“Modern PAM Defined: What It Is, and Why It’s Needed” Jan 29, 2025 by Josh Fu より
この記事では、モダン(現代的)PAMについて、企業のアイデンティティセキュリティの重要な課題に対応しつつ、エンドユーザーの利便性を向上させる先進的な特権アクセス管理(PAM)の機能に焦点を当てて解説します。
サイバーセキュリティにおけるPAM
特権アクセス管理(PAM: Privileged Access Management) は、何十年にもわたりサイバーセキュリティの基本になってきました。主要な業界アナリストは常に、PAMを特権アクセスの保護、重要なシステムの防御、攻撃対象領域の最小化を目指す組織にとって不可欠な要素として位置付けています。さらに、PAMはゼロトラストアーキテクチャやその他のサイバーセキュリティフレームワークの実現においても重要な役割を果たします。
PAMがサイバーセキュリティ戦略の最前線であり続けるためには、進化するサイバー脅威に適応する能力が不可欠です。近年では、モダン(現代的)PAMの機能が登場し、企業のアイデンティティセキュリティにおける重要な課題に対応しています。この記事では、それらの課題と、モダンPAMがどのようにリスクを軽減しながらエンドユーザーの利便性を向上させるのかを解説します。
今日の重要なアイデンティティセキュリティの課題
システム、データ、アプリケーション、その他の機密リソースへの特権アクセスを管理することは、長年にわたりサイバー脅威への最も効果的な防御手段とされてきました。しかし、今日の複雑でダイナミックなIT環境では、特権アクセスの保護はますます困難になっています。
もはや、すべての昇格されたアクセスが明確に識別できるとは限りません。ほとんどの環境では、特権の層が複数存在し、オンプレミスの特権モデルだけでなく、クラウドやSaaSのシステムにおける役割や付与された権限(エンタイトルメント)を通じてアクセスが付与されます。組織がPAMの制御を主に管理者権限に焦点を当てる一方で、通常の非管理者ユーザーにも悪用されると重大な損害を引き起こす可能性のある権限が割り当てられている場合があります。
グループメンバーシップ、アイデンティティ設定ミス、クラウド権限の見落としなどの問題が増加する中で、表面的には低権限のユーザーでも、隠れたまたは間接的な特権を持つ可能性があります。現在の攻撃者は、特権アカウントを直接攻撃するのではなく、「Paths to Privilege™(特権への経路)」 を悪用する手法を多用しています。IT環境の複雑化に伴い、これらの経路は増加し、可視化や保護がより困難になっています。
したがって、一方では、従来のPAMが特権の割り当てと管理に重点を置くものの、それ以外の領域には十分な可視性を提供できていません。そしてもう一方では、他の従来型のアイデンティティセキュリティツールも、それぞれの専門領域に限定された可視性しか持ちません。
アイデンティティとアクセスはすべてのドメインを横断するため、組織はアイデンティティと特権を包括的かつクロスドメインで捉え、サイロ化を解消する必要があります。また、この可視性を確保するだけでなく、動的な環境でも正確に制御を行える能力が求められます。
現在のアイデンティティセキュリティにおける最も差し迫った課題には、次のようなものがあります:
- アイデンティティセキュリティの健全性や態勢を改善するために何が必要かを把握する可視性と理解の不足
- 通常の非ITユーザーであっても、高い「True Privilege™(実効特権)」を持つケースが増加しており、それが企業全体のITインフラ(アイデンティティ領域を含む)に広がり、常時有効な特権の増加とともに継続的な攻撃対象領域を形成
- ハイブリッドIT環境や異なるドメインを横断するアイデンティティの管理と保護の難しさ、とりわけ生産性を損なわずに管理することの困難さ
- 攻撃者が弱い認証情報や侵害された資格情報を悪用し、特権アカウントにアクセスすることで、重要システムやデータへの直接的な経路を得るリスク
モダンPAMとは何か?
