先日開催された展示会「Interop Tokyo」にて、Keeper Securityが販売パートナーであり、導入ユーザーでもあるJTPとともに、セミナーを行った。このセミナーではKeeper Securityが認証情報を狙う攻撃の動向とAI時代の認証統合管理の重要性を示し、同社特権アクセス管理製品「KeeperPAM」を自社の運用基盤に導入したJTPからは、採用の決め手として、パスワード管理と特権管理という2つの機能を高いレベルで実現できる「統合」と、細やかな「最小特権」である点などが具体的に語られた。今回は同セミナーの様子をレポートしていく。
急増する認証情報は攻撃者にとって格好の標的
セミナー前半はKeeper Security APAC アジアパシフィック地域営業統括本部の中澤陽彦氏が登壇した。中澤氏は、システム同士が連携するたびに認証情報が生まれていること、そして認証を受ける対象が人間からマシン、NHI(Non-Human Identity/非人間ID)、さらにはAIエージェントへと広がっている、と指摘。管理すべき認証情報も、人間で数百、マシンで数十万、NHIやAIエージェントに至っては無限大ともいえる規模に膨張していく。
誰がどこにアクセスしてよいかを判断する根幹が認証情報であり、機密性が高い。そして、攻撃者はこの認証情報を執拗に狙う。「攻撃者の視点に立てば、正規の認証情報を入手して侵入するのが圧倒的に効率がよい」と中澤氏は語る。正規のIDで侵入されると、攻撃なのか本人なのか区別がつかない。このステルス性の高さゆえに、検知も防御も難しいという。
盗まれた認証情報はダークウェブで数百円から数千円で売買され、社員になりすました攻撃者が社内を横移動(ラテラルムーブメント)し、管理者特権を奪って情報の窃取や暗号化に至る。これがランサムウェアの典型的な流れだ。
パスワードと特権アクセスを束ねる「KeeperPAM」
中澤氏は、こうした攻撃を許す課題が「運用」「保管」「アクセス」「実行」の各段階に潜むと整理する。推測されやすいパスワード、ブラウザのパスワード管理機能や平文でPCのテキストでの保管、スプレッドシートの台帳にまとめた認証情報のファイルサーバーでの共有、特権IDの使い回し、常時付与された管理者特権で誰でも作業できてしまう状態、といった攻撃される余地に対し、Keeper Securityは攻撃の段階に対応した4つの防御を提示する。侵入の防御として「パスワード管理」、IT部門が管理するシステムのアクセス防御として「特権アクセス管理」、実行の防御として「エンドポイント特権管理」、最後に横展開の防御として、認証情報には本人しかアクセスできず、復号もできない「ゼロナレッジ」を採用し、管理者やKeeper社員でもユーザーのデータを見られない保管庫としての「Keeper Vault」だ。
これらの製品や機能を束ねるのが特権アクセス管理の「KeeperPAM」である。パスワード管理製品では、パスワードの自動生成は推測される単語を利用せず、使い回し防止も含めながら8桁から99桁まで対応し、管理者が桁数の下限を強制できるほか、ダークウェブ監視や、管理者側として使い回し・多要素認証の利用状況をダッシュボードで可視化する評価・監査機能も備え、企業のガバナンス・コンプライアンス対応を支援する。
そして、特権アクセス管理のコアの機能として、顧客環境に設置するゲートウェイ経由で人間が介在せずにパスワードローテーションさせる機能や、パスワードを秘匿したまま作業させ、操作はすべて動画ベースで記録。ログに関してはSIEMとスムーズに連携が可能だ。SaaS基盤は米国政府機関向けのFedRAMPおよびGovRAMPで最高位の認証を取得し、量子コンピューター対策も先行して実装している。
Keeper Security APAC
アジアパシフィック地域営業統括本部
中澤陽彦氏
自社の基盤にも導入し、その知見を活かし導入サービスを提供するJTP
続いて、KeeperPAMを実際に導入したユーザーの立場から、JTPのサイバーセキュリティ部、浪崎潤一氏が登壇。自社の事例を交えて語った。本セミナーで浪崎氏が中心に語ったのは、「なぜKeeper Securityを採用したのか」と「ユーザーに安心・安全に使ってもらうために何を提供できるのか」の2点だ。
JTPはセキュリティ、生成AI、クラウド構築・運用など幅広い分野で事業を展開しており、Keeper Securityのチャネルパートナーだ。そして同時に、JTPは自社の運用基盤にもKeeper Securityを導入した「ユーザー」でもある。
