特権アカウントの管理

デジタル情報の保護は、デジタル情報が存在する限り必要となる条件です。

作成および配信されるデータの量は、日を追って急激に拡大しつつあります。企業や個人の生活における電子データへの依存が高まるにつれて、作成される電子データの量も増大していきます。作成されるデジタルデータの量が増えれば、悪意または怠慢による行為、あるいは意図しない操作によって、こうしたデータが危険にさらされるリスクは高くなります。

各企業はデジタル資産の保護のために惜しみない努力をしていますが、この課題を一層困難にさせているのが、ネットワーク上にはエンドユーザーアカウントの数のおよそ 3 倍に相当する数の特権アカウントが存在するという現実です。この背景にはさまざまな要因が存在していますが、インフラストラクチャの拡張が繰り返され、これに伴いデバイスやサーバー、データーベースなどに関連付けられている特権アカウントが増大していることも、根本的な理由の1つと言えます。さらに、これらのデバイス、オペレーティングシステム、アプリケーションの多くには、デフォルトのパスワードがハードコードされています。

これらすべてのアカウントの管理は極めて冗長な作業であり、多くの場合、アカウントの変更には多大な予算と時間が必要になります。その一方で、パスワードを長期間変更しないままにすれば、それだけハッキングや、コンプライアンス違反へのリスクが高くなることになります。

最重要パスワードの管理

ネットワーク上には、エンドユーザー数を上回る数の特権アカウントが存在している可能性が高いという事実をご存知ですか。デバイス、サーバー、データベース、ローカル管理者、修理用などのすべてのアカウントを合計してみるだけで、驚くべき数に達していることがわかるでしょう。

ここをご覧になっているのは、現在特権アカウントの管理が行き届いていない、あるいはアカウントの変更が頻繁に行なわれていないという問題を抱えているからではないでしょうか。特権アカウントの中には、開発者によって把握されている組み込みアカウントも含まれると考えるべきです。また、すべての最重要パスワードを変更しないまま放置しておくことは、コンプライアンスの面でも問題視される可能性があります。

これは一見するとシンプルな事柄のように見えても、環境の複雑さ、影響を受ける部署の数、特権パスワードの定期的な変更に対応するために必要となる手続変更を考えれば、簡単に解決できる問題ではないことは一目瞭然です。

最重要パスワードをコントロールし管理下に置くことで得られる明確な利点

即時の停止: 管理者や開発者の異動や退社に伴い、当事者のアクセス権をすみやかに停止することは非常に重要です。
漏洩の回避：パスワードを変更しないまま放置すれば、それだけ攻撃時のパスワード漏洩リスクは高くなります。
デフォルトパスワードの排除：多くのデバイス、オペレーティングシステム、アプリケーションにはデフォルトのパスワードが存在し、これを変更しないまま放置することは、重大な脆弱性と危険性をもたらします。
最小限の知識：パスワードを知る人間が少なければ少ないほど、怠慢または悪意による損害の可能性を低減することができます。必要な時点までパスワードが一切わからない状態にすれば、さらにこの効果はあがります。
無人によるアクセス：パスワードが組み込まれたスクリプトやプログラムは明確なリスク要因になります。クレデンシャルへのランタイムアクセスを採用し、組み込み型パスワードを排除することで、企業のセキュリティ整備は大幅に向上します。

特権アカウント管理の自動化による利点

ビジネスの継続性：すべてのパスワードを手動で変更しようとすれば、入力ミス、アカウントの見落とし、タイミングの失敗などの人為的エラーは避けられなくなり、これにによってサーバーのダウンなどの深刻な結果を招くことになります。自動化によってこうした問題を回避できます。
費用節減：アカウント数、変更頻度、システム環境の分散の度合いはすべて、パスワード管理に付随する費用を大きく左右します。自動化によってこうした費用を節減できます。
コンプライアンスの改善：パスワードの問題に関する規定はますます厳格さを増しつつあり、これらの特権アカウントの保護、リリース、管理を適切に行なっていることを定期的に証明する作業は、手動では極めて困難になります。自動化はコンプライアンスに関連する作業にも役立ちます。
簡素化：PKI や Kerberos といったアプローチでは、認証の枠組みを大幅に再編し、組織のインフラストラクチャとシステムのアーキテクチャを抜本的に見直す必要があります。また、これらのソリューションの対応範囲は 100% ではないため、導入以降も一定範囲のシステムは以前としてパスワード制御に頼らねばなりません。パスワード自動化では、パスワードの枠組みを維持しながら、監査とコンプライアンスの要件を満たすことができます。

パスワードは長年に渡り重要な役割を果たしてきましたが、今後もその役割は続きます。特権アカウント管理という問題は、コンプライアンス評価において重要視されつつあります。ストロングパスワードを作成し、パスワードをセキュアに保存する、厳格なポリシーに基づきオンデマンドで管理者にまたは実行時にプログラムにパスワードをリリースする、そして定期的にこれらのパスワードを変更するといった一連のプロセスを自動化することにより、この問題に対処するための潜在的な費用やエラーリスクをすべて解消することができます。

特権アカウント管理のインフラストラクチャ

監査環境におけるプレッシャーの高まりから、PAM ソリューションには 2 通りの需要が存在しています。

戦略的需要：パスワードに関する現在の課題のみにとどまらず、将来的なニーズ、インテグレーションの要件、拡張性、成長プラン、パフォーマンス需要、経費節減、サービスレベルの改善、新しいアプリケーションの機会、監査・コンプライアンスレポートの改善といった、一歩先の必要性を見越した需要。Cloakware を選択しているのは、こうした需要を持つ企業です。
戦術的需要：監査のプレッシャーを感じており、その要件に応じられるだけのリソースがないか、プレッシャーに圧倒され、まず監査のポイントを 1 つクリアするため、あるいは問題を調査するための時間かせぎのために即断でソリューションを購入してしまいます。こうした企業は、不適切なソリューションの導入に苦難を経験した後、改めて Cloakware を選択するにいたります。

特権アカウント管理（PAM）は事業運営の中核であり、インフラストラクチャの最も重要なコンポーネントとして考える必要があります。PAM ソリューションとベンダーの選択は、データベースや CRM、アイデンティティ管理システムといった基幹コンポーネントを選択する場合と同様に慎重に行うべきです。

特権アカウント管理のインフラストラクチャは、重要なアカウントのセキュアな保存、リリース、管理に必要となるさまざまな機能性を提供するため、多数の異なるコンポーネントを相互接続することによって構成されているというのが実情です。戦略的需要を持つ企業が求めるのは、現行のプラットフォーム構成をサポートし、既存のデバイス、オペレーティングシステム、データベース、アプリケーションにも対応でき、現行のディレクトリインフラストラクチャとアイデンティティ管理ツールをそのまま維持することも可能で、その上パフォーマンス、スケーラビリティ、アベイラビリティ、冗長性、地理的要件などに応じたシステムコンポーネントを幅広く導入できるソリューションパッケージです。