モダンPAMは、前述の重要なアイデンティティセキュリティの課題に対処するために登場しました。これらのソリューションは、直接的な特権アカウントの管理を超えて、可視性、保護、制御を拡張することを可能にします。理想的には、オンプレミス、クラウド、SaaS、OT(運用技術)などの環境において、どのように特権が付与・使用されているかを包括的に監視し、また、True Privilege™(実効特権)を考慮することが求められます。True Privilege™とは、アイデンティティに付与されたすべての権限や昇格経路を含む概念です。
従来のPAMが備えていた攻撃対象領域の縮小や予防的なセキュリティ機能に加えて、モダンPAMは AIや機械学習(ML)を活用したインテリジェンスにより、脅威の予測・検知・軽減を積極的に行うべきです。これにより、PAMは アイデンティティ脅威検知・対応(ITDR: Identity Threat Detection and Response)の中核的な要素となることができます。
しかし、モダンPAMは単なるセキュリティツールの集合体であってはなりません。これらのソリューションは、管理者、ヘルプデスク、エンドユーザーがより効率的に業務を遂行できる環境を提供する必要があります。つまり、アクセスの取得をより迅速に、障壁を減らし、管理者の負担を軽減し、ヘルプデスクの問い合わせを減少させる一方で、強固なアイデンティティ中心のセキュリティ態勢を維持する必要があります。
例えば、従来のPAMソリューションは、クラウドやSaaS環境におけるJust-In-Time(JIT)アクセスを円滑に運用することに課題を抱えており、煩雑なワークフローが導入されることで生産性が低下することがあります。一方で、モダンPAMはこうした課題を解決するよう設計されており、アクセス遅延を排除しつつ、セキュリティと監査性を維持する、迅速で合理化されたワークフローを提供します。常時有効な特権(Standing Privileges)をシームレスに排除し、JITアクセスを大規模に実用化する能力は、エンタープライズセキュリティにおける革新的な変化をもたらします。
従来のPAM(PASM、PEDMなど)は引き続き予防的な防御の基盤として不可欠ですが、モダンPAMは新たなアイデンティティセキュリティのユースケースに対応し、従来のソリューションの強みを補完・強化する役割を果たします。
BeyondTrustのモダンPAMの紹介
BeyondTrustのモダンPAMは、摩擦を排除し、生産性を向上させることを目的に設計されています。その仕組みを以下に示します。
True Privilege(実効特権)の管理
True Privilegeとは、アカウントの実際の特権レベルを指します。これは、攻撃者がそのアカウントを侵害した際に、他のアカウントを制御したり、設定ミスを悪用したりすることで、到達可能な特権レベルを意味します。BeyondTrustは、True Privilege™の可視化と発見において業界をリードしており、市場で最も包括的なアプローチを提供しています。当社の顧客は、アイデンティティとそのリスクをドメイン全体で把握するための最も完全なソリューションを活用できます。
最小特権の自動化
アクセス管理プロセスを効率化し、不要なアクセスを最大91%削減します。また、プロビジョニング作業の時間を短縮し、最小特権の実装を容易にします。権限のバンドル化やセルフサービス型のアクセスワークフローなどの革新的な機能により、アクセスに関する手間や遅延を削減し、ユーザーの作業効率を向上させます。
どこからでも安全なアイデンティティベースのアクセスを確保
インフラ不要のリモートアクセスを提供し、重要なシステムへの安全な接続を実現します。これにより、データ侵害のリスクを軽減し、従来のVPNが抱える管理負担やパフォーマンスのオーバーヘッドを排除します。
モダンPAMとは何か?
