特権アクセスの保護Securing privileged access

組織では、攻撃者がこのレベルのアクセスを損なう可能性があるため、高いセキュリティ優先順位で特権アクセスのセキュリティを確保する必要があります。Organization's should make securing privileged access the top security priority because of the significant potential business impact (and high likelihood) of attackers compromising this level of access.

Privileged access には、企業資産の大部分を管理する IT 管理者や、ビジネスクリティカルな資産にアクセスできる他のユーザーが含まれます。Privileged access includes IT administrators with control of large portions of the enterprise estate and other users with access to business critical assets.

攻撃者は、人間が運用している ランサムウェア攻撃 や対象となるデータの盗難時に、特権アクセスセキュリティの弱点を頻繁に悪用します。Attackers frequently exploit weaknesses in privileged access security during human operated ransomware attacks and targeted data theft. 特権アクセスアカウントとワークステーションは、攻撃者にとって非常に魅力的です。これは、これらのターゲットによって企業内のビジネス資産への広範なアクセスが可能になるため、多くの場合、迅速かつ大きなビジネスへの影響が生じるためです。Privileged access accounts and workstations are so attractive to attackers because these targets allow them to rapidly gain broad access to the business assets in the enterprise, often resulting in rapid and significant business impact.

次の図は、これらの機密性の高いアカウントが低リスクで運用できる分離された仮想ゾーンを作成するための、推奨される特権アクセス戦略の概要を示しています。The following diagram summarizes the recommended privileged access strategy to create an isolated virtual zone that these sensitive accounts can operate in with low risk.


特権アクセスをセキュリティで保護すると、不正な経路を完全に封印し、保護された厳重に監視されているいくつかの承認済みアクセス経路を残すことができます。Securing privileged access effectively seals off unauthorized pathways completely and leaves a select few authorized access pathways that are protected and closely monitored. この図の詳細については、「 特権アクセス戦略」を参照してください。This diagram is discussed in more detail in the article, Privileged Access Strategy.

この戦略を構築するには、明示的な検証、最小限の特権、侵害の想定など、信頼されていない原則を使用して、承認されたエスカレーションパスを保護および監視するための複数のテクノロジを組み合わせる包括的なアプローチが必要です。Building this strategy requires a holistic approach combining multiple technologies to protect and monitor those authorized escalation paths using Zero Trust principles including explicit validation, least privilege, and assume breach. この戦略には、時間の経過と共に保証を構築して維持するための包括的なテクノロジアプローチ、プロセスのクリア、および厳格な運用実行を確立する、複数の補完的なイニシアチブが必要です。This strategy requires multiple complementary initiatives that establish a holistic technology approach, clear processes, and rigorous operational execution to build and sustain assurances over time.

作業の開始と進捗状況の測定Get started and measure progress

迅速な近代化計画 迅速な近代化計画 (傾斜)Rapid Modernization Plan (RaMP)
-最もインパクトの速い wins を計画して実装する- Plan and implement the most impactful quick wins
ベストプラクティスのチェックリスト ベスト プラクティスBest practices
ビデオとスライドVideos and Slides

業界リファレンスIndustry references

特権アクセスのセキュリティ保護は、これらの業界標準とベストプラクティスにも対応しています。Securing privileged access is also addresses by these industry standards and best practices.

英国国立サイバー Security Center (NCSC)UK National Cyber Security Center (NCSC) オーストラリアサイバー Security Center (ACSC)Australian Cyber Security Center (ACSC) MITRE ATT&の皿MITRE ATT&CK

次のステップNext steps

環境に対する特権アクセスを迅速にセキュリティで保護するための戦略、設計、および実装リソース。Strategy, design, and implementation resources to help you rapidly secure privileged access for your environment.

[アーティクル]Article 説明Description
戦略ドキュメント 戦略Strategy 特権アクセス戦略の概要Overview of privileged access strategy
成功条件ドキュメント 成功の基準Success criteria 戦略的な成功条件Strategic success criteria
セキュリティレベルドキュメント セキュリティ レベルSecurity levels アカウント、デバイス、中継局、およびインターフェイスのセキュリティレベルの概要Overview of security levels for accounts, devices, intermediaries, and interfaces
アカウントドキュメント AccountsAccounts アカウントのセキュリティレベルと制御に関するガイダンスGuidance on security levels and controls for accounts
中継局ドキュメント 中継局Intermediaries 中継局のセキュリティレベルと制御に関するガイダンスGuidance on security levels and controls for intermediaries
インターフェイスドキュメント InterfacesInterfaces インターフェイスのセキュリティレベルとコントロールに関するガイダンスGuidance on security levels and controls for interfaces
デバイスドキュメント デバイスDevices デバイスとワークステーションのセキュリティレベルと制御に関するガイダンスGuidance on security levels and controls for devices and workstations
エンタープライズアクセスモデルドキュメント エンタープライズ アクセス モデルEnterprise access model エンタープライズアクセスモデルの概要 (レガシレベルモデルの後継)Overview of Enterprise Access Model (successor to legacy tier model)
ESAE ドキュメントの廃止 ESAE の提供終了ESAE Retirement 従来の管理フォレストの提供終了に関する情報Information on retirement of legacy administrative forest