特権アクセス管理 とっけんあくせすかんり
簡単に言うとこんな感じ!
「システムの何でもできる鍵」を持つ人・アカウントを厳重に管理する仕組みだよ。会社の金庫室マスターキーを誰でも使えるままにしておくと危険でしょ?それと同じで、強力すぎる権限を持つアカウントを「誰が・いつ・何のために使ったか」しっかり記録・制限するのが特権アクセス管理(PAM)ってこと!
特権アクセス管理とは
特権アクセス管理(PAM: Privileged Access Management) とは、システムやインフラに対して高い権限(特権)を持つアカウントの利用を制御・監視・記録するセキュリティの仕組みです。具体的には、サーバーの管理者アカウント(root・Administrator)、データベースの管理者、ネットワーク機器の設定権限などが対象になります。
特権アカウントは「何でもできる」ため、悪用されると被害が甚大になります。外部からの攻撃者がこのアカウントを乗っ取ったり、内部の悪意ある従業員が不正操作したりするリスクがあるため、通常のアカウント管理とは別の厳格な仕組みが必要とされます。PAMはそのための専用の管理基盤です。
近年はクラウド移行やリモートワークの拡大により、特権アカウントが利用される場所・経路が多様化しています。その結果、ゼロトラスト(「社内だから安全」という前提を捨てるセキュリティ思想)の重要な柱として、PAMはますます注目されています。
特権アクセス管理の仕組みと構成要素
PAMは「パスワードの管理」「アクセスの制御」「操作の記録」という3つの柱で成り立っています。
| 機能 | 内容 | 具体例 |
|---|---|---|
| パスワード保管庫(Vault) | 特権パスワードを暗号化して集中管理 | 使用するたびに自動でパスワードをローテーション |
| セッション管理 | 特権操作の開始〜終了をゲートウェイ経由で仲介 | 直接サーバーにSSHせず、PAMを経由してログイン |
| 操作録画・監査ログ | 何をしたかを動画・テキストで記録 | 「誰が・いつ・何を操作したか」後から追跡可能 |
| アクセス申請・承認ワークフロー | 必要なときだけ特権を付与(JIT: Just-In-Time) | 「今日だけDBに接続したい」→上長承認→時間制限付きで付与 |
| 多要素認証(MFA)連携 | 特権ログインに追加認証を要求 | パスワード+スマホ認証アプリの組み合わせ |
覚え方:「特権PAMは金庫番」
Password(パスワードを守る)、Access(アクセスを制御する)、Monitor(操作を監視する)——この3つがPAMの本質です。金庫の鍵を預かり、誰が・いつ・何のために使ったかを記録する「金庫番」のイメージで覚えましょう。
特権アカウントの種類
| 種類 | 説明 | 例 |
|---|---|---|
| ローカル管理者 | 個々のPC・サーバー上の管理者 | WindowsのAdministrator |
| ドメイン管理者 | 社内ネットワーク全体を管理 | Active DirectoryのDomain Admin |
| サービスアカウント | アプリが自動実行するために使う | バッチ処理用DBアカウント |
| クラウド特権 | クラウド環境の管理ロール | AWS IAMのAdministratorAccess |
| 緊急用アカウント | 障害時のみ使う「break-glass」アカウント | 通常は封印し、有事のみ開封 |
歴史と背景
- 1990年代〜2000年代初頭:UNIXの
rootやWindowsのAdministratorが広く使われるが、管理は各担当者任せで統制なし - 2004年頃:PCI DSS(クレジットカード業界のセキュリティ基準)が策定され、特権アカウントの管理・監査が業界横断で義務化され始める
- 2010年前後:内部不正や標的型攻撃の増加により、特権アカウントの悪用が企業の重大インシデントとして顕在化
- 2013年:米国のEdward Snowden事件(過剰な特権を持つ内部者による情報漏洩)が世界的に注目を集め、PAMの重要性が再認識される
- 2016〜2018年:CyberArk・BeyondTrust・Thycotic(現Delinea)などのPAM専業ベンダーが急成長。Gartnerの重要カテゴリに
- 2019年〜現在:クラウド・DevOps・ゼロトラストへの対応として、クラウドネイティブPAMやIDaaS(Identity as a Service)との統合が進む
PAMと関連するセキュリティ管理の比較
PAMはアイデンティティ管理の中のひとつの層です。混同しやすい概念と整理して比較します。
| 概念 | 対象 | 主な目的 |
|---|---|---|
| IAM(Identity and Access Management) | 全従業員・全アカウント | 誰が何にアクセスできるかを管理 |
| PAM(Privileged Access Management) | 管理者・特権アカウントのみ | 強力な権限の悪用・漏洩防止 |
| IDM(Identity Management) | ユーザーID のライフサイクル | 入社〜退社までのID管理 |
| PIM(Privileged Identity Management) | 特権IDの付与・剥奪 | 必要なときだけ特権を付与(JIT) |
| EPM(Endpoint Privilege Management) | PCなどのエンドポイント | ローカル管理者権限の最小化 |
補足:PAM・PIM・EPM は総称して広義の「PAM」と呼ばれることも多く、ベンダーによって呼び方が異なります。
実務での導入ポイント
PAMを発注・導入する際に押さえておきたいポイントをまとめます。
導入前に確認すべきこと
- 社内に特権アカウントがいくつ存在するか棚卸しできているか?
- 現在、特権パスワードは共有・使い回しされていないか?
- 操作ログ・監査ログの保存期間に法令や業界規制の要件があるか?
- クラウド環境(AWS・Azure・GCP)の管理者権限も対象に含めるか?
主なPAM製品・サービス
| 製品名 | 提供形態 | 特徴 |
|---|---|---|
| CyberArk Privileged Access Manager | オンプレ/クラウド | 業界シェアNo.1、金融・官公庁での実績多数 |
| BeyondTrust Password Safe | オンプレ/SaaS | EPMとの統合が強み |
| Delinea Secret Server | オンプレ/SaaS | 中規模企業に人気、UI が直感的 |
| Microsoft Entra PIM | SaaS | Azure AD 利用企業は追加コスト最小で導入可能 |
| Teleport | SaaS/OSS | DevOps・Kubernetes環境向け、OSS版あり |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-53 AC-2/AC-6 | 最小権限の原則・アカウント管理の要件 |
| ISO/IEC 27001 A.9 | アクセス制御に関する管理策(特権アクセスの制限を含む) |
| PCI DSS v4.0 Req.7/8 | カード情報環境への特権アクセス管理要件 |
関連用語
- IAM(Identity and Access Management) — ユーザーID全体のアクセス権を管理する上位概念
- ゼロトラスト — 「社内だから安全」を前提にしないセキュリティモデル
- 多要素認証(MFA) — パスワード以外の要素を組み合わせた認証方式
- 最小権限の原則 — 業務に必要な最小限の権限のみを付与するセキュリティ原則
- 監査ログ — 誰が・いつ・何をしたかを記録するセキュリティログ
- シングルサインオン(SSO) — 一度のログインで複数システムにアクセスできる仕組み
- Active Directory — Windowsネットワークでのユーザー・権限を一元管理するディレクトリサービス
- 内部不正対策 — 従業員や元従業員による意図的なセキュリティ侵害への対処