ネイティブ特権セッション管理によるワークフローの保護

April 16, 2020 Corey O'Connor

Salesforceなどの使いやすいWebアプリケーションから、Windows Remote Desktop Protocol (RDP)などのIT中心機能まで、今日のワークプレースツールは非常に強力です。最新および従来の両方のツールとテクノロジーを組み合わせることで、従業員の生産性と運用効率を向上させることができますが、セキュリティチームとコンプライアンスチームには特権アクセスの拡張という新たな課題が数多く発生します。

あらゆるところに存在する特権

特権ユーザーとは、ビジネスプロセスの運用サービスを変更でき、ビジネスに影響する権限を持つユーザーです。これには、システム管理者だけでなく、見た目には「特権」とはみなされないユーザも含まれます。特権アクセスは、他のシステムに接続するアプリケーション、マシン、サービスアカウント、およびロボテックプロセスオートメーション(RPA)ワークフローの一部であるソフトウェアロボットにも適用されます。

企業がより多くのワークロードをクラウドに移行する中、デジタルトランスフォーメーションのイニシアチブが倍増し、プロセスの自動化が進むにつれて、特権ユーザーとアカウントの数が増加し、潜在的な攻撃対象領域が拡大し続けています。各ステップを進めていくことで、ロックする必要のある新しい「扉」が追加されます。

しかし、ビジネスアジリティの促進が優先され、組織が急いで先に進むと、これらの「扉」をロックすることが見落とされされる場合がよくあります。RPAとアプリケーションの認証情報には、多くの場合、機密データやシステムへの広範なアクセスを提供する、高度な特権が付与されます。これらの認証情報が適切に保護されていないと、企業が不要なリスクにさらされる可能性があります。攻撃者はこれを理解しており、保護されていない入口を標的としつつあり、保護されていない強力な認証情報を探し求めて攻撃目標にたどり着こうとしています。

今日のデジタル環境で、革新と進化を安全に推進していくにはどうすればよいでしょうか?また、これらの「扉」をすべてロックして、生産性を低下させずに、安全性を維持するにはどうすればよいでしょうか?多くの組織とって達成が困難とみなされるかもしれない、このような課題をネイティブ特権セッション管理で克服できます。

ネイティブ特権セッション管理のベネフィット

特権アカウントのセキュリティをユーザーおよびシステムの両方のアクセスレベルで保護することで、外部の攻撃者や社内の脅威が認証情報を不正に使用して監視ソリューションやセキュリティ制御を迂回する活動を制限できます。オンプレミス、ハイブリッド、クラウドの環境全体にわたって効果的な保護を実現するには、リスクを軽減できると同時に、従業員が業務を行うために必要不可欠なツールを継続的に使用できる適切なツールを選定する必要があります。

特権セッション管理は、あらゆる特権アクセス管理(PAM)プログラムの基本コンポーネントであり、次の機能を組織にもたらします。

  • 機密性の高い攻撃対象マシンからエンドユーザーを隔離することにより、サイバー攻撃を防止。
  • ポリシー、ワークフロー、特権付きシングルサインオン機能により、特権セッションアクセスに対する説明責任を確立および管理
  • セッション記録により、攻撃対象マシンにフットプリントを残さずに、監視とコンプライアンスを継続。

高度な特権セッション管理機能を備えた CyberArk Privileged Access Securityソリューションは、エンドユーザーが使い慣れたネイティブツールやワークフローを自由に操作できると同時に、認証情報の漏洩を防止し、重要な資産を隔離し、リスク別にセッションを自動的に記録し、セッションを分類することで、監査担当者の生産性を向上させます。弊社が最近のデモで紹介している一連のネイティブデプロイオプションには以下が含まれます。

  • CyberArk Webインターフェースからすべてのシステムおよびアプリケーションにアクセス
  • SSHおよびWindows管理者向けのネイティブアクセス
  • クラウド管理者および特権ビジネスユーザーのネイティブアクセス

以下はデモの主な内容です。その他のユースケースについては、オンデマンドウェビナーa href=”https://www.cyberark.com/resource/enable-secure-productivity-with-native-session-management/”>「ネイティブセッション管理で安全に生産性を確保」をご覧ください。

