組織がハイブリッド環境やマルチクラウド環境に移行するにつれて、IDとアクセス管理(IAM)のリーダーは、ビジネスの俊敏性を損なうことなく特権アクセスを保護しなければならないというプレッシャーの高まりに直面しています。認証情報の保管と使用状況の監視に基づく従来の特権アクセス管理 (PAM) アプローチは、今日の動的で脅威の多い環境ではもはや十分ではありません。
このギャップを埋めるために、現代の企業は以下を採用しています ジャストインタイム (JIT) PAM 戦略の中核を成すモデルです。この記事では、JIT が人気を集めている理由、提供内容、組織が JIT を効果的に実装する方法を探ります。
従来の PAM の限界
従来の PAM プラクティスは中心に展開されています 発見する、 金庫室、および モニタリング 特権アカウント。これにより、認証情報の盗難や悪用のリスクは軽減されますが、常設権限(使用していないときでも利用できる永続的かつ高レベルのアクセス)のリスクが完全に排除されるわけではありません。
このような静的アクセスモデルは、俊敏性、スケーラビリティ、コンプライアンスが重要な環境においてますます大きな課題となっています。攻撃者は休眠中の特権アカウントを積極的に標的にしているため、セキュリティチームは気付かれないほど権限過剰のアクセス権に悩まされることがよくあります。
静的アクセスから十分な権限へ (JEP)
最小権限の原則は、アクセスセキュリティの基本です。Just Enough Privilege (JEP) モデルは、特定のタスクや役割に必要なものだけへのアクセスを制限することで、これに基づいて構築されています。広範な管理者権限の代わりに、ユーザーには運用上のニーズに合わせた限定的な権限が付与されます。
JEPでは権限の割り当てが複雑になりますが、最新のPAMプラットフォームでは、管理と適用を簡素化するための自動化、ポリシーベースのワークフロー、ID分析が提供されるようになりました。
ジャストインタイムアクセス:一時的な権限の適用
JEPはアクセスの範囲を最小限に抑えますが、それでもアクセスは永続的に利用できます。そこで、ジャストインタイム (JIT) モデルはリスクをさらに軽減します。必要なときにのみ権限を、必要な期間だけ提供することで、リスクをさらに軽減できます。
JIT では、昇格された権限を明示的に要求、承認、期限を設ける必要があるため、常設アクセスが不要になります。最終的な目標は、ゼロ・スタンディング・プリビレッジ (ZSP) の状態に到達することです。つまり、特定のタスクと時間枠でプロビジョニングされない限り、特権アクセスが存在しないというセキュリティ・ステータスです。
JIT モデルの主なメリット
- 常設アクセスなし: 常時オンの権限を削除することで攻撃ベクトルを制限します。
- ガバナンスの強化: きめ細かなポリシーベースの権限昇格を実施します。
- 監査能力の向上: すべての特権アクションはログに記録され、確認され、特定のユーザーと承認に関連付けられます。
- ゼロトラストとの連携: アクセスは継続的に検証され、想定されることはありません。
ジャストインタイム特権アクセスの実装
JIT アクセスを運用するには、組織は次の手順を実行する必要があります。
- 特権アクセスシナリオのマッピング オンプレミス、ハイブリッド、クラウドなど、あらゆる環境で使用できます。
- 特権IDの特定と分類人間のユーザー、サービスアカウント、および第三者を含みます。
- JIT メソッドを選択する お客様のITアーキテクチャ、リスクアペタイト、コンプライアンスのニーズに合致したものになります。これには、一時的なアカウント、一時的な昇格などが含まれます。
結論
JITアプローチは、組織が特権アクセスを管理および保護する方法に根本的な変化をもたらします。きめ細かな権限 (JEP) とエフェメラルアクセス (JIT) を組み合わせることで、組織は生産性を損なうことなく、攻撃対象領域を大幅に減らし、コンプライアンスを強化できます。
ID が新たな境界となっている世界では、ジャストインタイムアクセスは単なるベストプラクティスではなく、戦略的に必要不可欠です。
関連記事
ソーシャルエンジニアリング攻撃は増加傾向にあります。リスクを軽減するにはどうすればよいでしょうか?
成功するグローバル IAM 戦略の構築
安全で効率的なデジタル世界を受け入れる準備はできていますか?
ぜひお問い合わせください。Paraview がどのようにしてお客様の ID と API 資産を保護できるかについてご説明いたします。