CyberArk Softwareはこのほど、「How Endpoint Privilege Security Helps Organizations Protect Against Threats」において、エンドポイント特権セキュリティについて解説した。IDセキュリティプラットフォームにおいてエンドポイント特権セキュリティが果たす役割、エンドポイント特権管理との違い、ソリューションに求めるべき機能が紹介されている。
エンドポイント特権セキュリティは、エンドポイント上の管理されていない特権を制御することで脅威からのセキュリティを強化することが主な目的とされている。通常、OSの既存のアクセス制御コンポーネントが活用され、カーネルに組み込まれているため強力とされている。しかしながら、複雑な環境や規模に応じた管理は難しいとされ、エンドポイント特権セキュリティに効率的な管理層を導入することで、エンドポイント全体に対して粒度の細かいセキュリティを提供し、高度な可視性と制御、役割に応じた最小限の特権を提供できるとしている。
CyberArk Softwareは、エンドポイント特権セキュリティとエンドポイント特権管理は異なる概念と主張している。従来の特権管理(PAM: Privileged Access Management)の観点では、エンドポイント特権管理は組織のエンドポイントにおいて特権アクセスを制御することが目的とされている。このアプローチでは、主にアプリケーションへのアクセス(アプリケーションの実行権限)の管理が重視される。このカテゴリは通常、特権昇格・委譲管理(PEDM: Privilege Elevation and Delegation Management)と呼ばれ、名称には「エンドポイント」という言葉が含まれていない。そのため業界ではしばしば「エンドポイント特権管理」と呼ばれている。
エンドポイント特権管理とエンドポイント特権セキュリティの違いを判断する際のポイントは、注目しているユーザーの範囲とされ、標準的なユーザーだけを対象にする場合はエンドポイント特権管理、すべてのユーザーに焦点を当てる場合はエンドポイント特権セキュリティとしている。
エンドポイント特権セキュリティには、統合されたIDセキュリティへのアプローチが重要とされている。エンドポイント特権セキュリティプロバイダーを選ぶ際に検討すべき4つの機能領域が紹介されている。それは次のとおり。
- 従来はPAM→PEDMに帰属していた機能
- エンドポイント保護プラットフォーム(EPP: Endpoint Protection Platforms)の機能
- クラウドワークロード保護(CWP: Cloud Workload Protection)の機能
- ID脅威の検出と対応(ITDR: Identity Threat Detection and Response)の機能
エンドポイント上のプログラムの昇格を管理するだけでなく、IDを中心とした多層的なエンドポイント特権セキュリティによる管理が組織に求められている。組織は役割に応じた最小限の特権を強制し、最新のサイバーセキュリティプログラムを利用してエンドポイントを保護することが推奨されている。