この記事は機械翻訳されました。
ユーザーアクセスは、ほとんどの組織にとって悩みの種です。進化するサイバーセキュリティの世界では、人が境界にいるため、単純なログイン認証情報だけでは組織のユーザーやデータを保護するには不十分です。Forrester Researchの推定によると、セキュリティ侵害の80%は、証明書、キー、パスワード、トークンなどの特権付き認証情報が関係しているとのことです。 そして、その影響は壊滅的なものになる可能性があります。
2013 年に全米の小売ネットワークが攻撃されたのは、ハッカーがサードパーティベンダーから認証情報を盗んで会社概要のシステムに不正アクセスした結果であり、IT 部門が約 7,000 万人の顧客を失うことになりました。 このような状況を避けるために、企業は 最小権限 access などのアクセス管理手法を採用し、ユーザーとプロセスが必要なリソースに対する最小限のアクセス権限と編集権限のみを持つようにする必要があります。
最小権限アクセスとは何ですか?
最小権限アクセスの付与は、ソフトウェアシステム内のユーザーやグループ(グループ)を体系化するだけでなく、彼らがアクセスできるリソースや実行できる機能も確立します。 このプロセスを広範なアイデンティティとアクセス管理戦略に実装することで、企業は、適切なユーザーのみが適切なリソースに適切なレベルで、適切な条件で適切なタイミングでアクセスできるようにすることができます。
最小権限アクセスとは、実際にはどのようなものですか?
エンタープライズ環境では、権限アクセス最小の原則により、ユーザーまたはアプリケーション (アプリケーション) は、その役割または機能を実行するために必要な許可のみを持ち、それ以上の許可は得られません。 このコンテキストでは、ユーザーはロールに応じて、必要なファイルとアプリケーション (アプリケーション) の読み取り、書き込み、または実行のみが許可され、これらのリソース以外の機密情報にはアクセスできません。
この原則は、アプリケーション、デバイス、プロセス、およびシステム全体のアクセス権に適用でき、場所や時刻などの特定の要因に依存する場合があります。 Role-based アクセス権は、人事、 IT、マーケティングなどの特定の部署にも適用できます。
最小権限アクセスアプローチをどのように構築しますか?
会社概要が最小権限アクセスを展開し、リスク軽減戦略を強化しようとしているとき、これらは彼らが採用できるいくつかの補足的なプラクティスです。
監査権限:
最小権限アクセスを実装するための最初のステップは、既存のすべてのアカウントと認証情報に適切な許可があることを確認することです。 監査には、すべてのユーザーアカウント、Group (グループ)、およびパスワードを含める必要があります。 定期的な監査を行うことで、ユーザーアカウントやプロセスが適切なスコープを超えて危険なほどアクセスレベルが蓄積される状況を防ぐことができます。
特権ブラケット:
企業は、絶対に必要な場合にのみ、できるだけ短い時間で管理者アカウントを作成する必要があります。管理者のサーバーへのアクセス権を削除し、すべてのユーザーのアクセスを標準に減らすと、攻撃対象領域が減り、会社概要の最も機密性の高いデータと情報を保護するのに役立ちます。 これはNSAが採用したアプローチであり、ITシステムの安全性を高めるためにシステム管理者の数を90%削減しました。
特権ブラケットの別の要素として、すべての新しいアカウントのデフォルトのアクセスレベルをできるだけ低く設定する必要があります。
Single-use 認証情報:
ビジネスは、1 回限りの認証情報を使用してユーザーのアクションを追跡し、追跡できます。 この良い例は、アクティビティが完了する時間のみ使用されるシングルユースパスワードであるパスワードセーフです。完了すると、使用済みのパスワードは廃止されます。
特権アクセスの有効期限:
1 回限りの認証情報と同様のアプローチでは、有効期限を特権アクセスに設定すると、ユーザー アクセスが時間制限されるか、タスクまたはプロセスの完了によって制限されます。
ジャストインタイムの特権:
特権は、特定のアプリケーション(アプリケーション)やタスクに必要なときに、管理者の認証情報やパスワードを公開することなく増やすことができます。
ユーザーのアクセスに厳密な境界を設定することで、最小権限アクセスは、データを保護し、潜在的な内部関係者の攻撃を防ごうとするエンタープライズにとって重要なアプローチです。 これらの原則は、セキュリティに対するより強力なアプローチ、安定性の向上、攻撃対象領域の縮小など、組織が運用と成長に集中できるようにするすべての要素を提供します。