モダンPAMは、前述の重要なアイデンティティセキュリティの課題に対応するために登場しました。これらのソリューションは、特権アカウントの管理を超えて、可視性、保護、制御を拡張することを可能にします。理想的には、オンプレミス、クラウド、SaaS、OT(運用技術)などのクロスドメイン環境における特権アクセスの可視化と管理を実現し、アイデンティティに紐づくすべての権限や昇格経路(True Privilege™)まで考慮することが求められます。
また、従来のPAMが提供してきた攻撃対象領域の縮小や予防的なセキュリティ機能に加えて、モダンPAMはAIや機械学習(ML)を活用したインテリジェンスにより、脅威の予測・検知・軽減を積極的に行うべきです。これにより、PAMはアイデンティティ脅威検知・対応(ITDR: Identity Threat Detection and Response)の中核的な要素となることができます。
しかし、モダンPAMは単なるセキュリティツールの集合体であってはなりません。これらのソリューションは、管理者、ヘルプデスク、エンドユーザーがより効率的に業務を遂行できる環境を提供する必要があります。つまり、アクセスの取得をより迅速に、障壁を減らし、管理者の負担を軽減し、ヘルプデスクの問い合わせを減少させる一方で、強固なアイデンティティ中心のセキュリティ態勢を維持する必要があります。
例えば、従来のPAMソリューションは、クラウドやSaaS環境におけるJust-In-Time(JIT)アクセスを円滑に運用することに課題を抱えており、煩雑なワークフローが導入されることで生産性が低下することがあります。一方で、モダンPAMはこうした課題を解決するよう設計されており、アクセス遅延を排除しつつ、セキュリティと監査性を維持する、迅速で合理化されたワークフローを提供します。常時有効な特権(Standing Privileges)をシームレスに排除し、JITアクセスを大規模に実用化する能力は、エンタープライズセキュリティにおける革新的な変化をもたらします。
従来のPAM(PASM、PEDMなど)は引き続き予防的な防御の基盤として不可欠ですが、モダンPAMは新たなアイデンティティセキュリティのユースケースに対応し、従来のソリューションの強みを補完・強化する役割を果たします。
BeyondTrustのモダンPAMの紹介
BeyondTrustのモダンPAMは、摩擦を排除し、生産性を向上させることを目的に設計されています。その仕組みを以下に示します。
True Privilege™(実効特権)の管理
True Privilege™とは、アカウントの実際の特権レベルを指します。これは、攻撃者がそのアカウントを侵害した際に、他のアカウントを制御したり、設定ミスを悪用したりすることで、到達可能な特権レベルを意味します。BeyondTrustは、True Privilege™の可視化と発見において業界をリードしており、市場で最も包括的なアプローチを提供しています。当社の顧客は、アイデンティティとそのリスクをドメイン全体で把握するための最も完全なソリューションを活用できます。
最小特権の自動化
アクセス管理プロセスを効率化し、不要なアクセスを最大91%削減します。また、プロビジョニング作業の時間を短縮し、最小特権の実装を容易にします。権限のバンドル化やセルフサービス型のアクセスワークフローなどの革新的な機能により、アクセスに関する手間や遅延を削減し、ユーザーの作業効率を向上させます。
どこからでも安全なアイデンティティベースのアクセスを確保
インフラ不要のリモートアクセスを提供し、重要なシステムへの安全な接続を実現します。これにより、データ侵害のリスクを軽減し、従来のVPNが抱える管理負担やパフォーマンスのオーバーヘッドを排除します。
BeyondTrustのモダンPAMの仕組み
BeyondTrustのモダンPAMソリューションは、Identity Security Insights、Entitle、Privileged Remote Access という3つの革新的な製品で構成されています。それぞれの製品が単独でも重要な進歩をもたらし、業界の基準を引き上げていますが、これらを組み合わせて使用することで、企業はセキュリティと生産性の両面で大きな飛躍を遂げることができます。
BeyondTrust Identity Security Insights
Identity Security Insights は、組織のアイデンティティセキュリティの態勢を総合的に強化し、リスクを低減するための基盤を提供します。この製品は、エンドポイント、サーバー、データベース、DevOpsツール、IdP(IDプロバイダー)、クラウド、SaaS環境におけるアイデンティティ、アカウント、設定、権限を調査し、包括的なリスク可視化を実現します。また、BeyondTrustのデータレイクと高度なデータモデルを活用し、監督型および非監督型の機械学習(ML)を適用して、リスクの特定と対応をより精度高く行えるようにします。
