特権アクセス管理を困難にする3つの課題──解決のカギを握る統合管理と「ゼロ知識暗号化」とは？

パスワード管理で早急に解決すべき3つの課題

　続いて池原氏は、企業・組織におけるパスワード管理で早急に向き合うべき3つの課題を指摘した。

　1つ目は「台帳管理からの脱却」だ。Excelシートやテキストファイルでパスワード管理を行っている組織は多いが、これでは平文保管となってしまい、ファイルが漏洩した場合にパスワードまでも漏洩するリスクがある。

　2つ目は「統一・標準化されたルールに基づくパスワード利用」だ。すべての従業員が同じツールでパスワードを補完する仕組みや、管理者によるパスワード複雑性ポリシーの適用、サービス間でのパスワードの使い回し防止などが求められている。

　そして3つ目は、「パスワード情報の共有における管理運用」だ。チャットツールやメールでパスワードを共有する運用から脱却し、安全な共有と操作履歴の追跡が可能な仕組みを整備しなければならない。

「特権アクセス管理」は構成・設定、運用、費用面で課題

　パスワード管理に加えて、今日もう1つの重要テーマとなっているのが「特権アクセス管理」だ。特権アクセス管理の対象となるのは、システム上で高い権限を持つアカウントであり、たとえばLinuxにおけるrootや、WindowsにおけるAdministratorなどがこれに当てはまる。

　特権アクセス管理のソリューションは大きく2つに分けられる。1つは、システムインフラ環境向けの特権アクセス管理（PAM：Privileged Access Management）、そしてもう1つは、エンドポイントデバイス・サーバー向けの特権管理（PEDM：Privilege Elevation and Delegation Management）だ。

　PAMには、「特権ID管理」と「特権セッション管理」の2つの機能が必要だと池原氏。特権ID管理では、サーバーや仮想マシン、ネットワーク装置などといったリソース上に存在する特権IDアカウントを棚卸し、管理する仕組みが必要だという。また、それを利用するユーザーに対して、パスワードを秘匿した状態で払い出し、リモートでパスワードを変更できる機能も重要だと話す。

　特権セッション管理では、SSH、RDP、VNC、データベース、リモートブラウザ分離といった様々なプロトコルを通じてインフラへの安全なリモートアクセス環境を提供する必要がある。これらのセッション中の画面操作やキーボードの入力は、すべて記録・ログ化されるべきだ。

　特権アクセス管理の課題においても、パスワード管理と同様にExcelシートなどによる台帳管理からの脱却が挙げられる。また、特権アカウントの利用履歴を可視化することも重要だ。池原氏は「誰が、いつ、どの特権アカウントを使って、どこにアクセスして、何をしたのかを可視化したい」という昨今のユーザー側で挙がっているニーズを指摘した。

　加えて、特権アクセス管理そのもののニーズは以前からあったため、製品自体は市場に数多く存在するが、構成・設定の複雑さ、運用の難しさ、高額な費用などが障壁として立ちはだかり、導入を躊躇してきた企業や、運用で課題を抱えていた企業が少なくなかったようだ。

　「特権アクセス管理の製品は、その性質上、構成が複雑で設定が難解なものが多く、専任のエンジニアが必要となるケースもあります。また、費用面でも高額な製品が多いため、導入のハードルが高いのが実情です」（池原氏）