特権IDの管理が大事ってよく聞くけど、特権IDって
PAM(Privileged Access Management:特権アクセス管理)で何ができるの
という層向けに、自社の導入事例を踏まえつつ、特権IDとは何か?PAMで何ができるのか?などについて自身の勉強のためにまとめてみた。
※私は、専門的な立場ではないため、内容は参考程度にしてください。誤りがある場合はご容赦ください
きっかけは内部不正
- 会社の機密情報をお土産として転職する(手土産転職)
- 会社の機密情報を名簿屋に売って金銭をゲットする
といった内部不正がここ数年目立ってきている。
転職が当たり前、委託先に業務丸投げで薄給(愚痴っぽい)な中で、内部不正がおこりやすい時代になっている気がする。
重要なシステムにPAMを導入せよ
例にもれず、自社でも内部不正が発生した。
対策の1つとして、機密情報を扱うシステムを対象に、PAMの導入が必須になった。
もちろん、PAMは内部不正だけでなく、特権を狙ってくるサイバー攻撃にも有効だが、弊社は内部不正きっかけであった。
ちなみに、特権IDを管理せよ(手段は問わず手動でも良いよ)、というルールは元々存在していたが、PAM(特権アクセス管理ソリューション)を導入せよとなった。
あくまでPAMは内部不正対策の1つ。
IPAの「組織における内部不正防止ガイドライン」に含まれるような色々な対策指示が出た(内部不正対策は大変だ)。
皆さんの会社は何きっかけで導入しているのだろうか。
特権IDって?
「特権ID」とは、通常よりも強い権限を持ったIDを指す。具体例をChatGPT(通称チャッピー)に聞いてみた。
代表的な「特権ID」の具体例
| IDの種類 | 具体例 | 説明 |
|---|---|---|
| OS管理者ID |
root(UNIX/Linux)Administrator(Windows) |
OSのすべての設定変更・ファイル操作が可能。 |
| データベース管理者ID |
sa(SQL Server)system(Oracle) |
データベースの作成、削除、ユーザー管理ができる。 |
| ネットワーク機器管理ID | admin |
ルータ、スイッチ、ファイアウォールなどの設定変更に使う。 |
| アプリケーション管理ID |
admin など |
業務アプリケーションの設定やユーザー管理に使用。 |
| クラウド管理ID | AWSのrootアカウントAzureの グローバル管理者
|
クラウド環境全体の設定・課金情報にアクセス可能。 |
機密情報を一括ダウンロードできる権限とか、rootやadmin以外にも強い権限ってあるような
さらにチャッピーに聞いてみた。
「特権ID」という言葉は、OSやDBの管理者IDだけを指す狭義の意味と、重要な資産・機能にアクセスできる全ての高権限アカウントを含む広義の意味がある。以下のような考え方が一般的。
特権IDに該当するかの判断基準
| 判定基準 | 特権IDの可能性あり? |
|---|---|
| システムやアプリの設定変更ができる | ✅ Yes |
| 他ユーザーの情報にアクセス・変更できる | ✅ Yes |
| 機密情報や個人情報など重要データを閲覧できる | ✅ Yes(データ特権) |
| 通常ユーザーよりも高い操作権限を持つ | ✅ Yes |
PAM導入時には、どのID・権限を特権として扱うのか、関係者と合わせたほうが良いかもしれない。
PAMで何ができるの?
PAMの主な機能
| 機能名 | 内容 |
|---|---|
| 特権IDの貸出管理 | 管理者が使う特権IDを一時的に貸出し、終了後に自動で回収・無効化 |
| パスワードの自動管理 | パスワードの定期変更、自動生成、アクセス時のみ表示など |
| セッション記録・監視 | 特権ID使用時の操作ログや画面操作の録画 |
| アクセス制御 | 利用可能な端末、時間帯、対象サーバを制限 |
| ワークフロー承認 | 利用申請・承認フローによる利用制御 |
特権IDを使う作業が必要になったら、申請して、管理者の承認を受けて、ランダムなパスワードが払い出されて、作業して(操作ログ取得&録画される)、作業が終わったら無効化される感じ。
PAM入れたからオッケーじゃない(たぶん)
特権ID管理を導入したからオッケー
というわけではなく、運用上の注意もある。
- 特権IDの管理が必要なシステムすべてに導入されているか
- 特権IDを貸し出す登録ユーザの棚卸しがされているか(退職者・異動者が含まれていないか)
- 作業内容を理解せずにポチポチ機械的に承認していないか、自己承認の設定になっていないか
- 操作ログ&録画をチェックしているか
などがあると思われるので、気を付けて運用しよう。
トップシェアを誇る2製品 vs KeeperPAM
シェアだけで判断すると、次のソリューションの2強な気がしている。
- 海外シェアNo1の『CyberArk』
- 国内シェアNo1の『iDOperation』
今回、QiitaでKeeper Security社の『KeeperPAM』を知りました(すみません)。
KeeperPAMとCyberArkの比較表が公開されており(A社B社とかでなく実名出すの強い)、機能面・セキュリティ面ともに優れているとのこと。
CyberArkは高機能な反面お高いので、KeeperPAMも良さそう(なんとなくCyberArkよりはお安そう)。
ドメスティックな会社はiDOperationも良さそう(日本人が使いやすい設計になっているはず)。
おまけ
JNSAから「特権ID管理ガイドライン」が公開されており、特権ID管理を知るうえで参考になる。
にわか知識なので、いつか実際にPAMを使ったり運用してみたいところ。
最後まで読んでいただき、ありがとうございました。