近年、リモートワークの普及やクラウドサービスの利用により、従業員用PCを狙う攻撃が増加しています。

これらの被害を防ぐキーワードとして「エンドポイントの特権管理」があります。

本記事では、エンドポイント特権管理の概要と、それを実現する製品「CyberArk EPM」についてご紹介いたします。

この記事はこんな場合におすすめ

• 社員がWindows PCの管理者権限を常に利用している
• 管理者権限の付与を申請プロセスで管理することに手間を感じている
• ウイルス対策ソフトでは検知できないマルウェアの攻撃を防ぎたい

エンドポイントの特権管理とは

エンドポイントとは、業務用PCなどユーザーが利用する端末を指します。

エンドポイントの特権管理とは、業務用PCなどで、ユーザーやアプリケーションによるAdministratorなど管理者権限へのアクセスを管理・監視することです。

これにより、企業内のシステムにアクセスする足掛かりとなるセキュリティリスクを低減できます。

エンドポイントのセキュリティリスク

エンドポイントに攻撃者が侵入した場合、以下のように攻撃が拡大していきます。

１.侵入

攻撃者は、フィッシングメールやソフトウェアの脆弱性などを利用し、エンドポイントであるPCに侵入します。

２.権限昇格

次に、攻撃者は侵入したシステム内で特権の獲得を目指します。

たとえば、PCのローカル管理者権限を窃取したり、OSの脆弱性を突いたりして権限を昇格させます。

ユーザーが常に管理者権限を持っている環境では、このステップが極めて容易になります。

３.マルウェアのインストールと防御の無効化

特権を獲得した攻撃者は、マルウェアのインストールやセキュリティ製品の機能停止を行うなど、システムへの継続的なアクセスを確保するほか、PCに保管されている認証情報を搾取しようと試みます。

４.ラテラルムーブメント（水平方向の移動）

獲得した特権や窃取した認証情報を利用し、攻撃者は他のサーバーや重要なシステムへと行動範囲を拡大します。

５.目的の達成

攻撃者が十分に行動範囲を広げ、必要な情報を手に入れると、情報漏洩や業務停止などの具体的な被害を引き起こし始めます。

CyberArk EPMとは

上記のセキュリティリスクへの対策として、エンドポイントの特権管理を実現する製品「CyberArk EPM」を紹介します。

CyberArk EPMでできること

特権の最小化

攻撃者が必要とする管理者権限を利用者から取り除き、攻撃の拡大を防ぎます。

特権管理の自動化

企業の情報セキュリティポリシーに沿ったソフトウェアの実行や、業務アプリケーションのインストールなど、一部管理者権限での操作をユーザーに許可します。

業務で新たに管理者権限が必要となる場合は、ワークフローを設けて権限の使用を必要なタイミングで許可できます。

ユーザーに操作を許可するポリシーとしては、以下のような設定が可能です。

• 業務に必須のアプリケーションのみ実行を許可する
• 指定されたメーカーのソフトウェアのインストールのみ許可する

特権を狙った攻撃の検知と対応

CyberArk EPMエージェントはエンドポイントを継続的に監視し、不審な挙動を検知・ブロックする機能を持っています。

これにより、ランサムウェアなどの動作を封じ込めることができます。

さいごに

本記事では、エンドポイントの特権管理の重要性や、CyberArk EPMでできることについてご紹介いたしました。

次回は、実際にCyberArk EPMを使用したエンドポイントの特権管理についてご紹介します。

システムサポートでは、CyberArk EPMによるエンドポイントの特権管理をはじめ、各種セキュリティ対策のコンサルティングから導入、運用まで幅広い支援が可能です。

ご興味がありましたら、ぜひお気軽にお問合せください。

詳細は下記リンクよりご確認ください！