Privileged Access Management のロールを定義する

  • [アーティクル]

Privileged Access Management では、ジャスト イン タイムのアクセスを必要に応じてアクティブ化できる特権ロールにユーザーを割り当てることができます。 これらのロールは、手動で定義し、要塞環境で確立します。 この記事では、PAM で管理するロールを決定するプロセス、およびそれらに適切なアクセス許可と制限を定義する方法について、順を追って説明します。

重要

この記事のモデルは、PAM を使用して分離された Active Directory 環境MIMされています。 ハイブリッド環境の場合は、代わりにエンタープライズ アクセス モデルのガイダンス を参照してください

Privileged Access Management のロールを定義する最も簡単なアプローチは、スプレッドシート内のすべての情報をコンパイルすることです。 ロール内のロールを一覧表示し、ガバナンス要件とアクセス許可を識別するために列を使用します。

ガバナンス要件は、既存の ID とアクセス ポリシー、またはコンプライアンス要件によって異なります。 各ロールを識別するパラメーターの例として、以下が挙げられます。

  • ロールの所有者
  • そのロールに属することができるユーザー候補
  • ロールの使用に関連付ける必要のある認証、承認、または通知の制御

ロールのアクセス許可は、管理されているアプリケーションに依存します。 この記事では、Active Directory をサンプル アプリケーションとして使用し、アクセス許可を次の 2 つのカテゴリに分割します。

  • Active Directory サービス自体の管理 (レプリケーション トポロジの構成など) に必要なアクセス許可

  • Active Directory に保持されているデータの管理 (ユーザーとグループの作成など) に必要なアクセス許可

ロールを識別する

PAM で管理するすべてのロールを識別することから始めます。 ワークシートでは、可能性のある各ロールに独自の行があります。

適切なロールを見つけるには、管理の範囲内の各アプリケーションについて次の点を考慮してください。

  • アプリケーションがあるのは、階層 0、階層 1、または階層 2 ですか。
  • アプリケーションの機密性、保全性、または可用性に影響を与える権限は何ですか。
  • システムの他のコンポーネントに、アプリケーションが依存していますか。 たとえば、データベース、ネットワーク、セキュリティ インフラストラクチャ、仮想化、またはホスティング プラットフォームに依存していますか?

これらのアプリに関する考慮事項をグループ化する方法を決定します。 明確な境界がある必要なロールに、アプリ内の一般的な管理タスクを完了するのに十分なアクセス許可だけを付与します。

常に、最小限の特権を割り当てるようにロールを設計します。 この作業では、ユーザーの現在の (または予定されている) 組織上の責任をベースにすることができるため、ユーザーの職務に必要な特権が含められます。 また、リスクが生じることなく操作を簡略化する特権を含めることもできます。

ロールに含めるアクセス許可を特定する際の、その他の考慮事項は次のとおりです。

  • ある特定のロールで作業するユーザーは何名でしょうか。 少なくとも 2 名に満たない場合、定義が狭すぎて役に立たないか、既に特定の 1 名の職務を定義したことになります。

  • 1 名のユーザーが引き受けるロールの数はいくつでしょうか。 ユーザーは職務に応じて正しいロールを選択できるでしょうか。

  • どれだけの人数のユーザーが、どのようにして特権アクセス管理に対応しているアプリケーションとやり取りを行いますか。

  • 管理業務と監査業務を切り分けて、管理目的のロールを持つユーザーがその操作中に監査レコードを消去できないようにすることはできますか。

ロールのガバナンス要件を確立する

ロールの候補を決定したら、スプレッドシートへの記入を開始します。 組織に関係する要件の列を作成します。 考慮すべき次のような要件があります。

  • 今後のロールの定義、アクセス許可の選択、ロールのガバナンス設定の維持について責任を負う、ロールの所有者は誰になりますか。

  • ロールの職務を遂行する、ロールの保持者 (ユーザー) は誰になりますか。

  • ロールの保持者に適したアクセス方法 (次のセクションで説明します) はどのようなものですか。

  • ユーザーが各自のロールを有効にするときに、ロールの所有者による手動での承認は必要ですか。

  • ユーザーが各自のロールを有効にするときに、通知は必要ですか。

  • このロールが使用されるときに、追跡を目的として SIEM システム内でアラートまたは通知を生成する必要はありますか。

  • ロールが有効になっているユーザーがログオンできるコンピューターを制限し、そのロールの職務を遂行するためにアクセスする必要があり、ホストの検証が十分になされており特権/資格情報を誤用から保護できるコンピューターのみにログオンできるようにする必要はありますか。

  • ロールの保持者に対し、管理専用のワークステーションを用意する必要はありますか。

  • このロールに関連付けられているアプリケーションのアクセス許可 (以下の AD のサンプル一覧を参照) はどれですか。

アクセス方法を選択する

特権アクセス管理システム内の複数のロールに、同じアクセス許可が割り当てられていることがあります。 これは、異なるユーザー コミュニティに個別のアクセス ガバナンス要件がある場合に発生することがあります。 たとえば、組織は、フルタイムの従業員と、別組織に属する外部委託の IT 従業員に対して、異なるポリシーを適用する場合があります。

場合によっては、あるユーザーが特定のロールに永続的に割り当てられることがあります。 その場合、ロールの割り当てを要求したり有効にしたりする必要はありません。 永続的な割り当てを行うシナリオの例として、次のようなものがあります。

  • 既存のフォレスト内の管理されたサービス アカウント

  • 既存のフォレスト内のユーザー アカウントのうち、資格情報が PAM の外部で管理されているアカウント。 たとえば、"非常事態用" アカウントが挙げられます。 非常事態用アカウントでは、信頼に関する問題や DC の正常性の問題などを修正する場合に、"ドメイン/DC メンテナンス" のようなロールが必要になる場合があります。 ブレークグラス アカウントとして、物理的にセキュリティで保護されたパスワードでロールが永続的に割り当てられます)

  • 管理フォレスト内のユーザー アカウントのうち、パスワードで認証されるユーザー アカウント。 たとえば、年中無休の体制で永続的な管理者向けのアクセス許可を必要としており、強力な認証をサポートできないデバイスからログオンするユーザーが挙げられます。

  • 管理フォレスト内のスマートカードまたは仮想スマートカードを使用するユーザー アカウント (たとえば、頻度の低いメンテナンス タスクで必要となる、オフラインのスマート カードを持つアカウント)

Active Directory アクセス許可を委任する

Windows Server では、新しいドメインを作成すると、"Domain Admins" などの既定のグループが自動的に作成されます。 これらのグループは簡単に使用開始でき、小規模な組織に適している場合があります。 大規模な組織や、管理特権をさらに分離する必要がある組織では、これらのグループを空にして、アクセス許可をきめ細かく設定したグループで置き換える必要があります。

Domain Admins グループの制限事項の 1 つは、外部ドメインのユーザーはメンバーになることが許可されていないことです。 もう 1 つの制限事項は、次の 3 つの個別の機能にアクセス許可が付与されていることです。

  • Active Directory サービス自体の管理
  • Active Directory に保持されているデータの管理
  • ドメインに参加しているコンピューターへのリモート ログオンの有効化。

Domain Admins などの既定のグループの代わりに、必要なアクセス許可のみを提供する新しいセキュリティ グループを作成できます。 その後、MIM を使用して、それらのグループ メンバーシップを管理者アカウントに動的に提供してください。

サービス管理のアクセス許可

次の表に、AD を管理するロールに含めるのに適切なアクセス許可の例を示します。

ロール 説明
ドメイン/DC メンテナンス Domain\Administrators グループのメンバーシップは、トラブルシューティングと、ドメイン コントローラーのオペレーティング システムの変更が可能です。 フォレスト内の既存ドメインへの新しいドメイン コントローラーの昇格、および AD ロールの委任といった操作です。
仮想 DC の管理 仮想化管理ソフトウェアを使用して、ドメイン コントローラー (DC) 仮想マシン (VM) を管理します。 この特権は、管理ツールでのすべての仮想マシンのフル コントロールを通じて、またはロールベースのアクセス制御 (RBAC) 機能で付与することができます。
スキーマ拡張 新しいオブジェクト定義を追加したり、スキーマ オブジェクトのアクセス許可を変更したり、オブジェクトの種類に対するスキーマの既定のアクセス許可を変更したりするなど、スキーマの管理を行います。
Active Directory データベースのバックアップ DC およびドメインに委託されたすべてのシークレットを含む、Active Directory データベース全体のバックアップ コピーを作成します。
信頼関係と機能レベルの管理 外部のドメインおよびフォレストとの信頼関係を作成および削除します。
サイト、サブネット、およびレプリケーションの管理 サイト、サブネット、およびサイト リンク オブジェクトの変更を含め、Active Directory レプリケーション トポロジ オブジェクトを管理し、レプリケーション操作を開始します。
GPO の管理 ドメイン全体のグループ ポリシー オブジェクトを作成、削除、変更します。
ゾーンの管理 Active Directory 内の DNS ゾーンとオブジェクトを作成、削除、変更します。
階層 0 の OU の変更 Active Directory 内の階層 0 の OU と含まれるオブジェクトを変更します。

