多くのお客様で課題とされている「特権IDの管理強化」に対し、弊社ソリューションがお役立ちできることをご紹介いたします。
特権IDの管理強化の必要性とその背景
企業の成長戦略としてIT化の促進、IT化推進に伴うリスク
昨今のビジネスシーンは、熾烈なグローバル競争、新しい働き方の登場、IT技術の進化と発展、自然災害、少子高齢化などにより日々様々な変化が起こることから「VUCA時代」と呼ばれていますが、VUCA時代において永続的に成長し続けるための経営戦略として、多くの企業がDXなどのIT化を推進しています。
一方、昨今のサイバー攻撃の急増がIT化戦略を進める上での大きなリスクとなり、経営課題としてサイバー攻撃への対策に取り組む企業が増えています。
弊社調査では、NGAV、EDR、SASEなどのエッジ側の対策が完了し、特権IDの管理統制など、内部対策を今後着手するというお客様が多いことがわかりました。
ITリスクの改善に特権ID管理を取り組む理由
特権ID管理に取り組むべき理由は明確で、それは特権IDの権限が強力だからです。
特権IDをハッカーや悪意ある内部人材に奪取され悪用されるリスクは、想像に難くありません。
また、ITリスクの改善とは別に、IT関連の法規制(経済安全保障推進法など)や各種ガイドライン(NIST Cybersecurity Frameworkやサイバーセキュリティ経営ガイドラインなど)の遵守には特権IDの管理が必要ということが経営陣に浸透し始めており、これも特権ID管理に取り組む一因になっています。
特権ID管理の実施状況
特権ID管理の重要性が高まる中、多くの企業では、特権IDの利用や管理が全社で統一されておらず、管理を実施している一部システムに関しても、その大半が手作業を含むため、精度と即時性の欠落によるセキュリティリスクが顕在化している状況であることが、弊社の調査によって判明いたしました。
実際にお客様からよくお聞きするケースは以下の通りです。
➀特権IDの利用ルールの統制不備によるセキュリティリスクが存在
-
特権IDの利用にあたり、メールでの申請・承認、もしくは台帳に申請記録を残すのみ
-
申請不要で特権IDを利用可能
-
対応コストと性善説の名残りにより、重要システム以外は特権IDの管理が未着手
➁払い出し・利用・回収に時間とコストがかかり、サービス品質が低い
-
申請・承認を、紙やハンコなどのアナログ業務で対応
-
貸出管理を、エクセルなどの簡易システムで対応
-
承認後の特権ID払い出しが手動対応
-
特権作業時のパスワード忘れ、確認など問い合わせ対応が多い
-
特権ID回収後のパスワード変更が手動対応
③定例業務にかかるコストが大きい/即時性が低くセキュリティリスクが内包
-
対象数が多く、パスワード定期変更のために休日対応が発生
-
パスワード定期変更を全社ルール化するも、実効の完全性に疑問
-
JSOX対応で実施する特権作業の利用実績レポート作成に時間を要する
-
全社的に実施する特権IDの棚卸とレポート回収に時間を要する
工数を下げ精度を上げる「特権ID管理の高度化と自動化」とは何か
上記➀~③の状況を改善するため、弊社からはSecret Server CloudとSplunkによる特権ユーザ管理システムの提案をしています。
この2年で2桁の実績があり、お客様からご好評をいただいております。
構成イメージと実施による効果は以下の通りです。
アーキテクチャ図 特権ID管理基盤
特権ID管理基盤概要
特権ID管理システムを構築し、特権ID運用における基盤を整備します。
これにより以下の対応が可能となり、前述いたしました➀~③のご状況を改善いたします。
☑️内包されたW/Fにて、申請と承認に基づく特権IDの利用が実現
☑️OS、DB、IaaS、SaaSアプリ、NW機器、サービスアカウントなど全方位で対応
☑️承認後の特権IDの払い出しの自動化
☑️システム間のパスワード連携により、作業者へのパスワード開示が不要
→パスワード忘れによる再発行を回避・セキュリティと利便性の向上
☑️特権IDでの作業状況の記録が実現
→不正作業の牽制と潔白証明および監査に活用
☑️作業終了後、即座に自動で特権パスワードを変更
☑️定期的に行う全台のパスワード変更業務が自動化
☑️特権IDの利用実績を即座に確認
→本システムを通過しない不正利用も検知
☑️特権IDの棚卸にかかる時間を削減
その他の特長
-
特権IDのパスワード情報、特権作業の記録は、本システムにて暗号化し強固に保存
-
本システムの利用は独自認証に加え、既存認証(Active DirectoryやIDP)と連携ができ、利便性を高めた利用を実現
-
内包する多要素認証により、セキュリティ強化を実現
-
Service Nowなどの変更管理システムとの連携が可能
まとめ
本ソリューションによる「特権IDの利用と管理の高度化、自動化」を通じ、特権IDに関わるセキュリティリスクの低減と、利用・管理の負荷低減が両立でき、全社的な特権ID管理。を行う事が可能となります。
また、特権ID管理の強化は、法令・ガイドライン遵守、ガバナンスの強化にもつながります。
本レポートが有益な情報提供になれば幸いです。
ご質問などご用命ございましたら、弊社担当営業まで申し付け下さい。
執筆者
田口 学
営業技術本部 MP統括部
IIMお客様担当営業経験後、2010年に現セキュリティー部門に異動。個人情報保護法、JSOX法の対策でセキュリティ・コンプライアンスのソリューション提案を数多く経験。PAM、IAM、IGAなどエンタープライズ企業向けID管理に従事。レジリエンス対策でクラウドバックアップ・BCPも担当。
-
#20 クラウドサービスにおけるバックアップの必要性 ~データを守るためのバックアップ戦略~
2024.11.07
増え続けるランサムウェアの被害の中でも多くを占めるVPNとリモートデスクトップ接続に対して、OT環境でのリモートアクセスの必要性および、その導入の難しさなどをご紹介いたします。
-
#19 工場内製造装置(OT機器)のゼロトラスト・リモートアクセスの実現!
2024.10.04
増え続けるランサムウェアの被害の中でも多くを占めるVPNとリモートデスクトップ接続に対して、OT環境でのリモートアクセスの必要性および、その導入の難しさなどをご紹介いたします。
-
#18 セキュリティの要「ID管理」
2024.09.05
昨今、ゼロトラストの概念の浸透が進み、本格的な検討・採用が始まっています。 そのゼロトラストの要と言われてる「ID管理」について、「認証」「許可」「特権」の3要素を中心にご説明いたします。
-
.png)
Okta
IDや認証を含むアイデンティティ管理を一元化してクラウドやオンプレミスへの安全かつ効率的なアクセスを実現。Oktaはあらあゆるデバイス上における、ユーザーとテクノロジーの「統合」を目指します。
-
SailPoint Identity Security Cloud
SailPoint Identity Security CloudはAIや機械学習を活用した、高度なアイデンティティ・ガバナンス/管理(IGA)ソリューションです。個々のユーザーが利用しているすべてのIDを役割や権限に基づくポリシーに沿って管理し、ガバナンスに基づいたアクセス管理を実現します。
-
Secret Server
Secret Serverは米国Delinea社のエンタープライズ向け特権アクセス管理(PAM)ソリューションです。オンプレミス・クラウド環境を問わず、特権ID/特権アカウントを一元的に保護/管理し、セキュリティの強化を実現します。
