組織内の人間および人間以外のアイデンティティの数は急速に増加しており、遅かれ早かれ、これらの各アイデンティティが重要なリソースへのアクセスを必要とするようになります。このため、サイバー犯罪者にとって非常に魅力的なものになります。
少数の管理者だけが企業の IT インフラストラクチャに対する広範な権限を持っていた時代は遠い昔に終わりました。現在、ほとんどの従業員、アプリケーション、デバイスは、日常業務で必要な重要なリソースにアクセスするためにそのような権利を必要としています。したがって、最終的にはすべてのアイデンティティに特権が付与され、特別な保護が必要となるため、特権アイデンティティの古典的な定義は適用されなくなりました。すべてのインフラストラクチャ、システム、アプリケーションにわたるすべての ID を確実に保護するには、企業には次の 5 つのインテリジェントな認証制御が必要です。
ゼロスタンディング特権 (ZSP) およびジャストインタイム アクセス (JIT)
多くの企業は、ユーザーがその権利をほとんどまたはまったく必要としない場合でも、ユーザーに広範な権限を永続的に提供しています。 ID はライフサイクル全体にわたって一貫して管理されていないため、使用されない場合でも承認は取り消されません。特権アクセス権をジャストインタイムで割り当てて、特定のタスクに実際に拡張アクセス許可が必要な場合にのみユーザーに拡張アクセス許可を与えることをお勧めします。課題は、定義された期間のみアクセス許可を付与し、その後再度削除することです。そうしないと、権利が蓄積され、時間の経過とともにユーザーが「スーパー ユーザー」になってしまいます。権限を割り当てる最も最新の方法は、デフォルトでユーザーにゼロの固定権限を与え、ターゲット アプリケーションで権限を持たないようにすることです。属性ベースのアクセス制御ポリシー (ABAC) を使用すると、実行時のユーザー アクセス中に拡張アクセス許可が割り当てられ、セッション後に自動的に削除されます。
セッションの分離
セッション分離は、ユーザーのデバイスとユーザーがアクセスする重要なリソースの間のトラフィックをプロキシ サーバー経由でルーティングすることにより、特権アクセスを保護します。これは、直接的な接続がないことを意味し、ユーザーが攻撃された場合にリモート システムも侵害されるリスクが軽減されます。
セッションの保護と記録
プロキシ サーバーは、セッションを監視および記録する追加のコントロール ポイントとして機能します。 Web アプリケーション内またはサーバー上の個々のマウスのクリックに至るまで、すべてのアクティビティが記録されます。アクティビティを自動的に分析して、脅威を示す異常なアクティビティを検出できます。このような場合、セッションは直ちに中断されます。
エンドポイントでのアプリケーション制御
包括的なポリシーベースのアプリケーション制御により、エンドポイントを保護し、すべてのユーザー グループに安全な作業環境を構築できます。エンドポイントに最小権限の原則を適用し、アプリケーションのコンテキストとさまざまなパラメータを考慮して、アプリケーション、スクリプト、その他のアクティビティの実行を許可するかブロックするかを決定します。
資格情報と秘密の管理
ユーザー名やパスワードなどの資格情報は、ID を確実に識別するために必要です。資格情報管理では、パスワード、キー、その他の資格情報を管理するだけでなく、パスワード ガイドラインへの準拠を監視し、スケジュールや特定のイベントなどの定義された仕様に従ってパスワードやキーをローテーションします。シークレット管理により、ボット、スクリプト、クラウド アプリケーション、IoT デバイスで使用されるものなど、人間以外のアイデンティティに対して同様のセキュリティ ポリシーを適用できます。
「あらゆる種類のアイデンティティに対するサイバー攻撃は増加し続けており、より巧妙化しています」と CyberArk のソリューション エンジニアリング マネージャーの Fabian Hotarek 氏は強調します。 「そのため、組織には、人間および人間以外のアイデンティティを保護し、資格情報の盗難や権限の悪用に関連するリスクを最小限に抑えるための、インテリジェントな権限制御を備えた思慮深いアイデンティティ セキュリティ戦略が必要です。」
詳しくは Cyberark.com をご覧ください
サイバーアークについて CyberArk は ID セキュリティのグローバル リーダーです。 Privileged Access Management をコア コンポーネントとして使用することで、CyberArk は、ビジネス アプリケーション、分散作業環境、ハイブリッド クラウド ワークロード、および DevOps ライフサイクル全体にわたって、人間または人間以外のあらゆる ID に包括的なセキュリティを提供します。 世界をリードする企業は、CyberArk を利用して、最も重要なデータ、インフラストラクチャ、およびアプリケーションを保護しています。 DAX 30 企業の約 20 分の 50 と Euro Stoxx XNUMX 企業の XNUMX 社が CyberArk のソリューションを使用しています。
トピックに関連する記事