ランサムウェア対策で超重要、CyberArkとBeyondTrustらにみる「PAM（特権管理）」とは(2/2)

クラウドと自動化が特権を増やし、PAMの役割が広がる

　PAMが難しくなった理由は、管理すべき強い権限が増えたことにある。オンプレミス中心の時代は、管理者アカウントを押さえれば見通しが立ちやすかった。

　しかし、今はクラウドの普及で、権限の対象が増えた。仮想マシンやコンテナに加え、API、SaaSの管理画面、開発の自動化ツールなど、強い権限が散らばる。誰がどの権限を持ち、どこで使っているかが見えにくくなるのは自然な流れだ。結果として、必要以上に強い権限を付けたまま放置する状態が起きやすい。

　この環境では、PAMに求められる役割も広がる。特権パスワードを金庫に入れるだけでは足りない。過剰な権限を減らし、必要なときだけ使わせ、使った履歴を残す。リモート作業の入口を統制し、権限を引き上げる操作を管理し、セッションを監視して記録する。

　さらに、マシンが使う通行証である鍵や証明書なども、発行して使わせ、更新する管理が焦点になる。資格情報がどこに置かれ、誰に使われ、いつ更新されるのかを追えなければ、漏えい時の影響を抑えにくい。

　自動化が進むほど、特権の主体は人からマシンへ移る。人の管理者を守る施策は続くが、それだけでは追いつかない。市場は、特権の対象が人だけではない前提で、統制の仕組みを組み直している。PAMは、強い権限にまつわるリスクを洗い出し、減らす仕組みとして扱われ始めた。

PAM導入が失敗する3つの典型例

　PAM導入でつまずくのは、製品の差より運用の作り込み不足が多い。典型的な失敗は3つある。

　第1に、対象範囲を人の管理者アカウントに絞り、サービスアカウントや自動化ジョブ、クラウドワークロード側の通行証を後回しにすることだ。強い権限が残る場所が増えるほど、そこは攻撃者の狙い目になる。

　第2に、管理者が常に強い権限を持つ運用を変えないことだ。必要な作業のときだけ権限を付ける運用へ切り替えられなければ、PAMの狙いは薄れ、形だけになりやすい。

　第3に、記録を取って終わることだ。記録は監査やインシデント対応に使って初めて意味が出る。見ないログは抑止力にならない。

　勝ち筋は段階導入にある。まず影響が大きい管理者作業を対象にし、申請と承認、作業中だけの権限付与、作業の記録を回す。次に、リモート作業や権限昇格の統制へ広げる。

　最後に、マシンが使う通行証の管理まで範囲を広げる。運用が回る単位で進めることが定着の前提になる。目的も曖昧にしない。侵害後の封じ込めを優先するのか、監査負荷の削減を優先するのかで、設計の焦点は変わる。

　市場の伸びしろは、人の特権だけを閉じる取り組みより、マシンの特権まで含めて統制を広げられる運用設計にある。強い権限を持たせっぱなしにしない。短時間だけ使わせる。記録して追える。これをどこまで広げられるかが、導入の成否と次の拡張を分ける。