ビジネス遂行において、ユーザーの物理的な居場所の重要性が薄れてきています。2019年の調査では、調査対象者の62%が、少なくとも一定の時間自宅で仕事を行っていることが判明しました。また、同調査では、少なくとも一定の時間リモートで仕事を行っている82%が、現状のリモートワークのレベルを維持するか、さらに増やすことを予定していると報告されています。さらに、リモートワークを行っていない半数以上(51%)が、今後リモートワークを始めることを希望しています。
ここで注意が必要なのは、これらの数字には、従業員と同じように業務に取り組んでいる外部委託業者の数が含まれていないことです。外部委託業者は、多くの場合、従業員と同じように重要なシステムへアクセスする必要があります。アクセスの柔軟性が増すと、その一方でセキュリティリスクが高まります。安全ではない非効率なアクセスプロビジョニングに頼っている企業も多く、また一般的には安全なアクセス提供をVPNに依存しています。
また、各リモートワーカーに必要なアクセス権はそれぞれ異なります。メールやごく一部のビジネスアプリケーションへのアクセスのみが必要なユーザーいる一方で、給与計算、人事、営業マーケティングンのデータなど、重要なビジネスアプリケーションへのアクセスが必要なユーザーもいます。ヘルプデスクサポートが委託される外部のITサービスプロバイダーには、社内のITプロバイダーと同じように広範なアクセスが必要です。
ここでは、高度なアクセス権を必要とすることが多い上位5のリモートワーカーのタイプを例示します。CyberArk Aleroを特権アクセス管理(PAM)に利用することで、CyberArkが管理するクリティカルシステムへ安全かつ容易にアクセスしてプロビジョニングを実行できます。
1. リモートITまたはセキュリティ企業の従業員
これらのユーザーには、ドメインやネットワークの管理者など、通常は職場から重要な社内システムにアクセスしているが、現在はリモートでアクセスする必要がある従業員が含まれます。ITやセキュリティ担当者が企業のファイヤーウォールの外で作業すると、セキュリティ管理者の日常業務に支障をきたします。
IT部門やセキュリティ部門のリモート従業員に必要なアクセスレベルを正確に特定し、最小特権の原則に沿って、必要なアクセス権のみを許可することが重要です。これを効果的に行うには、アプリケーションへの細密なレベルでのアクセスが必要ですが、VPNなどの従来のソリューションは、これに対応できません。アクセス権の綿密な割り当ては、Windows管理者のルートアカウントへのアクセスなどの状況を避けることができるため重要です。
セキュリティツールとディレクトリサービスを統合して特定のアクセスを自動化するには、事前にセキュリティツールを設定しておく必要があります。
2. サードパーティのハードウェア/ソフトウェアベンダー
ITサービスプロバイダーやヘルプデスクサポート委託先を含む、ハードウェアやソフトウェアのサードパーティベンダーは、高度な権限を必要とするリモートサービスやメンテナンスを提供していることが多々あります。これらのタイプのベンダーは通常、WindowsやLinuxのサーバーやデータベース上で、パッチやシステム更新などのタスクを実行するために、管理者レベルのアクセスを必要とします。
このようなユーザーには実質上、ドメインレベルの管理者としてのアクセス権が与えられるため、適切な監視およびプロビジョニングを怠ると、IT環境に極めて多大な被害が引き起こされる可能性があります。しかし、これらのユーザを特定して、リモートベンダーアクセスを個々のレベルで管理するには通常、膨大な時間がかかるため、管理者がその場に応じて行っています。これらのユーザーをすべて特定して、適切なアクセス権が提供されていることを確認することが重要です。
3. サプライチェーンベンダー
製品の生産や配送のサポートが組織の主な業務ではない場合、それらをサプライチェーンベンダーに依頼するのが一般的です。このようなリモートユーザーは、小売業や製造業部門の在庫を監視するために、ネットワークにアクセスすることが多々あります。また、予測生産量、品質管理、その他の重要なシステムに関連する機密データへアクセスすることもできます。これらは、産業用制御システムや運用技術(ICS/OT)、またオンサイトのサプライチェーンプロセスに関連している可能性があります。
これらのベンダーには管理者の権限がないため、注意を怠っている場合があります。しかし、攻撃者によって悪用される可能性のあるアクセス権をサプライチェーンベンダーが使用していたり、不注意による誤用が深刻な問題につながる場合もあります。
4. サービス会社
法務、広報、給与計算など、部門別の業務を委託されているサービス会社は、効率的に業務を遂行するために、特定の業務アプリケーションへのアクセスが必要となる場合があります。このようなタイプのユーザーを特定して、最小特権の原則に沿って、不必要なアクセスや必要以上に長いアクセス時間を避けることが重要です。例えば、法務サービスを提供している会社に給与情報へのアクセス権が付与されているなど、実際には必要のないことが、リスクを高めている可能性があります。
カスタマーリレーションシップマネジメント(CRM)、エンタープライズリソースプランニング(ERP)、クラウドコンソールなどのビジネスクリティカルなアプリケーションは、ビジネスの継続性や運用にとって重要ですが、これらのアプリケーションに保存されているデータが悪用されると、極めて危険です。これらのアプリケーションへのアクセス権があるユーザーを特定することは非常に重要です。1つのビジネスアプリケーションから別のビジネスアプリケーションへの水平方向への移動を最小限に抑えることで、大規模なデータ侵害を阻止できます。
5. 外部コンサルタント
ビジネスコンサルタントやITコンサルタントは、請負プロジェクトの生産性を高めるために、特権アクセスを必要とする場合があります。ただし、アクセス権は契約期間中のみに限定する必要があります。このタイプのベンダーに付与されるアクセス権は、その性質上、一時的なものであり、多くの場合、業務遂行のために数日、数週間または数ヶ月間のみアクセスが必要です。しかし、その期間中、外部コンサルタントは業務の特定の領域へ広範囲にアクセスできる場合が多いです。
リスクを軽減し、ビジネスを保護するには、これらのコンサルタントの身元、必要なアクセスのタイプを早期に特定することが重要です。さらに、外部コンサルタントのアクセスが有効な期間中は、きめ細かな監視により、セキュリティを確保し、契約期間が終了すればすぐに自動的にデプロビジョニングする必要があります。
例えば、3週間のプロジェクトに参画したコンサルタントが、あまり良くない評判を受け、報酬が冷遇されたと感じていたとします。このコンサルタントが自動的にデプロビジョニングされていなければ、契約終了後も高レベルのアクセス権を使用できます。それが、逆恨み的な犯行に利用された場合、取り返しのつかない損害を被る可能性があります。あり得ないシナリオのように思われるかもしれませんが、これはアクセス昇格が定期的に監視および更新さていない場合に起こり得る被害を示す一例です。
日々のビジネス計画の一環として、リモートユーザーに依存する企業が増えている中、職場以外の場所でシステムにログインしている、さまざまなタイプのユーザーを把握しておくことが重要です。さらに重要なのは、そのアクセスを管理、監視、保護することです。
膨大な作業のように思われるかもしれませんが、SaaSベースのソリューションCyberArk Aleroは、CyberArkが管理するクリティカルシステムにアクセスするリモートユーザーに対して、安全なアクセスおよびプロビジョニングを提供します。VPN、エージェント、パスワードは不要で、多くのリモートユーザーに対して容易に展開することができます。