ジャストインタイム特権アクセス

ログインを超えた特権制御

静的認証情報を排除し、ゼロスタンディング特権を強制。ハードウェアによる保証で実行時に特権セッションを保護します。

ジャストインタイム特権アクセス

ログインを超えた特権制御

静的認証情報を排除し、ゼロスタンディング特権を強制。ハードウェアによる保証で実行時に特権セッションを保護します。

世界のトップブランドと提携

HewlettPackard HP corporate logo
Teachers Insurance and Annuity Association of America TIAA corporate logo
DigiKey
Best Buy

課題

保管庫のことは忘れてセッションを保護しましょう。

実行時のギャップを残す保管庫中心のPAM

従来の特権アクセス管理は、認証情報が発行された時点で信頼を前提とします。しかし、攻撃者は保管庫を破るのではなく、ログインします。静的権限やスタンディング権限により、認証後も横移動が可能となります。

「95/5」の問題

ほとんどすべての人間の特権アクセスユースケースは静的な認証情報を必要としませんが、ほとんどのPAMアーキテクチャは秘密の保管とローテーションを中心として構築されています。これにより、認証情報の乱立や不必要な攻撃対象領域が生じます。

ログイン後に信頼が崩壊

特権アクセスは信頼に依存します。適切なユーザーが認証されるだけでなく、セッションとエンドポイントのセキュリティが維持されることも重要です。ログイン時に信頼が付与され、その後再検証されない場合、攻撃者は認証成功後も長期間その隙間を悪用する可能性があります。

課題

保管庫のことは忘れてセッションを保護しましょう。

実行時のギャップを残す保管庫中心のPAM

従来の特権アクセス管理は、認証情報が発行された時点で信頼を前提とします。しかし、攻撃者は保管庫を破るのではなく、ログインします。静的権限やスタンディング権限により、認証後も横移動が可能となります。


「95/5」の問題

ほとんどすべての人間の特権アクセスユースケースは静的な認証情報を必要としませんが、ほとんどのPAMアーキテクチャは秘密の保管とローテーションを中心として構築されています。これにより、認証情報の乱立や不必要な攻撃対象領域が生じます。


ログイン後に信頼が崩壊

特権アクセスは信頼に依存します。適切なユーザーが認証されるだけでなく、セッションとエンドポイントのセキュリティが維持されることも重要です。ログイン時に信頼が付与され、その後再検証されない場合、攻撃者は認証成功後も長期間その隙間を悪用する可能性があります。

ソリューション

すべての特権セッションをリアルタイムで保護

スタンディング特権や保管庫中心のアクセスモデルにさよならを。ランタイム特権アクセスにより、ユーザーは静的認証情報や長期管理権限なしに、必要なものを必要な時に正確に得られます。

 

最新のハイブリッドおよびマルチクラウド環境向けに構築されたこのIDネイティブなアプローチは、人間のアクセスの大部分においてパスワードを排除し、ゼロスタンディング特権(ZSP)を運用モデルとして強制します。

 

特権セッションは時間制限があり、継続的に検証され、信頼できるデバイスと暗号的に結び付けられています。安全で、監査可能で、法令遵守に準拠し、生産性向上にも貢献します。リスクを減らし、資格スプロールも減らし、より細かく制御できます。

