ユーザーの91%が最高レベルの特権でログインしており、サイバー専門家はこれを、ずさんなITガバナンス、怠慢、そしてますます複雑化するIT環境の症状――さらにNHIの増加に伴うPAMパラダイムシフトの前兆――と見ている。
特権アクセス管理(PAM)は、常に最小特権を確保することが目的だった。しかし、エンタープライズのサイバーセキュリティの性質に加え、システム運用の複雑さも相まって、あまりにも多くのユーザーが可能な限り最高の特権でログインし、たとえ大半の作業にそれが不要であっても、そのまま居座ってしまっている。
最近のある調査では、最高レベルの特権でログインしているエンドユーザーの割合は91%だとされた。
Sanchit Vir Gogia(Greyhound Researchのチーフアナリスト)は、不必要に高い特権が広く使われているのは、企業のテックガバナンスが長年なおざりにされてきた結果だと見ている。
「企業は、特権アクセスが安定性、復旧、継続性を支える、複雑で相互依存的なテクノロジー資産を運用しています」と彼は言う。「多くの環境では、特権アクセスは何年も前に付与されましたが、それはもはや明確な責任者も、整ったドキュメントも、最新の認証経路もないシステムを支えるためでした。そのアクセスが今では、統合、バッチジョブ、復旧スクリプト、ベンダーツール、そして脆弱な自動化チェーンを支えています」
さらにGogiaは、特権を抑え込むことが「セキュリティを強化するというより、存続に関わる運用リスクを持ち込むことのように感じられる」ため、企業がこの特権の現状維持を続けていると見ている。
「彼らは混乱よりも予測可能性を選んでいるのです」と彼は説明する。「アーキテクチャ上の確実性がもはや存在しない環境では、常時有効な特権が最も安全な選択肢になります。システムがガバナンスモデルより速く進化するにつれ、時間とともに静かに蓄積していきます。合併、クラウド移行、アウトソーシング、プラットフォームの重ね合わせ、緊急修正――これらはすべて、誰も見直さない特権IDを残します。年月を経て、特権が仕事の進め方そのものに深く埋め込まれた資産が出来上がるのです」
その複雑さゆえに、Gogiaは、常時有効が最も簡単な戦術であるだけでなく、既定のものになっていると言う。
「企業は、機能するからという理由で恒久的な特権に戻りがちです」と彼は言う。「それはパイプラインを動かし続け、統合を安定させ、システムの応答性を保ちます。認証情報が決して失効しないのであれば、認証情報を保管庫に入れても問題は解決しません。ゼロトラストの原則は健全ですが、その実装はしばしば、企業の資産が実際には持ち得ない“清潔さ”を前提にしています。このミスマッチが、多くの組織がPAMツールを購入し、部分的に導入し、例外が静かに増殖して、例外が常態化するまで放置してしまう理由を説明しています」
その結果、PAM――そしてアイデンティティアクセス管理(IAM)――は、現代のエンタープライズシステムの運用実態と乖離してしまっていると、Gogiaは言う。
「多くのツールは、比較的静的なインフラ、限られたID数、そして手動介入ポイントを前提にしています」と彼は指摘する。「現代の企業は、ワークロードが絶えず立ち上がっては落ちる動的で一時的な環境で運用しており、IDはプログラムで作成され、アクセス要件はリアルタイムで変化します」
恒常的な特権の危険性
Robert Kramer(Moor Insights & Strategyのバイスプレジデント兼プリンシパルアナリスト)も、過剰な認証情報は数十年にわたるずさんなITガバナンスが原因だという点で同意する。
「彼らはレガシーな習慣、レガシーな運用のやり方に縛られています」とKramerは言う。「よりジャストインタイムのモデルへ移行すべきです。それを実装できている組織は、かろうじて1%に過ぎません」
91%という報告を統括した幹部――CyberArkでITおよび開発者向け製品のゼネラルマネージャーを務めるCharles Chu――は、最高レベルのままログインし続けることには確かにサイバーセキュリティ上のリスクがあるが、同時に、甚大なシステム損傷というITリスクも持ち込むと述べた。
