最小権限の原則とは?
ザの 最小権限の原則 (POLP) は情報セキュリティに関する概念で、特にユーザーにネットワークへの最低限のアクセス権または権限が付与されている場合のものです。これにより、ユーザーは自分の仕事や必要な機能だけを実行することができます。
最小権限はサイバーセキュリティのベストプラクティス手法と見なされており、アクセス制御を管理し、データやコンピューティングリソースを危険にさらすネットワーク侵害を防ぐために多くの組織で採用されています。
PoLP はネットワークユーザーだけに適用されるわけではありません。アプリケーション、デバイス、統合システム間のアクセスを制限できます。つまり、それらの機能を実行するのに必要な最小限の権限しか与えられないということです。
なぜ最低限の権限がそれほど重要なのか?
サイバー犯罪がますます巧妙化する中、ネットワークのあらゆる側面を保護し、弱点を露呈させないようにすることが最も重要です。
サイバー・レジリエンスの構築において最低限の権限が非常に重要である理由はいくつかあります。
- 最小権限アクセス 減らす アタックサーフェス ネットワークの。つまり、権限を最小限に抑えることで、サイバー犯罪者の標的になりかねないネットワーク上の脆弱なポイントの数を最小限に抑えることができます。タスクの実行に必要な権限をユーザーに付与し、それ以上は提供しないことで、攻撃者がネットワーク全体に拡散して被害を与える機会が少なくなります。
多くの侵害は、高度なネットワークアクセス権限を持つユーザーをターゲットとしており、ハッカーが機密情報を閲覧できるようになっています。そのため、ユーザーやデバイスに付与されるアクセスを制限することで、個人を標的とするサイバー犯罪者も制限されます。
- ザの 全体のリーチ マルウェア また、限定されています ユーザーとエンドポイントに最低限の権限を実装します。ネットワークがこのような攻撃を受けたとしても、マルウェアは攻撃を受けません。 アクセスが増えて自由に移動できる 悪意のあるコードをインストールして実行する。これにより、マルウェアがリモート接続を確立したり、機密データにアクセスしたりできなくなります。
- 機能的アクセス制御 タスクを完了するための適切な権限をユーザーに与え、それ以上は与えません。これにより、アクセス関連の問題に関連してネットワーク経由で送信されるリクエストや、IT ヘルプデスクに送信されるサポートチケットが減ります。ネットワーク上のユーザーの生産性が向上することが実証されています。
- 最低限の権限で解決できる データに関するコンプライアンスを向上させ、監査をより簡単にすることができます。ユーザー階層とそれに関連する権限を明確にすることで、ネットワークをより構造化し、必要なユーザーだけがデータにアクセスできるようになります。
プリビレッジ・クリープとは?
プリビレッジクリープ ネットワーク上で特定のアプリケーション、システム、またはネットワークの管理者権限を与えられているユーザーが多すぎて、セキュリティ上のリスクが生じる場合を指します。権限クリープは、企業がアクセスや権限の再評価中にユーザーの管理者権限を取り消し、後日管理者権限を回復してユーザーが特定のタスクを実行できるようにした場合に発生します。
この最も一般的な例は、古い (レガシー) アプリケーションを実行するために追加の権限が必要な場合です。つまり、一部のソフトウェアをインストールまたは実行するには、ユーザーに管理者権限を付与する必要がある場合があります。主要なセキュリティリスクは、ユーザーがタスクを完了した後でこれらの広範な権限が取り消されない場合に発生し、その結果、多くのユーザーが必要としない権限を持つことになります。
権限クリープは、ネットワークの攻撃対象領域を拡大します。ただし、最小権限の原則を熱心かつ一貫して適用することで、この問題を解決し、すべてのユーザ (人間と人間以外のユーザ) に必要なアクセスレベルのみを割り当てることができます。
スーパーユーザーとは何ですか? また、最小権限とはどのような関係がありますか?
A スーパーユーザ は、すべての領域に無制限にアクセスできるネットワークユーザーです。これには、完全な読み取りおよび書き込み権限、ソフトウェアを実行する権限、ネットワーク設定、データ、およびファイルの変更権限が含まれます。
スーパーユーザーは、さまざまな設定やデータを変更できるだけでなく、他のユーザーのアクセスや権限を設定することもできます。この権限は、システム管理者や IT 管理者など、組織内の信頼性が高い個人にのみ付与されます。スーパーユーザーは通常、ネットワーク自体では単に管理者 (またはルート) と呼ばれます。
スーパーユーザーがネットワークにログインすることはほとんどなく、代わりに必要に応じて他のアカウントでアクションを実行します。Sudo コマンド (スーパーユーザーの権限を使用してアカウントに対して 1 つのアクションを実行できるようにするコマンド) を使用すると、セッションがハイジャックされることは予測できないため、セッションがハイジャックされることはほとんどありません。
最下層権限で阻止できるサイバー攻撃にはどのようなものがありますか?