データ管理のアクセス許可

次の表に、AD に保持されているデータを管理または使用するロールに含めるのに適切なアクセス許可の例を示します。

ロール 説明
階層 1 の管理 OU の変更 Active Directory 内の階層 1 の管理オブジェクトを含む OU を変更します。
階層 2 の管理 OU の変更 Active Directory 内の階層 2 の管理オブジェクトを含む OU を変更します。
アカウント管理: 作成/削除/移動 標準ユーザー アカウントを編集します。
アカウント管理: リセットとロック解除 パスワードをリセットし、アカウントをロック解除します。
セキュリティ グループ: 作成と変更 Active Directory 内のセキュリティ グループを作成および変更します。
セキュリティ グループ: 削除 Active Directory 内のセキュリティ グループを削除します。
GPO 管理 階層 0 のサーバーに影響しないドメイン/フォレスト内のすべての GPO を管理します。
参加 PC/ローカル管理者 すべてのワークステーションのローカル管理者権限を付与します。
参加サーバー/ローカル管理者 すべてのサーバーのローカル管理者権限を付与します。

ロールの定義の例

ロール定義の選択は、管理されているサーバーのレベルによって異なります。 これは、管理されているアプリケーションの選択によっても異なります。 Exchange やサード パーティ製エンタープライズ製品 (SAP など) のようなアプリケーションでは、多くの場合、委任された管理を目的として独自のロールの定義が追加されます。

次のセクションでは、一般的なエンタープライズ シナリオの例を示します。

階層 0 - 管理フォレスト

要塞環境のアカウントに適したロールには次のものが含まれることがあります。

  • 管理フォレストへの緊急アクセス
  • "レッド カード" 管理者: 管理フォレストの管理者であるユーザー
  • 運用フォレストの管理者であるユーザー
  • 運用フォレスト内のアプリケーションに対する制限された管理権限を委任されたユーザー

階層 0 - エンタープライズ運用フォレスト

階層 0 の運用フォレスト アカウントおよびリソースの管理に適したロールには次のものが含まれることがあります。

  • 運用フォレストへの緊急アクセス
  • グループ ポリシー管理者
  • DNS 管理者
  • PKI 管理者
  • AD トポロジとレプリケーションの管理者
  • 階層 0 のサーバーの仮想化の管理者
  • ストレージ管理者
  • 階層 0 のサーバーのマルウェア対策の管理者
  • 階層 0 の SCCM の SCCM 管理者
  • System Center Operations Manager 0 レベルの管理者Operations Manager
  • 階層 0 のバックアップ管理者
  • 階層 0 のホストに接続されているアウトオブバンドおよびベースボード管理コントローラー (KVM または Lights-Out 管理用) のユーザー

階層 1

階層 1 のサーバーの管理およびバックアップ用のロールには次のものが含まれることがあります。

  • サーバー メンテナンス
  • 階層 1 のサーバーの仮想化の管理者
  • セキュリティ スキャナー アカウント
  • 階層 1 のサーバーのマルウェア対策の管理者
  • 階層 1 の SCCM の SCCM 管理者
  • System Center Operations Managerレベル 1 の管理者Operations Manager
  • 階層 1 のサーバーのバックアップ管理者
  • 階層 1 のホストに対するアウトオブバンドおよびベースボード管理コントローラー (KVM または Lights-Out 管理用) のユーザー

さらに、階層 1 のエンタープライズ アプリケーションの管理用ロールには次のものが含まれることがあります。

  • DHCP 管理者
  • Exchange 管理者
  • Skype for Business 管理者
  • SharePoint ファーム管理者
  • クラウド サービス (会社の Web サイトやパブリック DNS など) の管理者
  • HCM、財務、法務システムの管理者

階層 2

管理者以外のユーザーとコンピューターの管理用ロールには次のものが含まれることがあります。

  • アカウント管理者
  • ヘルプデスク
  • セキュリティ グループ管理者
  • ワークステーションのデスクサイド サポート

次のステップ