BeyondTrust Entitle
Entitle は、クラウドアクセス管理をシンプルにするために設計されており、常時有効な権限を排除して、Just-In-Time(JIT)アクセスを実現します。このソリューションは、セルフサービス型のアクセスリクエスト機能やノーコードの承認ワークフロー、自動プロビジョニング、アクセスガバナンスを提供します。これにより、エンドユーザーは必要なときに迅速にアクセスを取得でき、許可された権限は必要がなくなった時点で自動的に取り消されるため、セキュリティリスクを最小限に抑えつつ、生産性を向上させることが可能です。
Privileged Remote Access
Privileged Remote Access は、ITチームが重要なシステムへのリモートアクセスを提供する際に、VPNや永続的な認証情報を必要としない方法を実現します。これにより、データ侵害のリスクを削減し、従来のVPNが抱える管理負担やパフォーマンスのオーバーヘッドを排除します。この製品は、自動化されたアクセス管理とゼロトラスト原則に基づく運用を通じて、ユーザーの生産性を維持しつつ、セキュリティを強化します。各リモートアクセスセッションは、暗号化されたトンネルを介して行われ、BeyondTrustのプラットフォームによって管理されるため、すべてのアクティビティが可視化され、コンプライアンスの確保や内部脅威の抑止にも役立ちます。
一貫したソリューション
BeyondTrustのモダンPAMは、インテリジェントなアプローチを採用し、組織のアイデンティティセキュリティにおける盲点を排除し、不要な特権を効率的に削除し、最小特権を容易に実装できるようにします。
組織は、機械学習(ML)を活用した保護機能により、最も緊急性の高いリスクを迅速かつ正確に特定 できます。また、自動化されたワークフローを活用することで、従業員は必要なアクセスをスムーズに取得でき、同時にセキュリティを損なうことなく運用を最適化できます。
BeyondTrustのモダンPAMを導入すれば、True Privilege™(実効特権)の可視化・管理が可能となり、アイデンティティの設定ミスや過剰な特権の排除など、多くの課題を解決できます。
このソリューションは、クロスドメインの可視性とインテリジェンスを提供しながら、最小特権アクセスとJITアクセスの適用を円滑に実行できるため、迅速かつ安全なアクセスを確保できます。また、セキュリティチームは制御、ガバナンス、コンプライアンスの向上を実現し、組織全体のワークフローを最適化できます。このような包括的で統合されたアプローチは、現在の市場において比類のないものです。
BeyondTrustとPAM & アイデンティティセキュリティに取り組み続けましょう
BeyondTrustのモダンPAMは、組織が最優先のビジネス目標を達成するためのアイデンティティセキュリティプログラムを成功に導く画期的なソリューションです。
BeyondTrustは、組織のアイデンティティセキュリティの基盤を最大100倍の速さで可視化 し、ITインフラ全体の特権経路(Paths to Privilege)を明らかにすることで、最適な対策を講じる手助けをします。そして、環境が変化しても常に最小特権を維持できるよう、ガイドラインと制御機能を提供します。
BeyondTrustのソリューションについて詳しくはこちら
Josh Fu, BeyondTrust社 プロダクトマーケティング担当 Vice President
Josh Fuは、エンドポイント、クラウド、IT、セキュリティの幅広い分野で豊富な経験を持ち、BeyondTrustにおいてプロダクトマーケティングのVPを務めています。彼は、業界で最も尊敬されているリーダーたちから指導を受け、キャリアを築いてきました。
彼の経歴には、チャネル管理、コンサルティング、セールスエンジニアリング、戦略的アライアンス、競争分析、プロダクトマーケティング など、多岐にわたる分野が含まれます。これらの経験を活かし、Joshは脅威インテリジェンスや機械学習 に関する講演を世界各地のカンファレンスで行ってきました。
彼は米国内の8つの都市に住んだ経験があり、これまでに30か国以上を訪れています(最近の旅行のいくつかは、完全にディナーの予約を中心に計画されたとのこと!)。現在はミネアポリス(ミネソタ州)に妻と4歳の子供、2匹のラブラドールと共に暮らしています。最近は睡眠時間が少し確保できるようになり、スノーボードや車のカスタマイズ といった新しい趣味を楽しんでいます。