特権アクセス: 戦略

  • [アーティクル]

マイクロソフトでは、この特権アクセス戦略を採用して、特権アクセスへの影響が大きく危険性の高い攻撃から組織のリスクを迅速に軽減することをお勧めします。

特権アクセスは、すべての組織で最も高いセキュリティ優先度である必要があります。 これらのユーザーの侵害は、組織に重大な悪影響を及ぼす可能性が高くなります。 特権を持つユーザーは、組織内のビジネスに不可欠な資産にアクセスできますが、ほとんどの場合、攻撃者がアカウントを侵害したときに大きな影響が生じます。

この戦略は、明示的な検証、最小限の特権、および侵害の想定という、ゼロ トラスト ポリシーに基づいて構築されています。 Microsoft は、この戦略に基づいて保護を迅速に展開するのに役立つ実装ガイダンスを提供しています。

重要

特権アクセスのリスクを 1 つで魔法のように軽減する「シルバーブレット」技術ソリューションはありません。複数のテクノロジを組み合わせて、複数の攻撃者のエントリポイントから保護する包括的なソリューションが必要です。 組織は、ジョブの各部分に適切なツールを持ち込む必要があります。

特権アクセスのセキュリティ保護がなぜ重要なのか?

特権アクセスのセキュリティは、他のすべてのセキュリティ保証の基礎であるため非常に重要です。攻撃者が特権アカウントを手に入れると、他のすべてのセキュリティ保証を損なう可能性があります。 リスクの観点から見ると、特権アクセスの損失は影響の大きいイベントになります。これは、業界全体で深刻なスピードで成長する可能性が高いといえます。

これらの攻撃手法は、始めはデータ盗難攻撃に使用され、結果として有名ブランドでプロファイル違反が多く発生することになりました (および報告されていない多くのインシデント)。 最近では、これらの手法はランサムウェア攻撃によって採用されており、非常に収益性の高い人間によるランサムウェア攻撃が爆発的な増加しており、業界全体にわたってビジネスの業務を意図的に中断することになっています。

重要

人間が操作するランサムウェアは、1 台のワークステーションまたはデバイスを対象したコモディティ シングル コンピューターのランサムウェア攻撃とは異なります。

次の図では、特権アクセスを使用して、恐喝に基づくこの攻撃が影響を受けやすくなっており特権アクセスを使用する可能性があることを説明しています。

PLACEHOLDER

  • ビジネスへの影響大
    • ビジネスへの影響や特権アクセス喪失のダメージの可能性を誇張するのは困難です。 特権アクセスを持つ攻撃者は、実質的にすべてのエンタープライズ資産とリソースを完全に掌握できます。これにより、機密データの開示、すべてのビジネス プロセスの停止、またはビジネス プロセスやコンピューターによるプロパティの破壊、人々の妨害、または悪化が可能になります。 あらゆる業界で、次のようなビジネスへの大きな影響が見られています。
      • 標的型データ盗難 - 攻撃者は、特権アクセスを使用して、機密性の高い知的財産にアクセスして盗み、それを使用するか、競合他社や外国の政府に販売/譲渡することができます。
      • 人間が操作するランサムウェア (HumOR) -攻撃者は特権アクセスを使用して、企業内のすべてのデータとシステムを盗んだり暗号化したりします。これにより、多くの場合、すべてのビジネス操作が停止されます。 次に、データを開示したり、ロックを解除するキーを提供しない代わりい金銭を要求することで、ターゲット組織を揺すります。
  • 発生する可能性が高い
    • 特権アクセス攻撃の流行は、パスとハッシュの技術で最新の資格情報の盗難攻撃が始まって以来、増加しています。 これらの手法では、まず、攻撃ツール「Pass-Hash Toolkit」の 2008 リリース以降の犯罪者に人気があり、信頼性の高い攻撃手法 (ほとんどは Mimikatz ツールキットをベースとする) に拡張されています。 この武器化 と技術の自動化により、攻撃 (およびその後の影響) が急速に拡大され、攻撃者と攻撃者の収益化/インセンティブ モデルに対するターゲット組織の脆弱性によってのみ制限されます。
      • 人間が操作するランサムウェア (HumOR) が登場する前は、次の理由により、これらの攻撃は広く使われていても見えないことがありました。
        • 攻撃者の収益化の制限 - 対象組織から機密性の高い知的財産を収益化する方法を知っているグループと個人のみが、これらの攻撃から利益を享受できます。
        • サイレント効果 - 組織は検出ツールを持っていなかったため、このような攻撃を受けていないことがよくありました。また、ビジネスへの影響 (たとえば、盗難にあった知的財産を競合他社がどのように使うのか、それが価格や市場に何年も後にどのように影響するのか) を確認できます。 さらに、攻撃を行った組織は、評判を守るために、多くの場合、それらについて沈黙を維持します。
      • このような攻撃に対して、無言の影響と攻撃者による収益化の制限の両方が、人間が操作しているランサムウェアの到来により崩壊しており、以下の両方であるため、その規模、影響、認知度は大きくなっています。
        • 声が大きく破壊的 - ゆすりの要求への支払をビジネス処理するため。
        • 一般に適用可能 - すべての業界におけるすべての組織は、運用を中断せずに継続する経済的動機があります。

