-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- XDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
ラックの小林です。
いわゆる情シスで社内のセキュリティ強化を行っています。
Privileged Identity Management(以下、PIM)は、主にユーザが利用したい時だけに権限を割り当てて使えるMicrosoftの機能です。それに対してPIM for Groupsは、グループ単位で権限を管理し、ユーザが所属するグループにより必要に応じてアクセス権を提供する機能です。
今回はPIMとPIM for Groupsの違いを説明し、社内で活用して得られた効果について解説します。
PIMとは
システム全体を操作できるような特権がユーザに過剰に割り当てられていると、攻撃者によって侵害された時に悪用されるリスクがあります。このリスクを最小限に抑えるには、必要な時だけに権限を割り当てること、不必要な権限を割り当てないことが重要です。必要な権限を常時割り当てて管理するのではなく、必要な時だけに権限を割り当てたい時に使う機能が、MicrosoftのPIMです。
PIMは、Microsoft Entra ID P2ライセンスがあれば利用できる高度なセキュリティ機能で、ユーザが申請した後で一定時間だけ特権を有効化できるようになります。ユーザの申請をもとに無条件に有効化するだけでなく、承認を必要とすることや申請理由を必須とすることも可能です。割り当てる権限は事前に定義する必要があり、既に用意されているロールでは過剰な権限であればカスタムロールを作成して管理することもできます。
ただし、PIMはAzure ロールやMicrosoft Entra ロールなど、限られたサービスしか管理できません。PIMで管理できないサービスにおけるアクセス管理は常時アクセス権を付与することになります。それらの権限を必要な時のみに割り当てたい場合は、次に紹介するPIM for Groupsを活用する必要があります。
PIM for Groupsとは
グループ単位で必要な時だけ権限を割り当てたい場合に使う機能が、PIM for Groupsです。PIM for Groupsは2023年6月に導入された機能で、ユーザに権限を割り当てる際に、あらかじめ設定したグループのメンバーに追加するだけで必要な権限を割り当てられます。
PIM for Groupsは、適用できる範囲がPIMよりも広いことが特徴です。PIMはAzure ロールやMicrosoft Entra ロールといった特定の範囲内で特権を管理できるのに対して、PIM for Groupsはセキュリティグループでアクセス制御しているサービス全般に対しての特権管理ができます。
さらに、権限の割り当てにおいても柔軟性が向上しています。PIMはAzure ロールやMicrosoft Entra ロールのカスタムロールでのみ対応が可能でしたが、PIM for Groupsであれば各サービスのアクセス制御機能を利用することで細かく制御できます。
| 機能名 | 利用可能なサービス | 権限設定 |
|---|---|---|
| PIM | PIMが使えるサービスに限定 | PIMで割り当てられるロールに制限される |
| PIM for Groups | セキュリティグループでアクセス制御しているサービス全般 | 細かくロールの設定がしやすい |
PIM for Groupsの効果
PIM for Groupsは、PIMの基本的な機能を利用しながらより高度な特権管理ができる機能です。ラックでは、権限の厳密化のためにPIM for Groupsの活用を進めた結果、以下のような効果を得られました。
PIMで管理できなかったサービスに適用できる
PIM for Groupsでは、セキュリティグループでアクセス制御しているサービス全般に適用できるため、PIMを適用できなくて特権管理をしてこなかったサービスに対して特権管理ができるようになります。例えば、Microsoft Defender for Endpointのエンドポイントの役割とPIM for Groupsを組み合わせることで、EDRの監視メンバーに対して必要な時だけに権限を割り当てる設定にできます。
より厳密な権限を付与しやすい
PIM for Groupsが導入される前は、高い権限をPIMで一時的に割り当てるか、低い権限を常時割り当てるかの運用にせざるを得ないケースがありました。しかし、PIM for Groupsを利用することで、低い権限も必要な時のみ付与できるようになります。必要最低限の権限を適切なタイミングで割り当てる運用が可能になり、セキュリティリスクを大幅に軽減できます。
権限の棚卸がしやすい
PIM for Groupsはグループ単位で管理できるため、対象範囲をグループ名で分かりやすく明示できます。特に、定期的な棚卸が必要なグループに対して特徴的なグループ名をつけることで、設定画面を開かずにグループメンバーを確認するだけで棚卸が可能になります。
さいごに
今回は、PIMとPIM for Groupsの違いと、それらを社内で活用して得られた効果について解説しました。インシデントによる被害拡大を防ぐには、最小権限の原則に基づいて特権を適切に管理することが重要です。特に、従来のPIMでは対応できなかった領域にまで管理範囲を拡張できるPIM for Groupsの導入は、特権管理の精度を大幅に向上させる可能性があります。
セキュリティリスクが増大し続ける現代において、権限管理の強化はあらゆる組織にとって喫緊の課題です。PIM for Groupsを活用して、ゼロトラストな社内環境の整備を進めてみてはいかがでしょうか。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- XDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR