PIMとPAMの違い
- Privileged Identity Management(PIM)
- Just-In-Time(JIT)権限付与:必要なときだけ昇格
- 承認フロー・多要素認証(MFA)必須
- ロールの有効期限・自動剥奪
- アクティビティ監査・メール通知
- Privileged Access Management(PAM)
- 特権パスワードの金庫(Vault)管理
- セッション録画/リアルタイム監視
- コマンド制御・危険操作のブロック
- 自動パスワードローテーション
- オンプレADやサーバへのブローカーアクセス
| 比較項目 | PIM | PAM |
|---|---|---|
| 管理対象 | 特権 ID | 特権 アクセス操作全般 |
| 主な目的 | 一時的な特権付与・剥奪 | 操作の監視・保護・記録 |
| 焦点 | 「誰がいつ権限を持つか」 | 「何をどのように操作したか」 |
| 代表例 | Entra ID PIM | CyberArk, BeyondTrust など |
| 例え | 説明 |
|---|---|
| PIM | 「管理者の鍵を“必要なときだけ”貸し出す」仕組み |
| PAM | 「鍵で入った後、何をしたか録画する」仕組み |
まとめ
- PIM:特権を「付与する/外す」管理。
- PAM:特権を「使うときの操作」を管理。
- 両者を組み合わせることで、最小権限+完全な監査トレース