こうした理由のため、特権アクセスは、すべての組織でセキュリティ優先順位を最上位にする必要があります。

特権アクセス戦略を構築する

特権アクセス戦略は、簡単に勝利でき進捗が漸次的であるユーザー体験です。 特権アクセス戦略の各手順では、永続的で柔軟な攻撃者を特権アクセスから「封印」することに近づいています。これは、使用可能なすべての弱点を通じて環境に水を入れようとしているかのようです。

このガイダンスは、ユーザーがユーザー体験のどこに今いるかに関係なく、すべてのエンタープライズ組織向けに設計されています。

包括的で実用的な戦略

特権アクセスによるリスクを軽減するには、複数のテクノロジに拡がるリスク軽減策を慎重かつ包括的で優先順位を付けて組み合わせる必要があります。

この戦略を構築するには、攻撃者が悪用できる多数のオプション (最初は重要ではないと思われることがあります) がある場合に攻撃者が水のようであるという認識が求められ、攻撃者は使用しているものについて柔軟であり、一般的には、目標を達成するために抵抗が最も低いパスを使用します。

Attackers are like water and can appear insignificant at first but, flood over time

攻撃者が実際の実践で優先順位を付けるパスは次の組み合わせになります。

  • 確立された手法 (多くの場合、攻撃ツールに自動化されます)
  • 悪用が簡単な新しい技術

この戦略では、関連するテクノロジの多様性によって、複数のテクノロジを組み合わせ、ゼロ トラスト原則に従う完全な戦略が必要になります。

重要

これらの攻撃から保護するために、複数のテクノロジを含む戦略を採用する必要があります。 Privileged Identity Management/Privileged Access Management (PIM/PAM) ソリューションを実装するだけでは不十分です。 詳しくは、「特権アクセスの中継局」をご覧ください。

  • 攻撃者は、動作するあらゆる種類の攻撃を使用して、目標指向型でテクノロジ不可知論者です。
  • 防御するアクセス制御のバックボーンは、エンタープライズ環境のほとんどまたはすべてのシステムに統合されています。

ネットワーク制御だけで、または 1 つの特権アクセス ソリューションだけでこれらの脅威を検出したり防ぐようにすると、他の多くの種類の攻撃に対して脆弱になります。

戦略的な想定 - クラウドはセキュリティの源です

この戦略では、次のような理由から、オンプレミスの分離手法ではなく、セキュリティと管理機能の主要なソースとしてクラウド サービスを使用します。

  • クラウドには優れた機能が備わっている - 現在利用できる最も強力なセキュリティおよび管理機能は、高度なツール、ネイティブ統合、セキュリティツールとして Microsoft が使用する1日あたりのセキュリティ信号が 8 兆以上などの膨大なセキュリティ インテリジェンスを含むクラウドサービスによるものです。
  • クラウドはより簡単でより迅速 - クラウド サービスを実装およびスケールアップするためのインフラストラクチャはほとんど必要ありません。これにより、チームはテクノロジの統合ではなく、セキュリティの任務に専念できるようになります。
  • クラウドの保守に必要なメンテナンスが少ない - クラウドも、何千もの顧客組織のための目的が 1 つである専用のチームを備えるベンダー組織によって管理、保守、およびセキュリティで保護されており、機能を厳密に管理するための時間と労力を削減できます。
  • クラウドで改善が続く - クラウド サービスの機能が継続的に更新されるようになりました。組織が継続的に投資する必要はありません。

Microsoft の推奨する戦略は、特権アクセス用に 「ループの閉じた」システムを段階的に構築することです。これにより、信頼できる 「クリーンな」デバイス、アカウント、および中継システムのみをビジネス機密システムへの特権アクセスに使用できます。

ボートなど実際の生活における防水性の複雑なもののように、意図的な結果を持ってこの戦略を設計し、標準を慎重に構築して従い、その結果を継続的に監視および監査して、リークを修復します。 ボードをボートの形にして、魔法のように防水性のあるボートを期待しているだけではだめです。 まず、船体などの防水の重要なアイテムや、エンジンやステアリング メカニズムなどの重要なコンポーネントを作成します (誰かが入ってくる道は残したまま)。その後が、ラジオや座席などのような 防水性のお楽しみアイテムです。 また、最も完璧なシステムが後でリークを発生させる可能性もあるため、時間の経過と共に維持することもできます。そのため、予防的なメンテナンスを行い、リークを監視して、沈まないように修正する必要があります。

