Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

最小特権の原則とは何ですか?

Illumio Editorial
Illumio Editorial
2022年7月28日
23分読む

最小権限の原則 (PoLP) は、情報セキュリティに関連する概念であり、特にユーザーにネットワークに対する最小限のアクセスまたは許可が付与されている場合です。これにより、ユーザーは自分の仕事や必要な機能を実行でき、それ以外は何も実行できません。

最小権限はサイバーセキュリティのベストプラクティス手法とみなされており、アクセス制御を管理し、データやコンピューティングリソースを危険にさらすネットワーク侵害を防ぐために多くの組織で採用されています。

PoLPはネットワークユーザーだけではありません。アプリケーション、デバイス、統合システム間のアクセスを制限できるため、機能を実行するために必要な最小限の権限セットしか持たなくなります。

最小権限が重要なのはなぜですか?

サイバー犯罪がますます巧妙化する中、ネットワークのあらゆる側面が保護され、弱点が露出しないようにすることが最も重要です。

サイバーレジリエンスの構築において最小権限が非常に重要である理由はいくつかあります。

  • 最小特権アクセスにより、ネットワークの攻撃対象領域が縮小されます。これは、最小権限により、サイバー犯罪者の標的となる可能性のあるネットワーク上の脆弱なポイントの数が最小限に抑えられることを意味します。タスクを実行するために必要な権限をユーザーに提供することで、攻撃者がネットワークを介して拡散して損害を与える機会が少なくなります。

    多くの侵害は、高度なネットワーク アクセス権限を持つユーザーを標的にしており、ハッカーが機密情報を閲覧できるようにします。したがって、ユーザーとデバイスに付与されるアクセスを制限することで、個人を標的とするサイバー犯罪者も制限されます。
     
  • マルウェア の全体的な到達範囲 は、ユーザーとエンドポイントに最小限の権限を実装することによって も制限されます 。ネットワークがこのような攻撃を受けた場合、マルウェアは 追加のアクセスを取得し、 悪意のあるコードをインストールして実行するために自由に移動できなくなります。これにより、マルウェアがリモート接続を確立したり、機密データにアクセスしたりする機会が拒否されます。
     
  • 機能的なアクセス制御は、 ユーザーにタスクを完了するための適切な量の権限を提供し、それ以上の権限は与えられません。これにより、ネットワーク経由で送信されるリクエストと、アクセス関連の問題に関連してITヘルプデスクに送信されるサポートチケットが削減されます。ネットワーク上のユーザーの生産性を向上させることが証明されています。
     
  • 最小権限は、 データに関するコンプライアンスの向上に役立ち、監査をはるかに簡単にすることができます。ユーザーとその関連権限の明確な階層を確立することは、ネットワークをより構造化し、データを必要とするユーザーのみがデータにアクセスできることを意味します。

特権クリープとは何ですか?

特権クリープとは 、ネットワーク上のあまりにも多くのユーザーに特定のアプリケーション、システム、またはネットワークに対する管理者権限が付与され、セキュリティ リスクが発生することを指します。権限クリープは、企業がアクセスと権限の再評価中にユーザーの管理者権限を取り消し、ユーザーが特定のタスクを実行できるように後日管理者権限を元に戻す場合に発生します。

この最も一般的な例は、古い (レガシ) アプリケーションを実行するために追加のアクセス許可が必要な場合です。これは、一部のソフトウェアをインストールまたは実行するには、ユーザーに管理者権限を付与する必要がある場合があることを意味します。主要なセキュリティリスクは、ユーザーがタスクを完了した後にこれらの広範な権限が取り消されず、その結果、多くのユーザーが不要な権限を持つ場合に発生します。

特権クリープは、ネットワークの攻撃対象領域を拡大します。ただし、最小権限の原則を熱心かつ一貫して適用することで、この問題を修正し、すべてのユーザー (人間と人間以外の両方) が必要なアクセス レベルのみを持つようにすることができます。

スーパーユーザーとは何ですか、また最小権限とどのように関係していますか?

スーパー ユーザーは、完全な読み取りおよび書き込み権限、ソフトウェアの実行権限、ネットワーク設定、データ、ファイルの変更など、すべての領域に無制限にアクセスできるネットワーク ユーザーです。

スーパーユーザーは、さまざまな設定やデータを変更できるだけでなく、他のユーザーのアクセスと権限を設定することもできます。この権限は、システム管理者や IT マネージャーなど、組織内の信頼の高い個人にのみ付与されます。スーパーユーザは、通常、ネットワーク自体では管理者(またはroot)と呼ばれます。

スーパー ユーザーがネットワークにログインすることはめったになく、代わりに必要に応じて他のアカウントでアクションを実行します。Sudoコマンド(スーパーユーザーの権限を使用してアカウントに対して単一のアクションを実行できるようにするコマンド)を使用すると、セッションは予測不可能であるため、ハイジャックされる可能性は低いです。

最小権限で阻止できるサイバー攻撃の種類は何ですか?