ワークフロー1:CyberArk Privileged Session Manager for Windows

Windowsのセキュアなセッション接続を確立するためのオプションとして、RDPファイル、ActiveX、HTML5ゲートウェイ、およびRDPプロキシによるネイティブアクセスをご利用いただけます。ユーザーの操作環境、セキュリティに関する考慮事項、業界の規制に基づいて、貴社の環境に最適なオプションを選択できます。

ここでは、RDPを介して安全なセッションを確立する方法について要約を説明します。

図1: CyberArk Privileged Session Manager for Windows 

 

ワークフロー2:CyberArk Privileged Session Manager for SSH

CyberArk Privileged Session Manager for SSHにより、ネットワークデバイスなどへの特権アクセスを保護、制御、監視、および監査できます。Microsoft Active Directory(AD)と統合して、UNIXおよびLinuxシステムでユーザを透過的にプロビジョニングしてユーザ管理を合理化し、ユーザワークフローを中断することなく、管理費を削減できます。

Privileged Session Manager for SSHは、ネットワークデバイスまたは任意のSSHベースの攻撃対象システムで特権ユーザーが実行する不正なコマンドも制限できます。

従来のPrivileged Session Managerと同様、このソリューションにより、エンドユーザーを攻撃対象マシンから隔離して、パスワードやキーワードを漏らさずに特権セッションを開始できます。Privileged Session Manager for SSHは、すべての特権アカウントで実行されるすべての活動の概要を表示することもできます。すべての活動を完全に監視して、厳格な監査基準をサポートします。最終的に、このソリューションを使用することで、リスクの高い特権セッションをリアルタイムで特定してセッションを自動的に中断または終了して、認証情報の自動ローテーションを実行できます。

機能説明。

図2: CyberArk Privileged Session Manager for SSH

 

ワークフロー3:CyberArk Privileged Session Manager for Web

CyberArk Privileged Session Manager for Webは、すべての主要なクラウドプラットフォームおよびWebアプリケーションに安全なネイティブアクセスを提供します。

クラウドコンソールの管理アカウント、business critical applicationsSalesforceなどのビジネスクリティカルなアプリケーション、DevOps toolsOpenShift などのDevOpsツールでの活動記録を作成することで、ユーザーのアクションを追跡できます。アクションは、個々の許可されたユーザーに直接トレースされます。これにより、説明責任が確実になります。また、セキュリティの脆弱な領域や悪意のある活動を行っている可能性のある不正な社内脅威を特定するのにも役立ちます。すべてのCyberArk Privileged Session Managerのユースケースと同様、組織はリスクスコアをクラウドコンソールセッションに割り当て、リスクの高い活動をセキュリティ運用チームに自動的に警告できます。

CyberArkソリューションは、すべての主要なクラウドコンソールをサポートしているため、Universal Connector Generatorを使用することで、他のプラットフォームやカスタム(独自仕様)アプリケーションをサポートするWebコネクタを容易に作成できます。

ワークフローをご覧ください。

図3: CyberArk Privileged Session Manager for Web

 

CyberArkを使用することで、Windows、UNIX、Linux、クラウド、SaaS、Webアプリケーション、ソーシャルメディアなどへのセキュアなネイティブアクセスを実装できます。ハイブリッド環境全体にわたってリスクベースのセッションレビュー、リスク軽減、監査を統合して、ユーザーの生産性を最大限に高める方法について、オンデマンドウェビナーをご覧いください。またはデモをご依頼ください

以前の記事
Office Exodusによるエンドポイント(In)のセキュリティ強化 | CyberArk
Office Exodusによるエンドポイント(In)のセキュリティ強化 | CyberArk

世界中で予想もしなかった勢いでリモートワークへの移行が進んでいます。このような状況において、CISCO社では、従業員を迅速に稼働させ、不確実性に直面した場合に決定的なリーダーシップを発揮する能力を試行しています。...

次の資料
スマートグリッドの保護:特権アクセスセキュリティが最重要のエネルギーおよび公益事業のインフラストラクチャを保護するための鍵となる理由
スマートグリッドの保護:特権アクセスセキュリティが最重要のエネルギーおよび公益事業のインフラストラクチャを保護するための鍵となる理由

この電子ブックでは、重要なエネルギーおよび公益事業インフラを高度なサイバー攻撃から保護するために、特権アクセスセキュリティが極めて重要な役割を果たすことを説明しています。