特権アクセス管理を困難にする3つの課題──解決のカギを握る統合管理と「ゼロ知識暗号化」とは？

「ゼロ知識暗号化」でパスワードと特権アクセスの“統合管理”を実現

　ここまで述べたような課題に対し、Keeper Securityは「同一インターフェース上でパスワード管理と特権アクセス管理を行える」統合ソリューションを提供している。

　同社のソリューションにおける最大の特徴は、「ゼロ知識暗号化アーキテクチャ」の採用にあるという。これは、エンドポイント環境で暗号化・復号化の処理を完結させる仕組みだ。サーバー側では復号化するための鍵を持たないため、仮にサーバー側でデータが漏洩しても、暗号化されたデータのみが流出することになる。これなら情報漏洩のリスクを大幅に軽減できる。

　また、レコードやフォルダ単位で暗号化する設計により、一つの鍵が漏洩してもすべての情報が流出する事態にはならない。池原氏は、「たとえユーザー企業の管理者であっても、あるいはKeeper Security側の社員であっても、各ユーザーのデータにはアクセスできない設計になっている」と強調した。

　Keeper Securityのソリューションでは、「Web Vault」と呼ばれるインターフェース上で、パスワード情報だけでなく2要素認証コード、SSHキー、証明書情報、電子ファイルなど、あらゆるクレデンシャル情報を管理できる。パスワード管理機能では、10桁以上の強固なパスワードの自動生成、安全なパスワード共有、ダークウェブ監視によるパスワード漏洩検知、パスワード評価・監査などを提供している。

　「ダークウェブ監視機能では、漏洩しているパスワードのデータベースと照合し、ユーザーが漏洩したパスワードを使用している場合には検知して通知を行い、変更を促します。さらに、管理者はリスクのあるユーザーをリスト化してレポートできる仕組みも設けています」（池原氏）

　また、特権アクセス管理機能では、特権IDアカウントの一元管理、パスワードの秘匿化、リモートアクセス環境の提供、セッション監視、リモートパスワード変更などを統合して提供しているとのことだ。

　特権IDアカウントの払い出しにはワークフロー機能が備わっており、申請と承認のプロセスを一元管理できる。特権IDアカウントを利用するユーザーが申請を上げ、管理者が承認したうえで、必要なアカウントを払い出す仕組みになっているのである。払い出された特権IDレコードからはリモートアクセスを開始でき、SSH、リモートデスクトップ、Webブラウザを介したアクセスが可能だ。この際、パスワード情報は見えない形で通信されるため、ユーザーはパスワードを知らなくてもアクセスできる。

　「仲介するKeeper Gatewayサービスを、宛先リソースと接続性のある環境に配置し、特定のポートのみをアウトバウンドで開放するだけで構成できます。VPNを使わずにリモートアクセスが可能なため、アタックサーフェスも限定的です」（池原氏）

　リモートアクセスセッションは動画とキーストロークの形式で記録され、どういったオペレーションが行われたかを事後確認できるほか、AIベースの脅威検知モデルにより、不正な振る舞いがあった場合には自動的にセッションを遮断するセキュリティ機能も備えている。

　加えて池原氏は、エンドポイント向け特権管理（PEDM）について紹介した。これはエージェントベースのソリューションで、エンドポイント端末や一部のサーバーなどに導入し、特定タスクに応じて一時的に権限を昇格させる仕組みになっている。操作が必要なタイミングにのみアカウントを作成し、利用後に削除する「ZSP：Zero Standing Privilege」と呼ばれる特権アカウント管理に対応しているとのことだ。

　最後に同氏は、改めて台帳によるパスワード管理からの脱却が急務であることや、データ漏洩リスクを最小化できるゼロ知識暗号化プラットフォーム、ならびにパスワード管理向けのセキュリティソリューション導入の重要性を強調し、セッションを終えた。

　「Keeper Securityのソリューションであれば、パスワード管理を行うインターフェース上で、システムインフラ環境向けの特権ID管理と、そのアクセス管理の対策も講じることが可能です。ぜひ、併せて導入をご検討いただけましたら幸いです」（池原氏）