リソース > セキュリティ用語集 > 最小特権アクセスとは

最小特権アクセスとは

最小特権アクセスの定義

最小特権アクセスとは、業務の遂行に必要な最小限のアクセスのみをエンドユーザに付与するサイバーセキュリティ戦略です。これは、情報セキュリティの重要な要素であり、ビジネスアプリケーションやリソースへの水平移動や不正なアクセスを制限することで、機密データを保護するのに有効です。

大量のデータがクラウドに出入りし、サイバー攻撃がより頻繁かつ巧妙になるにつれて、組織は増大する攻撃対象領域を保護する方法を模索し始めています。ここで、最小特権または最小特権の原則 (POLP) とも呼ばれる最小特権アクセスが、ゼロトラストアプローチの基本的な要素の1つとして効果を発揮することになります。

最小特権アクセスは、ユーザアイデンティティ認証、デバイスのセキュリティ態勢、ユーザとアプリ間のセグメンテーションの3項目を考慮して構成されていますが、これらについては、後ほど詳しく説明します。

 

最小特権アクセスとゼロトラスト

まず、これら2つの用語が互いにどのように関連しているかを見てみましょう。一般的に「最小特権アクセス=ゼロトラスト」のように捉えられがちですが、両者は確かに密接に関連はしているものの、決定的に異なる概念です。

最小特権アクセスは、各従業員に渡すカードキーのようなもので、仕事内容に合わせて一意にコード化されていると考えることができます。そうすることで、ほとんどのユーザがMicrosoft 365などの共用エリアにアクセスできるようにアクセス制御を調整できますが、財務情報や人事データなどのより機密性の高い資料にアクセスできるのは、一部のユーザのみで、過剰なアクセス許可によるデータ侵害のリスクを軽減することができます。

これに対してゼロトラストはさらに一歩進んだ考え方となり、従業員が一意のカードキーを持っているという理由だけでは信頼する対象とみなしません。アクセスを許可する前に、ゼロトラストポリシーはユーザのデバイス、場所、対象となるアプリケーションおよびそのコンテンツなどの接続要求に関連するユーザのアイデンティティと完全なコンテキストを確立します。このように、別のユーザが単にカードキーを入手したとしても、そのアクセス権も一緒に与えられて自分が所属していない場所に立ち入ることができないようにします。

最新の最小特権アクセスの仕組み

Least Privilege Access

今では、最小限特権アクセスとゼロトラストを本質的に分けて考えることは不可能です。最新のアプローチでは、ユーザアイデンティティ認証、デバイスセキュリティ態勢、ユーザとアプリ間のセグメンテーションが制御内容に組み込まれています。では、この3つの中核となる要素について説明します。
 

  • ユーザアイデンティティ認証

これは、ユーザが本当にそのユーザであるかどうかを判断する方法です。アイデンティティおよびアクセス管理 (IAM) プロバイダや関連サービス (Okta、Azure Active Directory、Ping Identityなど) は、さまざまなプロビジョニングや認証サービスを提供しながら、アイデンティティ情報を作成、維持、管理します。

  • デバイスセキュリティ態勢

昇格された特権を持つ善意のユーザでも、マルウェアの犠牲になる可能性はあります。CrowdStrike、VMware Carbon Black、SentinelOneなどが提供するエンドポイントセキュリティの継続的な評価と組み合わせることで、最新の最小権限ポリシーを使用して、現在のデバイスの状態に基づきユーザの権限を変更できます。

  • ユーザとアプリ間のセグメンテーション

ネットワークの露出と水平移動を制限する従来の方法は、企業ネットワーク内のファイアウォールを使用して、特権アカウントにセグメントを制限するネットワークセグメンテーションです。内部の水平移動を制限することは重要ですが、この方法は複雑で、現代の組織が必要とするきめ細かな制御を提供することはできません。

