特権アクセス管理を導入する前に確認すべき6つのポイント

昨今、アイデンティティ（ID）/特権アクセス・セキュリティの課題は注目を集めている。その背景には、新しい生活様式の一環として、社外環境から社内ネットワークやクラウドへアクセスする機会が増えたことがある。例えば、従来は特権アカウントを利用してサーバのメンテナンスを行う際、社内ネットワーク上のエンドポイントから対象のサーバにアクセスしていたが、リモートワークやクラウドの利用により社内ネットワーク外からアクセスする必要が出てきた。

そのような社外にあるエンドポイントは、サイバー攻撃者にとってIDやパスワードを窃取する格好の攻撃対象になる。なぜなら、サーバにアクセスするエンドポイントには過去にアクセスした特権アカウントの情報の痕跡が残っているからである。サイバー攻撃者はその痕跡を悪用して社内ネットワークへ水平移動して不正アクセスを行い、最終的に企業の重要な資産にたどり着こうとする。

Identity Defined Security Alliance（IDSA）によると、企業の94％がID関連の不正アクセスを過去に受けた経験があるという。こうした事態に対応すべく、企業はセキュリティ戦略として特権アクセス管理に注目し、セッション分離や特権アカウントの不正利用された際のリアルタイム検知によりリスクを最小限に抑える取り組みを進めている。

オンプレミス型、クラウド型など数多くの特権アクセス管理ソリューションから、組織の特徴に見合ったソリューションを選ぶには、次の6つの点を考慮する必要がある。

（1）ハイブリッド・インフラストラクチャに対応可能か

適切な特権アクセス管理ソリューションは、企業や組織のインフラストラクチャ環境に対応している必要がある。オンプレミスからクラウド、およびその双方からなるハイブリッドなど、インフラストラクチャ環境はさまざまだ。いずれの環境下でもすべてのID、インフラストラクチャ、アプリケーションにわたって業務効率を低下させずに、強固な防御態勢を実現できるか、次の項目について確認する必要がある。

• ユーザーとオンプレミス、または、ハイブリッド、マルチクラウド、SaaSのワークロードのリソースを効率的かつ高い費用対効果でシームレスに接続できるか
• 信頼できるツールやサービスであり、コンプライアンスやプライバシーに対する顧客の要望に対応できるか既存アプリケーションだけでなく、新規のインフラストラクチャとの連携も可能であり、IT投資を最大限に活用できるか

（2）デジタルトランスフォーメーション（DX）の目標を達成できるか

企業はDevOpsを採用したソフトウェア開発やロボティックプロセスオートメーション（RPA）を導入することで、業務の自動化を推し進めている。特権アクセス管理ソリューションにより、自動化機能、スクリプト、ワークフローに応じたアプリケーション・プログラム・インターフェイス（API）と連携することで、サイバーセキュリティを高めながら、DXの推進をサポートできる。その際、以下の点を確認することが重要である。

• DevSecOps、クラウド、従来型のアプリケーションを対象に、多くの組み込み型の認証情報を一貫して管理できるか
• ソフトウェア・ロボットとRPAの管理者が使用する特権アカウントの認証情報を安全に管理できるか
• アプリケーション・ライフサイクル管理の自動化に対応することで、生産性を向上すると同時にITの遅延を最小化できるか

（3）ユーザーエクスペリエンスを重視しているか

企業や組織においてセキュリティを確保するために不可欠となるのは、ユーザーエクスペリエンスである。特権アクセスの管理・保護に際し、作業の複雑化や負担の増加を招くようなプロセスは、生産性を低下させ、さらなるリスクをもたらしてしまう。そのため、導入後の運用のしやすさも重視し、ソリューションに関する以下について確認すべきである。

• 直感的でスムーズなアクセスと強固なID・セキュリティ・コントロールのバランスを取りながら、「適切なプロセス」を容易に実行できるか
• リモートアクセスの監視とセキュリティの確保により、最小権限の要件を適用しつつ、効果を最大限に発揮できるか
• セルフサービス機能と自動化ワークフローをサポートすることで、ユーザーの効率性と生産性を維持できるか
• 費用対効果に優れた柔軟なSaaSモデルによる導入が可能で、社内の運用時の負担やコストを最小限に抑えられるか

（4）今後予測される課題に対応できるか

ITの進歩は社会全体および企業の在り方を変えてきた。そのため最も効果的なソリューションとは、企業のセキュリティニーズと、未来のデジタルビジネスの機会の両方に対応し続けられる製品である。したがって、セキュリティ企業としてIT技術の進歩とともに発展していく力やビジネスチャンスを見極めるスキルなど、優れた企業能力を備えているベンダーが望ましい。

• 戦略的買収に関するビジネスの洞察力や、新たな脅威、ユースケースにも対応可能な研究開発のパイプラインがあるか
• 最新の攻撃手法の調査を専門とする、業界トップの脅威研究チームを採用することで、セキュリティ・コミュニティの発展に寄与できるか

（5）進化する高度な攻撃を防御できるか

サイバー攻撃手法は日々進化しているため、セキュリティポリシーも次々に改定されていく。米国国家安全保障局（NSA）は、攻撃者が既に自社の環境に潜伏していると想定した上で、リソースの運用と防御を意識的に行うことを推奨している。この「不正アクセス想定」モデルにおいて、適切なソリューションは、「すべてのトランザクションは認証されるまで信頼できないもの」と想定することが求められる。

• 日々巧妙化していくサイバー攻撃に伴うセキュリティポリシーの変化に対応しながら、最小特権を付与し、人にひもづくIDと人にひもづかないマシンのすべてのIDを包括的に保護できるか
• すべてのアクティビティを対象に改ざん防止対応の監査証跡を採用し、適応型の認証・承認機能を活用した、ゼロトラスト・アプローチを実現できるか
• 防御力を高めるために継続的に改善されていくプログラムに応じながらも、リスクを軽減し、さらにコストも削減できるか

（6）幅広いエコシステムをサポートしているか

IDとは、情報技術インフラストラクチャのあらゆる側面を結びつけているため、適切なソリューションには、幅広いアプリケーション、サービス、プロバイダーとの相互運用能力が求められる。さらに、中長期的な視点から考えると現在使用している技術が数十年後も使えるとは限らないため、そのリスクを最小限に抑える必要がある。

• 既存のIT資産とサービスの価値を維持するため他社製のサービスとも連携できるか
• 自社開発のアプリケーションから外部サービスまで、拡張可能なプラットフォームを通じて連携できるか
• SAML、REST、OAUTHなどの業界規格とプロトコルを通じ、容易に連携できるか

データは、ビジネスの最も重要な資産の一つだが、社内外やオンライン上のシステム内で複雑に分散している可能性が高い。適切な特権アクセス管理ソリューションに求められるのは、情報セキュリティ3要素であるデータの「機密性」「完全性」「可用性」を一貫してIDベースの脅威から保護する機能である。

特権アクセス管理の重要性を考えると、ツール自体と同様に厳格に評価すべき要素として、技術ベンダーの経験が重要である。適切な技術パートナーに求められる要素としては、堅実な製品アプローチ、確かな実行能力と実績、柔軟な導入モデル、卓越した顧客サービス、主要なアナリストや業界専門家からの高い評価、安定した経営状況が挙げられる。

上記の確認事項は、ベンダーの評価プロセスに加えて、特権アクセスの管理、トランザクションの監視、サイバー攻撃リスク軽減に関する戦略の構築時にも参照すべき内容である。