クラウド時代の特権アクセス管理（PAM）の重要性と管理ポイント

ゼロトラストセキュリティと言われて、どの機能を思い浮かべるだろうか。この連載を始めてからも幾度か触れているSDPやCASBなどのSASE分野、それから、IDaaSとして知られるIAMといった機能を思い浮かべる方が多いかもしれない。しかし、Privileged Access Management（PAM）が頭に浮かんだ方は少ないのではないだろうか。PAMは、日本語で言うと特権アクセス管理だ。ここでの特権アクセスは、Administratorやrootといった特権アカウントによるシステムへのアクセスだと思っていただきたい。

　サイバー攻撃や内部不正により特権アカウントが窃取された場合、企業にとって致命的な被害に発展する恐れがある。対策として有効となるのが特権アクセス管理だが、そもそも特権アクセスが管理されていない場合、どのようなリスクがあるかあまり知られていないように思うので、今回は特権アクセス管理の重要性について説明する。

　特権アクセスに関するリスクの例として、実際に発生したセキュリティインシデントを二つ紹介する。

　一つ目は、標的型メール攻撃を皮切りに、特権アカウントが窃取された事例だ。ある組織では、標的型メールによりクライアントPCにマルウェアが送り込まれた。攻撃者はそのマルウェアを1年以上組織内ネットワークに潜伏させた後、クライアントPCのメールボックス内の情報を窃取し、窃取したメールの内容を利用して本物と見分けがつかないメールでさらなる攻撃を行った。その攻撃により、Active Directoryの特権ID・パスワードが窃取され、多くのPCやサーバーがマルウェアに感染させられてしまったという。

　続いて二つ目の事例だ。ある組織では、普段VPNを経由したリモートアクセスによって社内システムを利用していたが、攻撃者によりVPNのID・パスワードが窃取され、社内ネットワークに侵入された。その後、社内の情報共有インフラに保管していた社内システムの特権ID・パスワードを窃取され、社内システムが不正操作されたことによりシステム停止に陥った。

　このように、特権アカウントを窃取されて被害に遭うケースは多く存在する。サイバー攻撃や内部不正において特権アカウントを窃取されることは致命的なのだ。ここで少し、ゼロトラストの考え方に触れてみたい。

　米国国立標準技術研究所（NIST）のSP800-207では、ゼロトラストを以下のように定義付けている※1。

　ゼロトラストは、ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるように、アクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のことである。

　一つ目の事例では、攻撃者はマルウェアを1年以上組織内ネットワークに潜伏させている。二つ目の事例では、VPNを通じて社内ネットワークに侵入している。ともに、上記の定義で言う“ネットワークが侵害されている場合”に当てはまるのだ。

　このような場合に、”各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念”がゼロトラストである。

※1　NIST SP800-207 Zero Trust Architecture
https://csrc.nist.gov/publications/detail/sp/800-207/final
PwC Japan NIST SP800-207「ゼロトラスト・アーキテクチャ」の解説と日本語訳
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html

　クラウドへのシフトが進む前、つまりオンプレの時代、重要なシステムはほとんどサーバー室に設置されていた。特権アカウントによるアクセスは、厳しい入退室管理が行われ、かつ、カメラで監視されているサーバー室内で行われていた。しかし、クラウドシフトにより、重要なシステムがPaaS／IaaS上に移行されている。さらに運用負荷を減らすためにSaaSを利用するケースもある。そうした変化に伴い特権アカウントによるアクセスは、社内ネットワークもしくはリモートワーク環境にある通常のPCから行われるようになってきた。

　この状況において、特権アクセスのセキュリティは保たれているのだろうか。少なくとも、従来のような厳しい入退室管理やカメラ監視がない分、セキュリティは低下しているだろう。実際、こうしたセキュリティの低下が原因で、クラウド上でセキュリティインシデントが多発しているのだ。

　例えば、ある組織ではAWS環境へのフルアクセス権限を持つアクセスキーが埋め込まれた開発用Webページを誤って公開し、アクセスキーが窃取され、開発用のAWS環境に仮想通貨マイニング用の多くの仮想マシンが作成され費用を請求された。また、AWSへのリモートデスクトップ（RDP）が許可されている環境で、特権ID・パスワードが脆弱であったため、侵入されAWS上の開発環境がランサムウェアに感染した。こうしたクラウドの特権アカウントに関する事故が後を絶たない。

　クラウドシフトはデジタルトランスフォーメーション（DX）を加速するためにも必要なことかもしれないが、システムにとって致命傷となり得る特権アカウントによるアクセスの管理が置き去りになっているのだ。

　クラウドやリモートワークを中心としたゼロトラスト環境の特権アクセス管理を行う際に、意識してほしいポイントを以下に四つ挙げる。

１．複雑化した特権アクセス経路の絞り込み
⇒特権アクセスの入り口をゲートウェイによって絞り込み、それ　以外の経路を排除する。

２．認証情報の管理と使用場所の限定
⇒特権アクセス管理システムのワークフローにより、アクセス　時間と作業内容を申請し承認を得た上で、払い出された　一時的なパスワードを利用してアクセスする。

３．厳格なアクセス者の識別
⇒多要素認証を用いて厳格に識別する。

４．アクセスログ・操作ログの取得と異常の検知
⇒画面操作、コマンド操作など可能な限りのログを取得・監視　し、不正アクセスを検知する。

　繰り返しになるが、特権アクセスはその性質上、不正利用されるリスクが高い。しかしながら、ファイアウォールなどの境界防御壁がないクラウドやリモートワークの環境において対策が後回しにされがちな状態となっているのが現状だ。

　クラウドやリモートワークを活用した効率的な働き方、DXの推進は、事業継続および成長のためには重要なことである。だが、昨今のサイバー攻撃やランサムウェアの被害を鑑みると、特権アクセス管理をはじめ、セキュリティ対策が不十分である場合、事業継続が危ぶまれるだけでなく、取引先や市場から信用を失う恐れもあることを知っておいてほしい。クラウドシフト、働き方改革の推進に合わせて、セキュリティポリシーの見直しを行い、変更が必要な部分は積極的に対策を行っていただきたい。

master：
早稲田大学グローバル
エデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
セキュリティエバンジェリスト
扇 健一 氏