ユーザとアプリ間のセグメンテーションは、ゼロトラストネットワークアクセス (ZTNA) サービスによって実現しますが、これは、ファイアウォールのスタックを積み重ねるのではなく、IT管理下のビジネスポリシーによって細かなセグメント化を可能にするものです。ZTNAは検証済みユーザをネットワークに接続することなく、使用が許可されているアプリケーションに直接接続するため、水平移動は不可能になります。このアクセスは場所に関係なく、同一のセキュリティ制御を使用して、リモートユーザとオンプレミスユーザの両方に提供されます。

 

Least Privilege Access Diagram

最小特権アクセスの3つのメリット

 

3つの中核となる要素と効果的なZTNAサービスとの融合により、組織は強力で回復力のあるセキュリティ体制の基礎を形成できます。

  1. ユーザアカウントは、アクセス権を付与される前に常に認証される
  2. デバイスを監視し、ユーザのアクセスレベルをセキュリティ態勢に基づいて適応させる
  3. アプリのセグメント化により水平移動を最小限に抑え、複雑なファイアウォールの調整が不要になる

 

管理者特権について

当然ながら、管理者アカウントに関してはさらに考慮が必要です。スーパーユーザは信頼という大きな負担を背負っているため、その性質上アクセスが制限された状態では作業できません。従来のソリューションは、データセンタレベルでエンタイトルメントやアカウント、オペレーティングシステムを管理する特権アクセス管理 (PAM) でしたが、クラウドへの移行によりその効果が低下しています。

DevOpsの普及が進む今、クラウドでは1日に何千もの権限変更が発生する場合もあります。そんな中、PAMが対応しきれなくなっている領域で、クラウドインフラストラクチャエンタイトルメント管理 (CIEM) が躍進を遂げています。効果的なCIEMは、クラウドエンタイトルメントの管理とインベントリ、特権監査の実行、特権クリープの検出と修復、サービスへの管理者権限の付与など、PAMが対応できない規模や複雑性でさまざまな機能を実行できます。

CIEMは、今日のクラウド環境において、最小特権アクセスを計画または改良する際に重要な考慮事項です。

組織に最小特権アクセスを実装する方法

次の3つの基本的な手順だけで、最新の最小特権アクセスをゼロトラストで実現できます。

  1. アイデンティティプロバイダ (IdP) サービスの採用: シングルサインオンサービスが普及した昨今、多くの組織がすでにIdPを活用しています。

  2. デバイス態勢サービス上のレイヤー: デバイスの稼働状況監視機能と柔軟なデバイスポリシーを組み合わせることで、侵害されたエンドポイントが重要なシステムやデータにもたらすリスクを軽減できます。

  3. ZTNAサービスの有効化: 水平移動のアクセスと内部ファイアウォールの両方を1つの技術で排除できます。ZTNAサービスの中には、わずか数時間で完全に展開できるものもあります。

 

Zscalerで最小特権アクセスを実現

従来のファイアウォール、VPN、プライベートアプリは、いずれも巨大な攻撃対象領域を作り出しています。これは、外部に露出した脆弱なリソースを発見して悪用する機会をハッカーや悪意のあるアクターに提供することになります。また、VPNなどの旧式のネットワークセキュリティソリューションは、ユーザをネットワーク上に置くため、攻撃者は簡単に機密データにアクセスできてしまいます。さらに、こういったソリューションは拡張できず、高速でシームレスなユーザエクスペリエンスも提供できません。仮に実践しようとしても、バックホールが必要となり、コストと複雑性が増すだけでなく、従業員が各地に分散している現在の状況下でサービスを提供するにはスピードが遅すぎます。

世界中で最も導入されているZTNAプラットフォームであるZscaler Private Access™は、最小特権の原則を適用することで、不正アクセスや水平移動を排除しながら、ユーザにプライベートアプリへの安全でダイレクトな接続を提供します。わずか数時間で展開して、従来のVPNやリモートアクセスツールからクラウドネイティブで包括的なゼロトラストプラットフォームに移行できます。Zscaler Private Accessは、ZTNAの進化版と言えるのです。

詳細については、Zscaler Private Accessをご覧ください。