課題:スタンディング特権の排除
現代の脅威情勢において、スタンディング特権を持つアカウントが存在し、ユーザーが24時間365日高い権限を保持している状態は、重大なセキュリティ上の脆弱性となります。強力なMFAを適用したとしても、このようなアカウントが魅力的な標的であることに変わりはありません。業界の目標は、ネイティブのOkta Identity Governance(OIG)機能を使用して、堅牢でスケーラブルなZero Standing Privilege(ZSP)モデルを実装し、明らかに必要な場合にだけ最も機密性の高いロールが機能するようにすることです。
ソリューション:2層型アクセスガバナンスモデル
このソリューションでは、OIG内で長期的な資格と短期的なアクティベーションを分離する、独自の2層型アクセスモデルを採用しています。この設計で、継続的なガバナンスを確保しながら、有効な攻撃対象領域を大幅に削減します。
第1層:ロールの資格(長期的な審査)
この層では、特権付きロールにアクセスできるユーザーを決定します。
- 仕組み:アクセスリクエスト条件(ARC)は、適格グループ(アプリケーションへのアクセスに直接使用されないグループ)に紐付けられています。
- 承認プロセス:通常、上司の承認やロールオーナーの承認など、人間による厳格な多段階の確認が必要です。
- ガバナンス:メンバーシップは、定期的(例:90日ごと)にユーザーアクセスレビュー(UAR)の対象となります。
- 結果:ユーザーはロールをアクティブにする永続的な権利を取得しますが、ロールはまだ対象のアプリケーションに割り当てられていません。
第2層:ジャストインタイムのアクティブ化(日々の昇格)
この層は、タスクを実行するために必要となる一時的な権限昇格を処理します。
- 仕組み:個別のARCが、対象アプリケーションの最終的な特権付きグループやロールに直接関連付けられています。このリクエストは、第1層の適格グループのメンバーだけが閲覧できます。
- 時間制限:アクセスは厳密に制限され(例:4時間、8時間、12時間)、OIGによって自動的に取り消されます。
- 柔軟性:承認はロールの機密性に基づいて、カスタマイズ(例:Oktaのマネージャー関係を介して自己承認)または強制(例:同僚からの承認)できます。
- 結果:特定の期間、ユーザーにスーパー管理者ロールを動的に割り当てることで、ZSPを実現します。
セキュリティコントロール:時間制限以外の制御
このソリューションは、Oktaの補完的な制御を活用することで、最も厳しいセキュリティを実現します。
- セカンダリアカウント(ベストプラクティス):多くの組織では、非常に厳格な認証とセッションポリシー(例:YubiKey、Device Trust、FIDO2などを要求)を持つ、特権付きアカウントを別途使用しています。そうすれば、特権アクションに使用する認証情報は、ユーザーが日常的に使用するアカウントに比べて、はるかに安全になります。
- 対象アプリケーションの統合:
- SAML/OIDCを使用するアプリケーションの場合、グループ割り当てを活用することで、SSOパスを効果的に遮断できます。ユーザーは、OIGワークフローでJITアクセスを有効化するまでログインできません。
- SCIM統合アプリの場合、アクティブ化すると、対象システムでJITプロビジョニングと資格の割り当てが時間制限付きで行われます。
設定方法ガイドは、こちらをご覧ください。ステップバイステップで設定方法を説明しています。
PIMプラットフォームとしてのOkta:次の展開
このフレームワーク全体は、ファーストパーティのOkta IGAとWorkflowの機能のみを使用して構築されており、Oktaが統合アプリケーション向けの堅牢なPIMソリューションとして機能できることを示しています。
続編の設定方法ガイドでは、このZSPモデルをお客様自身のOkta環境に展開する手順をステップバイステップでご説明します。どうぞご期待ください。
ほかにも、以下のOkta on Oktaのコンテンツをご覧いただけます。
事前対応型セキュリティへの取り組み:Okta Identity Threat Protectionの導入
アクセスへの高速レーン:Okta Workflowsによる一括プロビジョニング