同社では顧客のクラウド環境をリモートで監視・運用するサービス「Kyrios(キリオス)」を提供しており、その中にKeeper Securityのソリューションが導入されている。浪崎氏は「Keeperで守るのは顧客の環境だけではない。運用を担うオペレーター自身を保護することも大きな目的だ」と語る。ガイドラインに沿ってパスワードを設定するユーザー側の保護と、運用環境が正しく使われているかを見る管理者側の保護の両面がある。ユーザーも管理者もKeeper Vaultを中心にアクセスし、「正しい人が必要なときにだけアクセスできる」状態を実現しているという。
採用の決め手は「統合」と、細やかな「最小特権」
まず「なぜ採用したのか」について、浪崎氏は「単一の製品でパスワード管理と特権管理という2つの機能を、高いレベルで実現できる」点を挙げる。従来は別々の製品で担っていた領域を一本化でき、アクセスし管理するインターフェースも単一にまとまるため、運用の手間と教育コストの双方を抑えられるのだ。
加えて浪崎氏は、最小特権の細やかさも採用の理由として述べる。ユーザー単位でアクセスを絞るだけでなく、各ユーザーやプログラムが使うライブラリ、実行ファイル、さらにはデータベースのクエリまで細かく制御できる点が魅力的だった。さらに、ISMSの運用で求められる操作履歴を、画面キャプチャを含めて証跡として残せる点も、顧客環境を預かる立場として選定の理由になったという。JTPは顧客の多様な環境をリモートで預かるだけに、こうした統合性と制御の細かさが、サービス品質を左右する要件になっていた。
特にKeeper Securityのエンドポイント特権管理は、管理者権限を恒久的に付与することなく、必要な操作に対してのみ権限を昇格できるため、利便性を損なわずに最小特権を実現できる点も評価が高い。
接続情報の整理、操作性、権限の分担。導入で押さえた3つのポイント
実際の導入と運用に向けては、いくつもの考慮点があった。1つめは、接続情報の洗い出しだ。対象となるシステムやアカウントは多岐にわたり、その棚卸しは導入の最初の関門になる。「従来の特権管理ツールは特権IDを軸にした情報整理が必要だ。Keeperはアクセスするユーザーを軸に設計できる」と浪崎氏は振り返る。この設計思想の違いにより、柔軟かつ迅速に導入を進められたという。
2つめは、使い勝手である。パスワードや特権は、現場のオペレーターやユーザーが頻繁に触れるツールになるため、ストレスなく使い続けられるかが重要だ。「機能は多くても使いづらい製品が少なくないなかで、Keeperは直感的に操作できた」と浪崎氏は語る。
3つめが、運用を意識した管理者権限の調整だ。全権を持つ管理者だけに頼るのではなく、全体管理者・サブ管理者・現場の一般ユーザーといった役割ごとに権限を分けることで、現場対応の速さと安全性を両立し、管理の行き届かない特権レコードが生まれないようにしている。
JTP
サイバーセキュリティ部
浪崎潤一氏
導入して終わりにしない――ユーザーに安心・安全に使ってもらうための伴走支援
続いて浪崎氏は、「ユーザーに安心・安全に使ってもらうために何を提供できるのか」について語った。
JTPは、予防型セキュリティソリューション「RedLens」として、「ガバナンス」「特定」「防御」の3つの領域から、アセスメントを通してサイバー攻撃の標的となりにくい組織づくりを支援している。同社が提供し続けてきた内部不正・情報漏洩対策ソリューション「Proofpoint ITM」と同じサービス形態を、要件定義から運用までを支える「導入支援サービス」としてKeeper Securityにも適用している。同サービスは、要件定義から導入・実装、展開、調整・改善、監視・運用までの各フェーズを、必要に応じて顧客と二人三脚で進める設計だ。「最初に何を守るべきか、そのために製品でどうアプローチするかという要件定義が非常に重要だ」と浪崎氏は語る。
そのうえで、「実装後のメンテナンスと改善こそが要だ。セキュリティ製品は導入したら終わりではなく、常に最新の状態にアップデートしていかなければならない」と浪崎氏は指摘する。誤検知のチューニングなどを顧客と一緒に重ね、最終的には顧客自身で運用できる状態を目指す。運用にかかる負荷については、監視・運用サービスのKyriosで引き受け、導入から運用までを一気通貫で支援するという。クラウド基盤の設計・構築からKeeper Securityの監視・運用までを同じ体制で引き受けられる点が、ユーザー企業の負担軽減につながっているのだ。
ランサムウェア対策やSCS評価制度への対応が求められるなか、特権アクセス管理は「製品を入れて終わり」ではなく、選定から運用定着までをどう設計するかが問われている。自らユーザーとして製品を使い込み、その知見をサービスとして顧客に還元するJTPの事例は、特権アクセス管理を検討する企業にとって、導入後の現実的な道筋を示すものとなるだろう。