアカウントを特定するには、承認された鍵のファイルを隠された.SSHユーザフォルダに手作業で流し込めばいいのですが、それでもそのファイルにある公開鍵に合う秘密鍵を持っている人を特定する役には立ちません。手作業でSSH鍵を管理するのは、何の管理もしないよりはましですが、それほど複雑ではない環境であっても、手作業でのSSH鍵の変更は持続可能な戦略ではありません。そういう場合は、システムごとに固有の鍵のペアを生成し、頻繁に変更を行うためにサードパーティのソリューションを使うことを考えてはいかがでしょうか。自動化されたサードパーティのSSH鍵管理ソリューションなら、SSH鍵を作成して変更させ、SSH鍵の拡散を防ぎ、セキュリティを損なうことなくSSH鍵の生産性を高めるための処理を大幅に簡略化してくれるでしょう。
7 脅威分析を利用する
リスクを軽減し、必要に応じてポリシを改善するためには、特権パスワードやユーザやアカウントのふるまいを継続的に分析し、異常や脅威の可能性を特定できるようにしておく必要があります。パスワード管理を統合し、一元化すれば、リスクにさらされているアカウント、鍵、システムなどについてのレポートを生成するのがより簡単になります。自動化の程度を高くすれば、正しくないパスワードが重要な資産にくり返し(総当たり攻撃や辞書攻撃を使って)アクセスしようとしたときなどに、アカウントやセッションをただちにロックし、パスワードを変更することができるようになるなど、脅威に気づいて全体的な対応をすることが可能です。
8 ワークフロー管理を自動化する
アラートを起動し、パスワード管理に関するポリシを適用するための独自の社内規則を構築することも確かに可能ですが、サードパーティのソリューションを使えば、全体的なパスワード管理のライフサイクルを簡略化し最適化してくれる堅牢な機能が得られます。
企業規模の特権パスワード管理ソリューションは、次のようなことを自動化するのにも役立ちます。
- プロファイルやコンピュータ化の程度に合わせて、資産の管理をグループ分けする
- 管理者アクセスが必要な場合の承認プロセスなど、デバイスアクセスのワークフロー。ユーザが特定のリソースにアクセスする際、最小特権のアクセスに一致するように、アカウントや曜日、日時、時間枠、場所(IPアドレス)に応じてアクセスについて考慮し、時には制限することにより、コンテクストをワークフローリクエストに導入しなければならない場合もある
- ジャストインタイム(JIT)の管理。これによって、必要なときに限定的な期間だけ適切な特権をIDに持たせ、その間に脅威の実行者がアカウントの特権を悪用できる脆弱な期間を大幅に減らすことができる
- 営業時間外、週末、その他火急の状況で、パスワード管理されたシステムにアクセスできるようにするための火災警報や緊急事態の要請を含むワークフロー
- パスワード保管庫からのパスワードのチェックインとチェックアウトと、ユーザが手作業でログイン要求を行う必要のない自動認証やシングルサインオン(SSO)。これによって、クラウド管理コンソール用を含めた特権資格情報をユーザに開示しなくてすむ
- パスワード開示なしにユーザがRDPとSSHのセッションにログオンすること
- 重要度の高い資格情報をチェックアウトすために、スーパーバイザーの承認をリクエストするトリガー
- 重要な、または疑わしい行為に関する特権セッションの監視と警告
6 特権パスワード管理の導入
どのようなITセキュリティと統制のプロジェクトでも同じことですが、まずは範囲を決めます。持っているすべての特権アカウントをくまなく発見し、特権資格情報と資産のリスクの基準がわかれば、特権資格情報のポリシを優先づけし、具体化することができます。特権パスワード管理のライフサイクル全体に徐々に自動化を導入して、作業を拡張し、すべての資格情報に関するベストプラクティスを強制実施できるようにします。
特権パスワード管理に取り組むことは、それ単体で行われるわけではありません。最小特権の原則も強化しなければならないし、特権アクセス管理の枠組み全体を網羅する施策の中でそれを実施する必要があります。
7 関連情報
BeyondTrustはPAM技術の第一人者であり、お客様の具体的なリスクや使用例に合わせて、幅広い資格情報管理の機能を持つソリューションを提供しています。BeyondTrustにご連絡いただければ、あらゆる種類の特権アカウントを検知、管理、監査して、監視するにはどうすればいいかについてお話しできます。
その他の参考資料
・The Privileged Access Management Buyer’s Guide(BT社ダウンロードページ、英文)
・Journey to Universal Privilege Management(BT社ダウンロードページ、英文)
・ジャストインタイム(JIT)の特権アクセス管理(PAM)ガイド
・How to Access Privileged Passwords in ‘Break Glass’ Scenarios(BT社ダウンロードページ、英文)
・Enterprise Password Management (BT社WEBページ、デモビデオ)
BeyondTrustの特権パスワード管理ソリューションについて
BeyondTrustの特権パスワード管理ソリューションは、あらゆる特権アカウントの発見と登録の自動化、特権資格情報と秘密情報への安全なアクセス、あらゆる特権行為の監視を実現します。セキュリティチームはアクティブになっている特権セッションをすぐに見ることができ、必要ならばそれを停止したり中止したりすることもできます。ユーザと資産のデータを総合した脅威分析を利用して、ふるまいを基準に照らして追跡し、重大なリスクについて警告を発します。映像の記録、キー操作のインデックス化、全文検索、その他の機能を使って、データの特定を簡単に行うことができます。人間のアカウントおよび非人的アカウントの両方に関する特権資格情報が侵入を受けるリスクを減らし、さらにコンプライアンス要件も満たします。
BeyondTrustについて
BeyondTrustは、特権アクセス管理の分野における世界的なリーダーであり、資格情報の窃取、特権の誤用、リモートアクセスへの侵入などに関連するデータ侵害を防ぐために最大限にシームレスな手段を提供しています。
当社の拡張可能なプラットフォームによって、エンドポイントやサーバやクラウド、DevOps、ネットワークデバイスなどの環境で脅威が進行すれば、組織は特権セキュリティを簡単に拡張できます。BeyondTrustは一元管理、レポーティング、分析など、業界最大級の幅広い特権アクセス機能を統合して、組織のリーダーたちが十分知識を備え断固とした態度で攻撃者を撃退できるようにするのです。当社のプラットフォームは全体として柔軟性のある設計が特徴で、そのため統合が簡単であり、ユーザの生産性を向上させ、ITとセキュリティに対する投資を最大限に生かすことができます。
BeyondTrustがあれば、組織はリスクを減らしてコンプライアンスの目標を達成し、経営の実績を飛躍的に伸ばすために必要な可視性と制御を得ることができます。当社はフォーチュン500掲載企業の半数を含む20,000件の顧客と、世界的なパートナーネットワークから信頼を受けています。