特権アクセス管理(PAM)を用いたセグメンテーション手法

セグメンテーション

Approaches to Segmentation with Privileged Access Management (PAM)June 22, 2021 by Morey J. Haberより

セグメンテーションは基本的なアーキテクチャ上の手法であり、資産、身元情報、アプリケーション、クラウドサービスなどの隔離を行い、水平方向の移動による脅威を軽減し、境界をまたいだライン線を減らすのもその一部です。コンプライアンス戦略の多くが、データや他のリソースを保護し、独立させるための主要な制御方法としてセグメンテーションを義務付けています。また、セキュリティのためのネットワークセグメンテーション、マイクロセグメンテーション、ゾーン手法は、その場のセキュリティを無条件に信用しないゼロトラストの環境とアーキテクチャを実現するための基本原則です。

このブログでは、セグメンテーションと水平移動について、そして、特権アクセス管理(PAM)をどのように応用してセグメンテーションを実現し、セキュリティ態勢を向上させることができるか、といったことを探っていきます。

セグメンテーションの仕組み

セグメンテーションは「収集物」をより小さく具体的に分類してグループ分けする処理です。場所や機能、オペレーティングシステム、業務手順、ときには所有者といった類似の特徴に基づいて「集めたもの」を分類するのです。正直なところ、会社が規定する論理的概念によって、セグメンテーションは抽象的なものになりうるし、条件によってさまざまな属性を持つことにもなります。これには上で述べたように、拡張性、可用性、障害復旧、開発、品質保証などの性質、または技術が含まれます。そのため、セグメンテーションに基づいた論理的なグループ分けを定義する道は一つではありませんが、セグメンテーションはいつでも実行でき、それを短期間にすることも永続的にすることも可能です。セグメンテーションを考えるうえで最も簡単な方法は、明確な境界のある論理グループとしてとらえることです。

さて、論理グループができたとして、そこに共通する属性は何でしょう? その共通属性には共有すべきアカウントか、他の管理機能が必要でしょうか? 多くの場合、答えはイエスです。

セグメンテーションのモデルで利用している技術では、グループ内のほかのリソースと共に認証を行わなければならず、最終的に、こうしたタスクに伴う特権には、リソース間の承認が必要です。ここで、リソースがセグメント化されている場合でも、特権アクセス管理を持つセグメンテーションが水平移動を防ぐのに役立つのです。

水平移動のサイバー攻撃のベクター

水平移動は、サイバー攻撃チェーンにおける重要な段階のひとつで、1つの資産や身元証明などが侵入されると、そこから環境全体にまで侵入が広がることもあり、特にセグメンテーションや最小特権のような概念が厳密に導入されていない場合はそうなりがちです。過去18か月間にリモートや半分リモートの勤務形態が爆発的に増え、個人用デバイスの利用(BYOD)も増加したため、水平移動の危険性は非常に高くなりました。これは特に、リモートワーカーをサポートするために境界線があいまいになっている場合に顕著です。

水平移動はかつて、資産の間でだけ発生すると考えられていましたが、技術スタックが広まるにつれ、今では資産や身元証明の間、アプリケーション内、クラウドサービス内でさえ発生するようになっています。水平移動はまた、複数の役割や所有権を持ち、複数の企業の統制に従い、あるいはまったくセキュリティ統制がなされていないリソースにも及ぶことがあります。

上で述べた状況ではすべて、水平移動は積極的に監視すべき攻撃ベクターであり、不適切な行為が発生すれば、間違いなく侵入を示すといえるベクターとなっています。人間が利用しているか、非人的な身元証明が利用しているか、その境界線に拘わらず、特権アカウントが関与している場合、この脅威の危険性はさらに高まります。

特権アクセス管理を用いたセグメント方式

幸い、特権アクセス管理を用いたセグメント方式という形で、この危険を軽減する戦略的方法があります。

特権アクセス管理では、次のような統制を行います。

  • Privileged Password Management(Privileged Account and Session Managementとも言います)―秘密情報を保管し、循環させ、チェックインし、チェックインする機能と、完全なセッション監視を行って不適切な動作を検出する機能
  • Endpoint Privileged Management(Privilege Elevation & Delegation Managementとも言います)-ほぼすべてのアカウント(人的なものも非人的なものも含め)から管理者権限を剥奪し、あえて管理者の資格情報を与えることなく、そうしたタスクを行うためのアプリケーションやユーザを呼び出すことができる機能
  • Secure Remote Access-保守やアップグレード、監視、監査、その他権限を要するタスクのために、セグメント分けされたゾーンの外から双方向セッションを確立できるようにする機能

それでは、当社の水平移動についての話に戻りましょう。セグメンテーションがなければ、リソースはすべて互いに自由なやり取りができます。リソースやサブセットの論理上の隔離もなければ、適切な通信を行うプロキシもありません。エクスプロイトが発生すれば、あるいはもっと重大なことに、認証のための秘密情報が侵入を受ければ、その侵入されたリソースが自由に通信できる他のあらゆるリソースを利用することができてしまうということになります。これが、ある環境全体にランサムウェアが広がっていく主な形態です。

