■企業が知るべき「特権IDの管理」に有効な方法とは 　もし組織内で、特権IDの運用ポリシーや管理ポリシー自体が確立されていない場合は、そのポリシーを策定することが最初のステップとなります。システム等を導入する前であっても、特権IDの運用と管理に関わるポリシーを定義して利用者にその遵守を要求し、定期的に監査を実施することで、利用者に「監視されている」と意識づけすることができます。これにより、内部からの不正アクセスを予防する効果が期待できます。

　ポリシーに盛り込む内容には、以下のような項目が考えられます。 • 特権ID利用者の範囲 • 特権IDのパスワード管理方法 • 特権ID・パスワードの利用手続き • 特権IDを利用した操作履歴の保存期間と監査 • 特権ID利用者の定期的な棚卸し、など 　ポリシー策定に加え、そのポリシーをシステム化して特権ID・アクセスを守るために「特権アクセス管理システム」という専用ツールを利用することも有効です。人の性善説に依存していた運用をシステム化することで、攻撃者が特権IDを悪用して攻撃するのを未然に防ぎ、企業・組織のセキュリティー体制を高度化することができます。

　特権アクセス管理システムはいくつか種類があり、サポートしている機能にも違いや特徴があります。検討の際は、自社が求める要件に対して、各社のシステムやサービスの機能が十分かどうか精査する必要があります。 　また、究極の手段として特権IDを利用しない運用を考える方もいるかもしれません。最近は、時限的(「ジャストインタイム」)かつ最低限必要な権限(「最小特権」)だけを割り当てる「ゼロスタンディング特権(Zero Standing Privilege : ZSP)」で、特権IDの利用を固定化せずに、より安全に必要なシステムにアクセスする方法も出てきました。

　現代ではシステムがオンプレミスからクラウドにシフトしており、管理対象が増加するほどに高権限のIDやアクセスも増大します。これらのシステム・サービスの上に存在する高権限IDの適切な管理体制の構築は、企業・組織のサイバーレジリエンス強化に直結する重要な課題だといえるでしょう。