認可のセキュリティの手法についての説明
ユーザーを認証する際には、ユーザーがどこにアクセスできるか、および何を表示したりタッチしたりできるかを決定する必要があります。 このプロセスは認可と呼ばれます。
ホテルに宿泊しようとしているとします。 最初に、フロントに行って "認証プロセス" を開始します。フロントで本人であることが確認された後に、カードキーが与えられるので、部屋に移動できます。 このカードキーを認可プロセスと見なすことができます。 カードキーを使用すると、ホテルの部屋などの、立ち入りが許可されているドアやエレベーターだけ開くことができます。
サイバーセキュリティでは、認可によって、認証された人物が持つデータやリソースへのアクセス権のレベルが決まります。 組織は認可の管理にさまざまなセキュリティ手法を使用できます。
条件付きアクセス
条件付きアクセスには、名前が示すように、条件があるアクセス権が関係します。 条件付きアクセスについて考える方法の 1 つとして、if/then 文を使用できます。 true の場合はアクセス権が付与されますが、false の場合は拒否されます。
IT シナリオでこのしくみを考慮しましょう。 人々はますます自宅で作業するようになっています。 この理由で、パーソナル コンピューターを使用して仕事に関連するコンテンツにアクセスする可能性があります。 条件付きアクセスを使用すると、組織は、本社にあるセキュリティで保護された会社のコンピューターを介して行われる場合のみ、認証されたユーザーに給与支払などの機密システムへのアクセスを許可できます。 認証されたユーザーが自宅でパーソナル コンピューターから給与支払システムにアクセスしようとすると、ブロックされます。
最小限の特権アクセス
最小限の特権の概念とは、ユーザーに必要最小限の権限が許可されることです。 この概念は、いずれのセキュリティ関連の設定にも適用されます。
たとえば、飛行機に乗る場合は、メインの客席の領域に立ち入って自分の席に座ることができますが、乗客が操縦室に入るのは許可されません。 また、エコノミークラスのチケットを使用して旅行している場合は、そのセクションのみに入ることができます。 セキュリティを向上させるために、各人が必要な領域だけに立ち入ることができるようにします。
サイバーセキュリティのコンテキストでも同じ概念が適用されます。 ユーザーがネットワーク上のパブリック フォルダーへのアクセス権を持つ例を考慮します。 ファイルを読み取る必要だけある場合は、その特定のアクセス許可を付与する必要があります。
ほとんどの場合、ユーザーは自分の役割を果たすための権利が不十分な場合には管理者に通知します。 しかし、過度な権利を持っている場合に、管理者に伝えることはほとんどありません。 そのため、ユーザー権利を割り当てる際に用心しすぎてもリスクはほとんどありません。
最低特権アクセスを実装することで、侵害が発生した場合の攻撃者の行動を抑制することができます。
侵入拡大
攻撃者がシステムへのアクセス権を得ると、セキュリティ侵害されたアカウントを使用して、さらに情報を収集する可能性があります。 この情報を使用して、その他のシステムに侵入したり、昇格されたアクセス権を取得したりする可能性があります。 攻撃者はシステム全体を移動し、ターゲットに到達するまでさらにリソースを検索する可能性があります。 攻撃者はさまざまなセクション間を移動しようとするため、最終的な攻撃が最初に侵害されたアカウントから行われる可能性は低いです。
犯罪者がオフィス ビルのメインの受付エリアのセキュリティを突破した場合を考えてみましょう。 その後、犯罪者は通常ビルの他の領域を移動し、さまざまなフロアやオフィスに立ち入ることができます。 機密性の高い領域に侵入されないよう保護するために、セキュリティのレイヤーを追加することが重要です。
たとえば、多くのオフィス ビルでは、経営陣がいるフロアに立ち入るにはセキュリティ コードが必要です。 これらのフロアにあるオフィスはすべてロックされた状態が保たれ、特別なカードを持つ従業員だけが立ち入ることができます。 当然のこととして、犯罪者はビルにいっさい立ち入らないことを望みます。 それでも、侵入される可能性があることを想定し、この種の侵入拡大から保護するためにセキュリティのレイヤーを追加して、損害を限定できます。
IT シナリオでも同じ概念が適用されます。 まずは、セキュリティで保護された認証によって、攻撃者がシステムにアクセスする可能性を減らします。 完全に信頼できるシステムはありませんが、セキュリティ レイヤーを追加することができます。 これらの対策は、システムに侵入した攻撃者が横移動を介して、他のさらに機密性の高いリソースにアクセスできる機会を軽減するのに役立ちます。
ゼロ トラスト
ゼロ トラストは、サイバーセキュリティで一般的な用語です。 これは、今日見られる、ますます一般的になっている攻撃を減らす方法です。
ゼロ トラストは、"決して信頼せず、常に検証する" ように教育することで、組織がリソースに対してセキュリティで保護されたアクセスを提供できるようにするモデルです。ゼロ トラストは、既になじみのある概念を採用した 3 つの原則に基づいています。
- 明示的に確認 - ゼロ トラストでは、アクセスが許可される前に、すべての要求が完全に認証されて認可されます。 組織は、多要素認証と条件付きアクセスを両方とも実装して、すべての要求が明示的に確認されるようにすることもできます。
- 最小限の特権アクセスを使用 - このユニットで前述したように、最小限の特権の概念とは、ユーザーを認可する場合に必要最小限の権利のみ付与する方法のことです。 こうすると、ユーザーが損害を与える可能性が制限され、侵害拡大が制限されます。
- 侵害を想定 - 侵害が発生したこと、またはこれから発生することを想定して、組織は追加のセキュリティのレイヤーに関するプランを改善できます。 こうすると、攻撃者の侵害の範囲を最小限に抑え、侵入拡大を防ぐことができます。
組織は、ゼロ トラストのセキュリティ モデルを採用することにより、最新の分散ワークプレースにうまく適応をしながら、リソースにセキュリティで保護されたアクセスを提供できます。