特権アクセスのセキュリティ保護には、2 つの簡単な目標があります。

  1. 特権アクションを実行する権限を、いくつかの承認された経路に厳密に制限する
  2. これらの経路を保護し、厳密に監視する

システムにアクセスするための経路には、ユーザー アクセス (機能を使用) と特権アクセス (機能の管理または機密機能へのアクセス) の 2 種類があります。

Two pathways to systems user and privileged access

  • ユーザーアクセス - 図の下部にある薄い青色のパスは、電子メール、コラボレーション、Web 閲覧、基幹業務アプリケーションや Web サイトの使用などの一般的な生産性向上タスクを実行する標準ユーザー アカウントを示しています。 このパスには、デバイスまたはワークステーションにログオンするアカウントが含まれます。これには、リモート アクセス ソリューションのような中継局を通過し、エンタープライズ システムと対話することがあります。
  • 特権アクセス - 図の上部にある濃い青色のパスは、特権アクセスを示しています。 IT 管理者やその他の機密性の高いアカウントなどの特権のあるアカウントは、ビジネスに不可欠なシステムやデータにアクセスしたり、エンタープライズ システムで管理タスクを実行したりします。 技術的なコンポーネントは本質的に似ているかもしれませんが、敵対者が特権アクセスにより被るダメージはずっと大きくなります。

フル アクセス管理システムには、ID システムと承認された昇格パスも含まれています。

Two pathways plus identity systems and elevation paths

  • ID システム - アカウントと管理グループ、同期とフェデレーションの機能、および標準および特権のあるユーザーのためのその他の ID サポート機能をホストする ID ディレクトリを提供します。
  • 承認された昇格パス - 標準ユーザーが特権ワークフローを操作できるようにします。たとえば、マネージャーやピアは、Privileged Access Management/Privileged Identity Management システムでジャストインタイム (JIT) プロセスを通じて、機密システムに対する管理権限の要求を承認します。

これらのコンポーネントは、敵対者が企業に対する昇格されたアクセスを試みるためにターゲットとする特権アクセスの攻撃サーフェスをまとめて構成します。

Attack surface unprotected

Note

お客様が管理するオペレーティング システムでホストされているオンプレミスおよびサービスとしてのインフラストラクチャ (IaaS) システムの場合、管理とセキュリティ エージェント、サービス アカウント、および潜在的な構成の問題によって、攻撃サーフェスが大幅に増加します。

維持可能で管理しやすい特権アクセス戦略を作成するには、許可されていないすべてのベクトルを終了する必要があります。これにより、アクセスする唯一の方法を表すセキュリティで保護されたシステムに物理的に装着されたコントロール コンソールに実質相当するものが作られます。

この戦略では、次の組み合わせが必要です。

  • このガイダンスに記載されているゼロ トラスト アクセス制御(迅速な近代化計画 (RAMP) を含む)
  • 資産の保護 。これらのシステムに対して、適切なセキュリティのウィルス予防策を適用することで、直接の資産攻撃から保護します。 リソース (アクセス制御コンポーネント以外) の資産保護は、このガイダンスの対象外ですが、通常は、セキュリティ更新プログラムやパッチの迅速な適用、製造元/業界のセキュリティ基準を使用したオペレーティング システムの構成、保存時および転送中のデータの保護、およびセキュリティのベストプラクティスと 開発/DevOps プロセスの統合が含まれます。

Reduce the attack surface

ユーザー体験における戦略的イニシアチブ

この戦略を実装するには、それぞれに明確な結果と成功条件を持つ 4 つの補完的なイニシアチブが必要です。

  1. エンドツーエンドのセッション セキュリティ - 特権セッション、ユーザー セッション、および承認された昇格パスに対して明示的なゼロ トラスト検証を確立します。
    1. 成功条件: 各セッションは、アクセスを許可する前に、各ユーザー アカウントとデバイスが十分なレベルで信頼されていることを検証します。
  2. ディレクトリ、ID 管理、管理 アカウント、同意付与などを含む ID システムの保護と監視
    1. 成功条件: これらの各システムは、ホストされているアカウントのビジネスへの影響の可能性に適したレベルで保護されます。
  3. ローカル アカウントのパスワード、サービス アカウントのパスワード、またはその他のシークレットを使用するラテラル走査から保護するために、ラテラル走査を軽減します。
    1. 成功条件: 1 台のデバイスを侵害しても、環境内の多くのデバイスやその他のデバイスが直ちに制御されるわけではない
  4. 敵対者のアクセスと環境内の時間を制限する迅速な脅威対応
    1. 成功条件: インシデント対応プロセスは、特権アクセスを失うことにつながる多段階攻撃を環境内で敵対者が確実に実行することができないよう妨害します。 (管理者特権アクセスをほぼゼロにしすべてのインシデントの MTTR を数分に減らすことによって、インシデントの平均修復時間 (MTTR) を短縮することで測定。これにより、敵対者は特権アクセスをターゲットにする時間がなくなる)

次のステップ