Right Time Right Place Access Examples

当社の特権アクセスを気に入っていただける理由

スタンディング特権を排除し、IDとデバイスに信頼を結びつけるランタイム制御。

静的クレデンシャルを排除する

パスワードと長期間有効なSSHキーをヒューマンアクセスパスから削除し、実行時に発行される一時的なアクセスに置き換えてください。

ゼロスタンディング特権を強制

作業完了時に消滅する、時間制限付きかつタスク範囲限定の権限を付与し、永続的な管理者アカウントは付与しない。

ハードウェア依存の保証

Trusted Platform Module(TPM)技術を用いて、特権セッションを認証済みのユーザーおよび信頼できるハードウェアに暗号的に紐付けます。

統合アイデンティティ管理

特権アクセスを、ガバナンスやリスクのシグナルと統合された、統一されたIDネイティブのコントロールプレーンへと拡張します。

当社のランタイム特権アクセスが機能する理由

一時的なアクセス。ハードウェアに結びついた信頼。継続的な執行。

当社のランタイム特権アクセスが機能する理由

一時的なアクセス。ハードウェアに結びついた信頼。継続的な執行。

実行時に特権アクセスを発行し、その範囲は意図に応じて限定され、セッション終了時に自動的に取り消されるため、権限昇格の残留が排除されます。

ほとんどの人間の特権アクセスユースケースで静的な認証情報を排除し、狭い限界シナリオのみに保管庫を統合します。

永続的な管理者の役割を、ゼロトラスト原則に沿った期限付きのポリシー駆動のアクセスに置き換えましょう。

改ざんされにくいTPMハードウェア内の秘密鍵を保護し、特権アクセスには本人確認と信頼できるデバイスの両方が必要です。

実行時の認証決定を適応させるために、ID、デバイスの状態、動作、コンテキストシグナルを継続的に評価します。

Time Bound Access Examples
Vaultless Credentials Examples
Built In Phishing Defense Image of Laptop and TPM Chip
Self Service Requests Example
Full Visibility Audits Screen Image

既存のシステムと
連携

PingOne Privilegeは、既存のIDプロバイダー、クラウドプラットフォーム、インフラサービス、SIEMツールと連携します。既存のシステムを全面的に入れ替える必要はありません。環境を再設計することなく、AWS、Azure、GCP、Kubernetes、データベース、オンプレミスサーバー全体にわたって、ランタイム特権アクセスを拡張できます。

Amazon Web Services AWS LogoAWS Logo
GCP LogoGCP Logo
Azure LogoAzure Logo
Snowflake LogoSnowflake Logo
Lambda LogoLambda Logo
PostgreSQL LogoPostgreSQL Logo

既存のシステムと
連携

PingOne Privilegeは、既存のIDプロバイダー、クラウドプラットフォーム、インフラサービス、SIEMツールと連携します。既存のシステムを全面的に入れ替える必要はありません。環境を再設計することなく、AWS、Azure、GCP、Kubernetes、データベース、オンプレミスサーバー全体にわたって、ランタイム特権アクセスを拡張できます。

Amazon Web Services AWS LogoAWS Logo
GCP LogoGCP Logo
Azure Logo
Snowflake LogoSnowflake Logo
Lambda LogoLambda Logo
PostgreSQL LogoPostgreSQL Logo

数百万

不正行為を減らすことで節約でき、事業に再投資された資金

570,000ドル

生産性の回復による年間の時短効果

Ping Identityを利用する理由

特権アクセスは、システムスタックに無理やり組み込まれ、隔離された保管庫であってはなりません。Ping Identityは、統合されたIDプラットフォームの一部として特権アクセスを提供し、IDライフサイクルのあらゆる段階において、検証、ガバナンス、リスク評価、オーケストレーションを統合します。

 

当社は次の点で他社とは異なります。

 

  • 認証情報不要のランタイム強制
  • TPM保証付きのハードウェアベースの特権アクセス
  • 統合されたIDネイティブ制御プレーン
  • 実績のあるエンタープライズ規模とグローバルな信頼

ログインを超えた特権アクセス制御

静的認証情報を排除し、実行時にゼロスタンディング権限を強制する準備はできていますか?ハードウェアに紐付けられた保証と統合されたアイデンティティ管理で特権セッションを保護します。

役立つリソース

役立つリソース

よくある質問

ランタイム特権アクセス管理は、ログイン時に信頼を前提とするのではなく、アクティブなセッション中にタスクスコープと時間制限付きの特権アクセスを強制します。アイデンティティ、デバイス、コンテキストリスクを継続的に評価して、ユーザーがリアルタイムで実行できるアクションを制御します。

Zero Standing Privilegeは、必要な場合にのみ昇格アクセスを許可し、作業が完了すると自動的に権限を取り消すことで、永続的な管理者アカウントを排除します。これにより爆発範囲が縮小し、IDが漏洩した場合の横方向移動を防げます。

PingOne Privilegeは95/5モデルを採用しており、ほとんどのユースケースにおいて、パスワードや長期有効なSSHキーを人間のアクセス経路から排除しています。その代わりに、実行時に一時的なポリシー主導型のアクセス権限を発行し、緊急時のみに保管庫を統合します。

TPMに裏打ちされた保証は、特権セッションを検証済みのIDと信頼できる物理デバイスの両方に暗号で結び付けます。秘密鍵は改ざん防止機能付きのハードウェアで保護されているため、攻撃者は不正なエンドポイントから盗んだ認証情報を再利用することはできません。

従来のPAMは、アクセスが許可された後は信頼を前提として、静的認証情報の保管とローテーションに重点を置いています。PingOne Privilegeは、統一されたアイデンティティネイティブな制御プレーンの一部として、ゼロスタンディング特権とハードウェアベースのデバイス保証で認証情報不要の実行時特権アクセスを強制します。