権限を最小限に抑えることで、ネットワークの攻撃対象領域を大幅に減らすことができるため、既知のサイバー攻撃を事実上すべて防ぐことができます。
最も権限の少ないアクセスの目標は、権限のないユーザーに対して開かれた移動経路を閉鎖することです。デフォルトでは、「許可リスト」に含まれていない外部からの侵入者はすべてブロックされます。
最も権限の少ないサイバー攻撃が阻止に役立つサイバー攻撃:
- マルウェア
- ランサムウェア攻撃
- フィッシング攻撃
- SQL インジェクション攻撃
- マン・イン・ザ・ミドル攻撃
- ゼロデイエクスプロイト
最小権限の実装方法
最小権限の原則はさまざまな方法で実装できますが、ここではすべての詳細を考慮し、追加の対策がより広範なサイバーセキュリティ戦略と連携するようにするためのベストプラクティスのアプローチを紹介します。
最小権限アクセスは、次の 6 つの主要なステップで実装できます。
- 監査を実施する に 特権アカウントの識別 クラウド、データセンター、エンドポイントを含むハイブリッドネットワークのあらゆる部分にわたります。
監査は、すべての物理エンドポイントと開発環境にわたって、ログイン認証情報、パスワード、パスワードハッシュ、SSHキー、アクセスキーなどの分野を対象とする必要があります。また、すべてのクラウドネットワーク権限とゲートウェイを徹底的に見直し、すべての権限が新しいポリシーに沿っていることを確認し、不要なアクセスが許可されていないことを確認する必要があります。
- 監査が完了したら、不要なローカル管理者権限が付与されている人間アカウントと人間以外のアカウントの両方へのアクセスを取り消します。そして、 必要な権限のみを付与する その機能を果たすために。
さらに、スーパー・ユーザー・セッションは必要に応じてのみ実行し、セキュリティを強化するために Sudo コマンドを使用してください。ジャストインタイムアクセス (自動的にオフになる) により、一般ユーザーは追加の権限を持つアカウントにアクセスしたり、必要に応じて管理者レベルのコマンドを実行したりできます。
- 標準ユーザーアカウントと管理者アカウントを分離 を使用します マイクロセグメンテーション。これにより、ユーザーが最小権限の制御による制限を受けず、違反された場合に備えて、別の保護層が提供されます。特に、管理者アカウントには重要なアクセス権があるため、感染や広範囲にわたる被害から管理者アカウントを保護するのに役立ちます。
- デジタル保管庫を使用して すべての管理者アカウントの認証情報を保護する、アクセスは必要な個人にのみ提供されます。
- 使用するたびに管理者パスワードを変更 サイバー犯罪者がキーロギングソフトウェアを使用してそれらを記録するのを防ぐためです。このソフトウェアは、パスワードに含まれる文字ではなく、パスワードハッシュ (暗号化されたアルゴリズム) を記録します。このハッシュを入手することで、ハッカーは認証システムを騙してネットワーク上に新しいセッションを作成させようとする可能性があります。これを「a」と呼びます。 パス・ザ・ハッシュ攻撃。
- 管理活動を継続的に監視します。 徹底的な監視は、サイバー攻撃に関連する疑わしい行動を迅速に検出したり、セキュリティギャップを明らかにしたりするのに役立ちます。
最小権限 + ゼロトラスト = サイバー・レジリエンス
最小権限の原則は、を実装するための基本です ゼロトラストセキュリティ 建築。この種のセキュリティ対策は、ネットワークにアクセスするすべてのユーザーとデバイスが潜在的な脅威であることを前提としています。最小権限では、信頼できるトラフィックにのみアクセスを許可し、それ以外のトラフィックはすべてブロックすることで、ゼロトラストの原則を適用します。
最小権限の原則では、いったん認証されたユーザーは、タスクを実行するために必要なアプリケーションまたはコンピューティングリソースにのみ制限付きでアクセスできます。これらの手法は、世界中の政府や企業によって次のように採用されています。 ネットワークファイアウォールなどの古い慣行 今日の巧妙で資金の豊富なサイバー犯罪者からの保護には不十分だ
ゼロトラストとPoLPは、ますます攻撃的なサイバー攻撃からデジタルインフラストラクチャを保護するために、あらゆる組織が導入する必要のある重要なベストプラクティスセキュリティ対策となっています。
次の手順を実行して、次のかどうかを確認してください イルミオは適切なパートナーです 次のセグメンテーションプロジェクトを設計して実装するとき:
- 方法を学ぶ イルミオは、世界的な法律事務所がランサムウェアを阻止するのを支援しました。
- 詳細ガイドをダウンロード 5つのステップでマイクロセグメンテーション戦略を構築する方法。
- の無料コピーにアクセスする フォレスターニューウェーブ™ マイクロセグメンテーション、2022年第1四半期 イルミオがリーダーと名付けられた場所。
- スケジュール ゼロトラストセグメンテーションの専門家による義務のないデモとコンサルティング。