2023.06.06

#3　再度問い直される特権IDの管理のあるべき姿

情報漏洩対策

セキュリティ

ゼロトラスト

ID管理

内部統制とゼロトラストの両面で見る特権ID管理

前回、前々回と、コロナ禍以降の環境の変化に伴うゼロトラスト対策の潮流についてお伝えして参りましたが、今回も同じシリーズで、ゼロトラストがきっかけで見直されるケースが増えている、特権ID管理についてお話したいと思います。

弊社アイ・アイ・エムは、2000年初頭のSOX法の対応を契機とし、お客様へ特権ID管理ソリューションを提供しております。

まだまだ境界型防御が企業セキュリティのスタンダードだった時代から、SOX法^※をはじめとする法令・監査対応としての内部統制や、内部不正対策の観点で、特権IDの管理は情報システム部門様の重要な業務の一つでした。

その重要性は、現在も変わりありませんが、昨今のIT環境の変化に伴うゼロトラスト対策の一環として、特権ID管理の在り方や、管理対象の見直しが、多くのお客様で今テーマに上がっています。

※SOX法は2002年7月に米国で成立、これを受け日本では、2006年6月にはJ-SOX法が成立。

• IT統制の強化策として、SOX法対策として会計監査の対象としてだけ導入していた特権ID管理の対象を見直したい。
• SaaS等のクラウド利用の特権IDも管理対象としたい。
• 内部不正対策としてだけでなく、サイバーセキュリティ対策として水平展開攻撃（ラテラルムーブメント）を阻止する目的でパスワードの秘匿化や定期（もしくは接続都度）自動変更を実施したい。
• ゼロトラストの最小権限の原則に則した権限付与を運用負荷を上げずに実現したい。

特に、IT統制は強化しつつも、運用の効率は下げたくないというのは、多くのお客様が望まれる特権ID管理の運用です。
以下の図は、JNSA(特定非営利活動法人日本ネットワークセキュリティ協会）が「【改訂新版】特権IDガイドライン 解説編」において特権IDの管理策のポイントを図示したものです。

特権IDの管理策のポイント

出展：日本ネットワークセキュリティ協会【改定新版】特権ID管理ガイドライン　解説編

JNSAは同書にて、「少なくともいつ誰が特権IDを利用してアクセスしたか履歴の管理が必要である。また、特権IDを利用する際は、正しい手続きとして、利用者の申請と作業範囲と内容の把握、それらに対する承認・許可の一連のフローが必要である。」と述べています。
Excelによる特権ID利用台帳での管理だけでは、上記の実現は非常に困難です。

特権ID管理の運用を理想形に近づける為には、現状の課題を整理した上で、対策を講じる必要があります。
JNSAは同書にて、特権IDに関わる脆弱性と管理策ポイントの関係についても以下の図を提示しています。

特権IDに関わる脆弱性と管理策ポイントの関係

繰り返しとなりますが、昨今のIT環境の変化に伴うゼロトラスト対策の一環として、特権ID管理の在り方や、管理対象の見直しが叫ばれております。
今一度、自社の特権ID管理の運用の脆弱性を見直し、必要があれば対策をご検討されてはいかがでしょうか。

アイ・アイ・エムは、上記管理策ポイントを満たす特権ID管理ソリューションとして、グローバルでの評価の高い^※Delinea社のSecretServerを取り扱いに加え、お客様の特権ID管理のご支援体制を強化しています。

※：GartnerのMagicQuadrant評価にてPAM製品カテゴリにおけるリーダーポジションに位置づけられています。

先月ご案内した、ユーザーIDの管理と併せ、ゼロトラスト対策のID管理の見直しという観点で、統合的なご提案をさせていただく事もできますので、ご興味がおありでしたらお気軽に弊社営業担当もしくはアイ・アイ・エムセキュリティ担当にお声がけいただけましたら幸いです。

次号も皆様に役立つい技術や脅威のトレンド、ベストプラクティスやお客様の事例などをお届けしていきます。

どうぞ、今後ともよろしくお願い申し上げます。

＜参考文献＞

日本ネットワークセキュリティ協会【改定新版】特権ID管理ガイドライン　解説編

執筆者

本間　将一

営業技術本部　執行役員

2022年2月IIM入社 セキュリティー部門責任者 
外資系大手SIerにて15年あまりセキュリティーサービスの事業責任者として、製品のインテグレーョン、セキュリティーコンサルティング、運用サービスやSOCの事業の企画や販売に従事し、2022年2月より現職に着任。