ジャストインタイムアクセスとは?
- IAM 用語集
- ジャストインタイムアクセスとは?
ジャストインタイムアクセスとは、特定のタスクを実行するために、人間のユーザーや自動化されたユーザーがリアルタイムで一時的に権限を取得する特権アクセス管理 (PAM) の手法のことです。これにより、ユーザーが必要な時しか特権を必要とするシステム、アプリケーション、データにアクセスできないようになります。常時有効な特権を付与するのではなく、ジャストインタイムアクセスで特定のリソースへのアクセスを必要な時のみに限定することで、社内および社外からの脅威アクターによる特権濫用を防止できます。
以下では、ジャストインタイムアクセスの詳細に加えて、ジャストインタイムアクセスを使用して組織のネットワークを保護する方法についても詳しく説明します。
ジャストインタイムアクセスの仕組み
人間のユーザーや自動化されたユーザーがビジネスの重要リソースにアクセスする特権が必要な際には、管理者や自動システムにそれを要請することになります。その後、その要請は承認プロセスを経て、正当なものかどうかが確認されます。要請が承認されると、管理者または自動システムがユーザーによってジャストインタイムアクセスが付与されます。これにより、ユーザーがタスクを完了するまでの時間内に限って、特権または特権アカウントへのアクセス権を行使できます。タスクが完了してユーザーがログオフした後は、そのアクセス権は取り消されるか再度必要になるまで削除されることになります。
ジャストインタイムアクセスの重要性
ジャストインタイムアクセスの利用は、最小権限の原則を適用する上で重要となります。最小権限の原則はサイバーセキュリティの概念で、ユーザーが必要とする組織のシステムとデータのネットワークへのアクセスのみを付与することを指します。最小権限を適用することで組織のリソースへのアクセスを分離し、制限します。ユーザーは自分の業務に必要なリソースにアクセスできるだけで十分であり、特定のタスクに必要な場合や承認を得た事例を除くと、それ以外のリソースにアクセスできる必要はありません。ジャストインタイムアクセスを使用してユーザーに一時的な特権アクセスを付与してからそれを取り消すことで、機密リソースへアクセスできるユーザー数を最小に留めることが可能となります。
ジャストインタイムアクセスで最小アクセス権限を適用することにより、組織はより効果的に攻撃対象領域を減らし、機密データを保護することができます。攻撃対象領域とは、サイバー犯罪者が組織のネットワークに不正にアクセスに利用し得る侵入経路の集合体を指します。特権アクセスを予め設定した時間内に制限することで、組織はアクセス量を抑えることができ、ネットワークの潜在的な侵入経路が減少します。これにより、必要な際にアクセスを付与されたユーザーのみが組織の機密データにアクセスできることになります。
ジャストインタイムアクセスの種類
組織で一時的な特権アクセスを付与する際に使用できる3種類のジャストインタイムアクセスをご紹介します。
ブローカーとアクセス削除
ブローカーとアクセス削除は正当性に基づくアクセスとも呼ばれ、ユーザーは特定の期間特権アクセスを取得するための正当な理由が必要となります。このようなユーザーは常設の特権共有アカウントと認証情報を持ち、これらはユーザーがアクセスできない保管庫で管理、保護、ローテーションされます。これにより、特権認証情報が悪用されないようにします。
一時的アカウント
一時的アカウントとは、一回限りの使用を意図したアカウントで、ユーザーに限られたアクセス権を付与して特定のタスクを完了するために使用します。管理者は権限レベルの低いユーザーやサードパーティのユーザーが必要なリソースにアクセスできるよう、短期間しか使えない一回限りのアカウントを作成します。一時的アカウントにより、ユーザーのタスクが完了するまで一時的なアクセスが付与されます。タスクが完了すると、アカウントは自動的に無効化されるか削除されます。これにより、権限レベルの低いユーザーやサードパーティのユーザーが、組織の機密リソースに長期間アクセスして悪用する可能性から護られます。
特権昇格
特権昇格とは、一時的権限昇格とも呼ばれ、ユーザーが特定のタスクを実行する際に、より高いレベルの特権アクセスを要求することを指します。その要求は自動化されたシステムまたは管理者によって承認され、タスク完了までにかかる時間が指定されます。承認されると、ユーザーは限られた時間内に特権アカウントにアクセスしたり、特権コマンドを実行したりできるようになります。所定の時間が経過すると、ユーザーはアクセスを失います。
ジャストインタイムアクセスを導入するメリット
以下は、ジャストインタイムアクセスを導入するメリットとなります。
セキュリティ態勢の改善
ジャストインタイムアクセスで機密性の高いリソースへのアクセスを制限し、セキュリティ侵害のリスクを軽減することで、組織のセキュリティ態勢が改善されます。組織の機密リソースへの特権アクセスを制限することで、外部脅威アクターや悪意のある内部の脅威による権限の濫用を防止できます。ジャストインタイムアクセスで、ユーザーが特権を乱用できないようにすることで、組織のネットワークを「水平移動」して機密性の高いシステム、アプリケーション、データベースにアクセスできないようにします。
管理者のアクセスワークフローを改善
ジャストインタイムアクセスによりアクセスに関する手続きが改善されます。つまり、機密リソースへのアクセスを必要な時のみ付与することで、常設の特権アカウントへのアクセスを付与するための長期にわたる確認プロセスを経る必要がなくなるわけです。ジャストインタイムアクセスでは自動的に権限要請の承認と権限の取り消しを行います。
規制コンプライアンスへの遵守を支援
組織はSOXやGDPRといった業界および規制コンプライアンス要件を遵守する必要があり、そのために特権ユーザーの活動を監視および監査することが求められます。ジャストインタイムアクセスにより特権ユーザーの人数が制限され、組織にすべての特権アクティビティの監査証跡が残されます。
ジャストインタイムアクセスの導入方法
以下の手順でジャストインタイムアクセスを導入します。
自動のパスワード保管庫を使用して常設の特権共有アカウントを開設し、認証情報を一元管理して定期的にローテーションします。
-
きめ細かいポリシーを作成し、人間のユーザーや自動化されたユーザーが機密リソースへの一時的な特権アクセスを要求する際に、正当な理由を求めるようにします。
一時的な特権を付与して、人間のユーザーと自動化されたユーザーが特定の期間内に特定の機密リソースにアクセスしたり、特権コマンドを実行したりできるようにします。
すべての特権アカウントで権限を追跡および監査し、疑わしい挙動や異常なアクティビティを検出して対処します。