セグメンテーションを使ってある環境を構築し、それによって境界を作った場合、通信をリソースの小さなグループ内にとどめることができます。ただし、これだけではゾーン内の水平移動を食い止めることはできません。そのためには、侵入を受けた秘密情報が一つのリソースから別のリソースへと利用されることを防がねばなりません(もちろん、水平移動のためにエクスプロイトが使われた場合に、脆弱性にパッチを当てなければならないという現実がこれで解決するわけではありません)。

ここで、セグメンテーションの点でPAMが効果を発揮するのです。

Privileged Password Management:このソリューションはリソースごとに固有の秘密情報(パスワード、鍵、資格情報)を作成し、その循環(変更)を頻繁に自動的に行い、人間と機械の両方のアカウントに対して、難読化した資格情報をセッションに直接埋め込みます。こうした措置を施すことで、資格情報が古くなってしまったり、侵入を受けて無効になってしまったりするのを防ぐのです。こうして、脅威実行者やマルウェアがそもそも永続的な秘密情報を手に入れてリソースの中へ侵入できないようにすることで、セグメント内の水平移動を防ぎます。

Endpoint Privileged Management:認証が行われた後は承認が行われます。権限や特権が付与されるかもしれません。そのアカウントの特権が高ければ、リソース改ざんの危険性も指数関数的に大きくなります。だから、セグメント内ではすべてのアカウントが最小特権のモデルに従う必要があるのです。これには、あるアカウントに対してあるタスクを実行するのに最小限の特権のみを割り当て、それ以上は割り当てないようにすることも入っています。理想的には、こうした特権アクセスをジャストインタイム方式、すなわち、コンテキストが変更されるか一定時間が経過したらアクセスをただちに無効にする方式にすべきなのです。エンドポイント特権管理を使えば、あるセグメント内での管理者やルートのアカウントを最小限に保ち、しかも高い特権を必要とするタスクを妨げられずに実行することができます。このようなセキュリティ制御だけでも、水平移動を利用した攻撃ベクターのほとんどを有効に遮断することができるのです。

Secure Remote Access:ある環境がセグメント分けされ、承認されたユーザがほぼどこでも動作可能である場合、日常業務のためにそのセグメントにアクセスすることも許可されていなければなりません。安全なリモートアクセスのための製品(特権リモートアクセスなど)は、セグメント内へのアクセスに関門を設け、不適切なふるまいを監視することによって、セグメンテーションのモデルを崩すことなく、安全な接続ができるようにします。これは、マイクロセグメントを使ってゾーンを処理し、アクセス権が証明されたものへのあらゆるアクセスを代行します。これだけでも、RDPやSSHといった従来のプロトコルを介した(through)水平移動を防ぐことができ、また、ゼロトラストをサポートしている少数モデルの役に立つこともできます。すべてが隔離され、境界が確立され、すべてのアクセスでユーザのふるまいが適切であるか監視されます。

PAMを使用したリモートアクセスソリューション概念図

PAMソリューションを使ったリモートアクセスと資産間の水平移動の防止

特権アクセス管理は、セグメンテーションを完成させるためのゾーン方式を構築するために応用することができます。ただし、セグメントそのものの内部で水平移動のリスクを軽減するには、特権アクセス管理が必要です。PAMは非権限の認証を止め、水平移動のために使われた特権を剥奪し、リモートアクセスを管理して、セグメント外からの動作がセグメントに入ってくる際には、これが適切に制御され監視されるようにすることができます。

特権アクセス管理を使ったセグメンテーションは、セキュリティアーキテクチャと作業者を、不正なアクセスや水平移動から守るために最適な防衛手段のひとつです。詳細については、ByondTrustにご連絡いただくか、下記にある当社の資料をご覧ください。

(白書)安全なアクセスのためのゼロトラスト手段
(白書)Windows&Macのエンドポイントのセキュリティに関するゼロトラスト手段


Morey J. Haber、BeyondTrustの最高技術責任者 兼 最高情報セキュリティ責任者

Morey J. Haberは、BeyondTrustの最高技術責任者であり、最高情報セキュリティ責任者でもあります。IT業界での経験は25年以上に及び、Apress社から『Privileged Attack Vectors (2版)、『 Asset Attack Vectors』、『Identity Attack Vectors』という本を3冊【原文は「4冊」とありますが、見つかった限りでは3冊でした】出版しています。2018年、BeyondTrustはBomgarに買収されましたが名前はそのまま残りました。彼はもともと2012年、eEye Digital Securityの買収の際にBeyondTrustに加わりました。現在は特権アクセス管理やリモートアクセスソリューションに関するBeyondTrustの戦略を統括しています。2004年、セキュリティエンジニアリングの統括長としてeEyeに加わり、フォーチュン500掲載企業である顧客の戦略的業務に関する協議や脆弱性管理アーキテクチャを担当しました。eEye入社前は、Computer Associates, Inc. (CA)の開発マネージャーとして、新製品のベータサイクルや指定されたカスタマーアカウントなどの業務を担っていました。またその経歴は、飛行訓練シミュレータを構築する政府の委託先における信頼性と保全性に関するエンジニアとして築かれました。ストーニーブルックにあるニューヨーク州立大学の電子エンジニアリング科で理学士の学位を取得しています。