セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
Illumio Editorial
Illumio Editorial
2022年7月28日
23分読む

最小特権の原則とは何ですか?

最小権限の原則 (PoLP)は、情報セキュリティ、特にユーザーにネットワーク上で最小限のアクセスまたは許可を与える場合に関係する概念です。これにより、ユーザーは自分の仕事または必要な機能のみを実行できるようになります。

最小権限はサイバーセキュリティのベストプラクティス手法とみなされており、アクセス制御を管理し、データやコンピューティングリソースを危険にさらすネットワーク侵害を防ぐために多くの組織で採用されています。

PoLPはネットワークユーザーだけではありません。アプリケーション、デバイス、統合システム間のアクセスを制限できるため、機能を実行するために必要な最小限の権限セットしか持たなくなります。

最小権限が重要なのはなぜですか?

サイバー犯罪がますます巧妙化する中、ネットワークのあらゆる側面が保護され、弱点が露出しないようにすることが最も重要です。

サイバーレジリエンスの構築において最小権限が非常に重要である理由はいくつかあります。

  • 最小権限アクセスにより、ネットワークの攻撃対象領域が縮小されます。つまり、最小権限により、サイバー犯罪者の標的となる可能性のあるネットワーク上の脆弱なポイントの数が最小限に抑えられます。ユーザーにタスクを実行するために必要な権限のみを付与することで、攻撃者がネットワークを通じて拡散し、損害を与える機会を減らします。

    多くの侵害は、高度なネットワーク アクセス権限を持つユーザーをターゲットにしており、ハッカーが機密情報を閲覧できるようになっています。したがって、ユーザーとデバイスに付与されるアクセスを制限することで、個人を標的とするサイバー犯罪者も制限されます。
     
  • ユーザーとエンドポイントに最小限の権限を実装することで、 マルウェア の全体的な範囲 も制限されます 。ネットワークがこのような攻撃を受けた場合、マルウェアは追加のアクセス権を取得できず、自由に移動して悪意のあるコードをインストールして実行できなくなります。これにより、マルウェアがリモート接続を確立したり機密データにアクセスしたりする機会が拒否されます。
     
  • 機能的なアクセス制御は、 ユーザーにタスクを完了するための適切な量の権限を提供し、それ以上の権限は与えられません。これにより、ネットワーク経由で送信されるリクエストと、アクセス関連の問題に関連してITヘルプデスクに送信されるサポートチケットが削減されます。ネットワーク上のユーザーの生産性を向上させることが証明されています。
     
  • 最小権限は、 データに関するコンプライアンスの向上に役立ち、監査をはるかに簡単にすることができます。ユーザーとその関連権限の明確な階層を確立することは、ネットワークをより構造化し、データを必要とするユーザーのみがデータにアクセスできることを意味します。

特権クリープとは何ですか?

権限クリープとは、ネットワーク上のあまりにも多くのユーザーに特定のアプリケーション、システム、またはネットワークに対する管理者権限が与えられ、セキュリティ リスクが生じることを指します。権限クリープは、企業がアクセスと許可の再評価中にユーザーの管理者権限を取り消したあと、後日ユーザーが特定のタスクを実行できるように管理者権限を復元するときに発生します。

この最も一般的な例は、古い (レガシ) アプリケーションを実行するために追加のアクセス許可が必要な場合です。これは、一部のソフトウェアをインストールまたは実行するには、ユーザーに管理者権限を付与する必要がある場合があることを意味します。主要なセキュリティリスクは、ユーザーがタスクを完了した後にこれらの広範な権限が取り消されず、その結果、多くのユーザーが不要な権限を持つ場合に発生します。

特権クリープは、ネットワークの攻撃対象領域を拡大します。ただし、最小権限の原則を熱心かつ一貫して適用することで、この問題を修正し、すべてのユーザー (人間と人間以外の両方) が必要なアクセス レベルのみを持つようにすることができます。

スーパーユーザーとは何ですか、また最小権限とどのように関係していますか?

スーパーユーザーとは、完全な読み取りおよび書き込み権限、ソフトウェアの実行権限、ネットワーク設定、データ、ファイルの変更権限など、すべての領域に無制限にアクセスできるネットワークユーザーです。

スーパーユーザーは、さまざまな設定やデータを変更できるだけでなく、他のユーザーのアクセスと権限を設定することもできます。この権限は、システム管理者や IT マネージャーなど、組織内の信頼の高い個人にのみ付与されます。スーパーユーザは、通常、ネットワーク自体では管理者(またはroot)と呼ばれます。

スーパー ユーザーがネットワークにログインすることはめったになく、代わりに必要に応じて他のアカウントでアクションを実行します。Sudoコマンド(スーパーユーザーの権限を使用してアカウントに対して単一のアクションを実行できるようにするコマンド)を使用すると、セッションは予測不可能であるため、ハイジャックされる可能性は低いです。

最小権限で阻止できるサイバー攻撃の種類は何ですか?