たとえば誤ってタイプミスをしただけでも、最高レベルでログインしていれば大きな被害になり得るとChuは主張する。「何かを誤って入力して、うっかり削除してしまうかもしれない。本当に、何かにログインしたりログアウトしたりするのはそんなに大変なのでしょうか?」
この最後の問いは修辞的なものではない。Chuは、一部のPAMパッケージは確かに使いにくすぎて、ユーザーの摩擦を生むと示唆する。「PAMツール自体が使うのが面倒なら、[エンドユーザーは]それを回避する方法を見つけます」
JR Kunkle(Kunkle Consulting社長、元Deloitte & Toucheのリスクコンサルタント)も、タイプミスのリスクについて同意する。「コンピュータの中断のほとんどは、エラーやミスが原因です」と彼は言う。「ITスタッフが管理者レベルの[特権]を使うと、本番停止を引き起こしかねません」
しかし、Limited BrandsやHondaでITマネージャーとしても働いたKunkleは、高い特権アクセスを既定にしてしまうことは、法務、コンプライアンス、プライバシーの取り組みも損ない得ると言う。「管理者が[本来見るべきではない]機微データを見てしまった場合、アクセスログを消して痕跡を隠すのはかなり簡単です」
ただし、多くの観察者は、過剰な認証情報の責任はITプロ自身にあるとしている。
「彼らが導入した統制を無効化してしまっています。不注意や誤入力で会社全体を止めることだってできる」と、コンサルティング会社AcceligenceのCEOで、McKinseyの北米サイバーセキュリティ・プラクティスの元責任者であるJustin Greisは言う。「特権アクセスに関しては、“楽な道を選ぶ”のが人間の性で、手抜きをしてしまうのです」
DigiCertのCTOであるJason Sabinは、さらに手厳しい。「企業の[IT担当者]がrootを使うなら、そいつは愚か者だ。自分の世界を台無しにできる。rootは決して使うべきではない。最小特権を受け入れろ。日常的でありふれた作業に昇格特権を使うべきではない」
迫るパラダイムシフト
ForresterのアナリストであるGeoff Cairnsは、組織が過剰な認証情報の利用を抑え込まない場合に生じるサイバーセキュリティ上のリスクを強調している。
「恒常的に付与された特権、そうですね、あれは蔓延していると思います」と彼は言う。「攻撃者がそれを標的にし、横方向にシステム内を移動して大混乱を引き起こすために悪用できます。昇格特権があることで、その影響はさらに大きくなります」
それでもCairnsは、現代のエンタープライズ環境でこの問題に取り組むことの困難さを見ている。
「オンプレミス、クラウド、SaaSが混在する非常に複雑なIT環境で解決するのは難しい問題です。そして、自律エージェントを含む“非人間IDの爆発”によって、指数関数的に悪化していくでしょう」とCairnsは言う。
Greyhound ResearchのGogiaも、非人間ID(NHI)が過剰な認証情報利用の問題をはるかに悪化させることに同意する。
「重心は人間の管理者から離れました。最も危険で、最もガバナンスが効いていない特権は、いまや非人間IDにあります。サービスアカウント、API、クラウドロール、CI/CDパイプライン、SaaSコネクター、自動化フレームワーク、自律システムは、恒常的なアクセスを持ったまま継続的に動作します」と彼は言う。「これらのIDはプログラムで、マシンスピードで、しばしば環境をまたいで認証し、しかも個人に付与されることは決してないほど広い権限を持っていることが少なくありません」
そして、企業システムと関わるNHIの増殖が進むことで、PAMとIAMはパラダイムシフトへと押しやられている。
「従来のPAMとIAMモデルは、ログインして作業を行い、ログアウトする人間のために設計されていました。IDが決してログアウトしない場合、それらはうまく機能しません」とGogiaは言う。
「マシン特権は例外的なケースではありません」と彼は付け加える。「現代の環境では、それが多数派です。企業が人間向けのアクセスレビューや承認ワークフローをこれらのIDに適用しようとすると、規模の前にガバナンスが崩壊することにすぐ気づきます。ここで、常時有効な特権は規律の欠如ではなく、設計上の前提の失敗になります」