最小権限は、ネットワークの攻撃対象領域を大幅に縮小することで、事実上すべての既知のサイバー攻撃を防ぐのに役立ちます。

最小特権アクセスの目的は、許可されていないユーザーの開いた移動経路を閉じることです。デフォルトでは、「許可リスト」に含まれていない外部の侵入者がブロックされます。

最小特権が打ち負かすのに役立つサイバー攻撃:

  • マルウェア
  • ランサムウェア攻撃
  • フィッシング攻撃
  • SQL インジェクション攻撃
  • 中間者攻撃
  • ゼロデイエクスプロイト

最小特権を実装する方法

最小権限の原則はさまざまな方法で実装できますが、すべての詳細が考慮され、追加の対策がより広範なサイバーセキュリティ戦略と並行して機能するようにするためのベストプラクティスアプローチを次に示します。

最小権限アクセスは、次の 6 つの主要な手順で実装できます。

  1. 監査を実施し て、クラウド、データセンター、エンドポイントなど、ハイブリッド ネットワークのすべての部分で 特権アカウントを特定し ます。

    監査は、すべての物理エンドポイントと開発環境にわたる、ログイン資格情報、パスワード、パスワードハッシュ、SSHキー、アクセスキーの領域をカバーする必要があります。また、すべてのクラウドネットワークの権限とゲートウェイの完全なレビューを含め、すべての権限が新しいポリシーに沿っていることを確認し、不必要なアクセスが許可されていないことを確認する必要があります。
     
  2. 監査が完了したら、不要なローカル管理者権限が付与されている人間アカウントと人間以外のアカウントの両方へのアクセスを取り消します。次に、機能を実行するために必要な 権限のみを付与 します。

    さらに、スーパーユーザーセッションは、セキュリティを強化するためにSudoコマンドを使用して、必要に応じてのみ実行する必要があります。ジャストインタイムアクセス(自動的にオフになる)により、通常のユーザーは追加の権限を持つアカウントにアクセスしたり、必要に応じて管理者レベルのコマンドを実行したりできます。
     
  3. マイクロセグメンテーション を使用して 、標準ユーザーアカウントと管理者アカウントを分離 します。これにより、ユーザーが最小特権制御によって制限されておらず、違反された場合に備えて、別の保護レイヤーが提供されます。特に、管理者アカウントの主要なアクセス許可による感染や広範な損害から保護するのに役立ちます。
     
  4. デジタル保管庫を使用して、 すべての管理者アカウントの資格情報を保護し、アクセス権は必要な個人にのみ提供されます。
     
  5. サイバー犯罪者がキーロギングソフトウェアを使用してパスワードを記録するのを防ぐために、使用のたびに管理者パスワードを変更します。このソフトウェアは、パスワードの文字ではなく、パスワードハッシュ(暗号化されたアルゴリズム)をログに記録します。このハッシュを取得することで、ハッカーは認証システムをだましてネットワーク上に新しいセッションを作成させようとすることができます。これは、 ハッシュのパス攻撃と呼ばれます。
     
  6. 管理活動を継続的に監視します。徹底的な監視は、サイバー攻撃に関連する可能性のある不審な動作を迅速に検出したり、セキュリティギャップを明らかにしたりするのに役立ちます。

最小権限 + ゼロトラスト = サイバーレジリエンス

最小特権の原則は、 ゼロトラストセキュリティ アーキテクチャを実装するための基本です。このタイプのセキュリティ対策は、ネットワークにアクセスするすべてのユーザーとデバイスが潜在的な脅威であることを前提としています。最小権限は、信頼できるトラフィックのみへのアクセスを許可し、他のすべてのトラフィックをブロックすることで、ゼロトラストの原則を適用します。

最小権限の原則により、ユーザーが検証されると、タスクを実行するために必要なアプリケーションまたはコンピューティング リソースにのみ制限付きアクセスできるようになります。ネットワーク ファイアウォールなどの古い慣行では 、今日の高度で資金力のあるサイバー犯罪者から保護できないため、これらの戦術は世界中の政府や企業によって採用されています

ゼロトラストとPoLPは、ますます攻撃的なサイバー攻撃からデジタルインフラストラクチャを保護するために、すべての組織が導入する必要がある重要なベストプラクティスのセキュリティ対策です。

次のステップを実行して、次のセグメンテーションプロジェクトを設計および実装する際に、 Illumioが適切なパートナーである かどうかを確認してください。

関連トピック

No items found.

関連記事

ゼロトラスト導入計画を適切に管理するための指標の定義
ゼロトラストセグメンテーション

ゼロトラスト導入計画を適切に管理するための指標の定義

ゼロトラストの考え方は、境界防御が突破されたことを前提としており、優先順位は悪意のある攻撃者のラテラルムーブメントを封じ込めることに軸足を移します。イルミオは、個人がゼロトラストの旅を計画し、運用するために使用する3段階のゼロトラスト計画を発表しました。

Read more
イルミオが5つのガートナー®誇大広告サイクルレポート™で認められました
ゼロトラストセグメンテーション

イルミオが5つのガートナー®誇大広告サイクルレポート™で認められました

ガートナーがマイクロセグメンテーションを、今後2年以内に主流に採用される高利益のテクノロジーと見なしている理由をご覧ください。

Read more
マイクロセグメンテーションプロジェクトを確実に成功させる方法: 3 つの戦略原則
ゼロトラストセグメンテーション

マイクロセグメンテーションプロジェクトを確実に成功させる方法: 3 つの戦略原則

マイクロセグメンテーションが重要です。正しく行えば、ランサムウェアなどの攻撃に対する脆弱性を大幅に減らしながら、コンプライアンスを達成および維持できます。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more