最小権限は、ネットワークの攻撃対象領域を大幅に縮小することで、事実上すべての既知のサイバー攻撃を防ぐのに役立ちます。

最小特権アクセスの目的は、許可されていないユーザーの開いた移動経路を閉じることです。デフォルトでは、「許可リスト」に含まれていない外部の侵入者がブロックされます。

最小特権が打ち負かすのに役立つサイバー攻撃:

  • マルウェア
  • ランサムウェア攻撃
  • フィッシング攻撃
  • SQL インジェクション攻撃
  • 中間者攻撃
  • ゼロデイエクスプロイト

最小特権を実装する方法

最小権限の原則はさまざまな方法で実装できますが、すべての詳細が考慮され、追加の対策がより広範なサイバーセキュリティ戦略と並行して機能するようにするためのベストプラクティスアプローチを次に示します。

最小権限アクセスは、次の 6 つの主要な手順で実装できます。

  1. クラウド、データセンター、エンドポイントなど、ハイブリッド ネットワークのすべての部分にわたって 特権アカウントを識別する ための 監査を実施します 。

    監査は、すべての物理エンドポイントと開発環境にわたるログイン資格情報、パスワード、パスワード ハッシュ、SSH キー、アクセス キーなどの領域をカバーする必要があります。また、すべてのクラウド ネットワークの権限とゲートウェイを徹底的に見直し、すべての権限が新しいポリシーに準拠していること、つまり不要なアクセスが許可されていないことを確認する必要があります。
     
  2. 監査が完了したら、不要なローカル管理者権限が付与されている人間アカウントと人間以外のアカウントの両方へのアクセスを取り消します。次に、機能を実行するために必要な 権限のみを付与 します。

    さらに、スーパーユーザーセッションは、セキュリティを強化するためにSudoコマンドを使用して、必要に応じてのみ実行する必要があります。ジャストインタイムアクセス(自動的にオフになる)により、通常のユーザーは追加の権限を持つアカウントにアクセスしたり、必要に応じて管理者レベルのコマンドを実行したりできます。
     
  3. マイクロセグメンテーション を使用して 、標準ユーザー アカウントと管理者アカウントを分離します 。これにより、ユーザーが最小権限制御によって制限されずに侵害された場合に、別の保護層が提供されます。特に、管理者アカウントは重要なアクセス権限を持っているため、感染や広範囲にわたる被害から保護するのに役立ちます。
     
  4. デジタル保管庫を使用して、 すべての管理者アカウントの資格情報を保護し、アクセス権は必要な個人にのみ提供されます。
     
  5. サイバー犯罪者がキーロギング ソフトウェアを使用して管理者パスワードを記録するのを防ぐため、使用後は毎回管理者パスワードを変更してください。このソフトウェアは、パスワードの文字ではなく、パスワードハッシュ (暗号化されたアルゴリズム) を記録します。ハッカーはこのハッシュを入手することで、認証システムを騙してネットワーク上に新しいセッションを作成しようと試みることができます。これはパスザハッシュ攻撃と呼ばれます。
     
  6. 管理活動を継続的に監視します。徹底的な監視は、サイバー攻撃に関連する可能性のある不審な動作を迅速に検出したり、セキュリティギャップを明らかにしたりするのに役立ちます。

最小権限 + ゼロトラスト = サイバーレジリエンス

最小権限の原則は、 ゼロ トラスト セキュリティアーキテクチャを実装するための基礎となります。このタイプのセキュリティ対策では、ネットワークにアクセスするすべてのユーザーとデバイスが潜在的な脅威であると想定されます。最小権限は、信頼できるトラフィックのみへのアクセスを許可し、その他のすべてのトラフィックをブロックすることで、ゼロ トラストの原則を適用します。

最小権限の原則により、ユーザーが認証されると、タスクの実行に必要なアプリケーションまたはコンピューティング リソースへの限定的なアクセス権のみが得られます。ネットワークファイアウォールなどの古い手法では、今日の高度で資金力のあるサイバー犯罪者から保護できないため、これらの戦術は世界中の政府や企業で採用されています。

ゼロトラストとPoLPは、ますます攻撃的なサイバー攻撃からデジタルインフラストラクチャを保護するために、すべての組織が導入する必要がある重要なベストプラクティスのセキュリティ対策です。

次のセグメンテーション プロジェクトを設計および実装する際に、 Illumio が適切なパートナーであるかどうかを確認するには、次の手順に従います。

関連トピック

アイテムが見つかりませんでした。

関連記事

ゼロトラスト戦略にZTSとZTNAの両方が必要な理由
Segmentation

ゼロトラスト戦略にZTSとZTNAの両方が必要な理由

ゼロトラストネットワークアクセス(ZTNA)とゼロトラストセグメンテーション(ZTS)を使用したゼロトラストフレームワークの構築に関する専門家の洞察を得てください。

詳細はこちら
脅威検知にゼロトラストセグメンテーションが必要な理由
Segmentation

脅威検知にゼロトラストセグメンテーションが必要な理由

MSSPが脅威検知技術に加えて、ゼロトラストセグメンテーションをサービスとして提供すべき理由。

詳細はこちら
ボストンで開催されるAWS re:Inforce 2022でイルミオに参加してください
Segmentation

ボストンで開催されるAWS re:Inforce 2022でイルミオに参加してください

何千人ものセキュリティ、コンプライアンス、アイデンティティ、プライバシーの愛好家がボストンコンベンションセンターに集まり、教育、ネットワーキング、イルミオなどのスポンサーが提供する最新のソリューションを求めています。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る