はじめに

Googleは、特権アカウントの保護に関する包括的なガイダンスを公開しました。盗まれた認証情報は、現代の組織が直面する最も危険な攻撃ベクトルの1つであり、2024年には侵入の16%を占め、2番目に多い侵入経路となっています。AIを活用した認証情報窃盗キャンペーンの台頭により、この問題はさらに緊急性を増しています。

拡大する攻撃対象領域

セキュリティチームが直面する課題は、以前よりもはるかに複雑になっています。今日の組織は、従来の管理者アカウントだけでなく、クラウド環境、コンテナ化されたアプリケーション、自動化システムなど、数多くの新しい特権ID（サービスアカウント、APIキー、開発者認証情報など）を管理しており、攻撃者はこれらを積極的に標的にしています。

Googleのガイダンスでは、「特権」とは、その誤用がシステム設定の変更、セキュリティポリシーの改変、または機密データへのアクセスにつながる可能性のあるアカウントと説明されています。この定義は、ドメイン管理者などの明白な標的だけでなく、クラウドプラットフォームへのアクセス権を持つ開発者や、Webアプリケーションを通じて財務情報を扱うビジネスユーザーにも及びます。

問題は、これらのアカウントがセキュリティ計画で見過ごされがちであることです。多くの組織は、ドメイン管理者のみに焦点を当てた狭いPAM（特権アクセス管理）戦略を維持しており、サービスアカウントやAPIキーは広範なシステムアクセス権を持つにもかかわらず、ほとんど監視されていないのが現状です。

多層防御アプローチの3つの柱

Googleは、予防、検出、対応の3つの相互接続された柱に基づいた多層防御アプローチを推奨しています。

• 予防: 組織内のすべての特権アカウントを明確に定義し、分類することから始まります。次に、実際の職務要件に基づいて適切なアクセスレベルを割り当て、すべての管理経路で多要素認証（MFA）を実装し、認証情報のローテーションとセッション記録を行うPAMソリューションを導入します。
• 検出: 特権アクティビティの可視性を維持することが求められます。セキュリティチームは、管理者アカウントからの異常な動作を特定するために監視システムを調整し、認証情報が環境内でどのように移動するかを追跡する必要があります。検出システムは、攻撃者がネットワーク内に滞在する時間（現在のグローバルな平均滞留時間は2024年で11日）を短縮することを優先すべきです。
• 対応: 侵害発生時の迅速な調査と修復を可能にする必要があります。これには、「ブレイクグラスアクセス」のためのテスト済み手順を用意し、制御を検証するための定期的なセキュリティ演習を実施することが含まれます。

PAMプログラムの成熟度段階

Googleは、特権アクセス管理プログラムの4つの成熟度段階を概説しています。

• 未開始: 手動プロセスとスプレッドシートによる追跡。
• アドホック: 場当たり的なポイントソリューション。
• 反復可能: プラットフォーム全体で一貫した制御。
• 反復的最適化: 自動化によりセキュリティを継続的に改善。

重要な提言

ガイダンスは、PAMツールの導入だけでは不十分であることを強調しています。組織は、強力なガバナンスを確立し、階層化されたアカウント構造を強制し、すべてのリソースにわたる実効的な権限を定期的に監査することが不可欠です。

---

元記事: https://gbhackers.com/google-guide-to-help-defenders-monitor-privileged-accounts/