最小権限の原則とは
最小権限の原則(PoLP)とは、組織のデータ、ネットワーク、アプリケーション、その他のリソースへのアクセス制御をするためのサイバーセキュリティ戦略および実践です。この原則は、ユーザーに付与される特権アクセス権限を厳密に監視および管理することによって実行されます。最小権限の原則は、人間のユーザーだけでなく、アプリケーション、システム、接続されたデバイスなど人ではないユーザーにも適用されます。これらのユーザーには、業務の遂行に必要なタスクを実行するための、必要最小限のアクセス権限が付与され、それ以上のアクセス権限は付与されません。
ゼロトラスト セキュリティ モデルが、自動ロール管理、アクセス権限、アクセス ポリシー ロジックによる最小権限ルールの適用にどのように役立つのか見てみましょう。
最小権限の原則の事例には、次のようなものがあります。
- 請求書処理の担当者は、会計アプリケーションの特定の機能にのみアクセスでき、売掛金や給与処理などの他の領域にはアクセスできません。
- 営業担当者は、顧客データベースに対する読み書きの権限を有していますが、ダウンロードやコピー権限は持っていません。
- 政府職員は、自身のセキュリティ クリアランス レベルに基づいた情報に対してのみアクセス権限を持ち、自身の職務に関連する情報にのみアクセスできます。一方、FDA(アメリカ食品医薬品局)の職員は、防衛関連の情報にアクセスできません。
- ソフトウェアのUIデザイナーは、ソース コードにアクセスできません。
最小権限の原則は、ラテラル ムーブメントや不正アクセスを制限し、アタック サーフェスを最小限に抑え、マルウェアの拡散を抑制する効果があるため、最も効果的なサイバー セキュリティ対策の一つであると考えられています。また、最小権限の原則は、CIA三大要素(機密性、完全性、可用性)を実現するための効果的な戦略であり、ゼロトラスト セキュリティ フレームワークの基礎部分でもあります。
最小権限の原則の仕組み
最小権限の原則を実践するには、データ、ネットワーク、アプリケーション、その他のリソースへのアクセスを制限し、監視します。ゼロトラスト セキュリティ環境では、最小権限の原則は、アプリケーションで使用するIPアドレス、プロトコル、ポート(例:動的ポートを使用する通信、コラボレーション向けアプリケーション)を問わず、人間のユーザーと人間ではないユーザーに付与された、特定のアクセス権限を識別するのに役立ちます。
最小権限の原則の中核的要素
最小権限の原則では、ユーザー アイデンティティ(ID)認証、端末のセキュリティ体制、ユーザーとアプリケーションのセグメンテーションという、3つの中核的要素が制御に組み込まれています。
ユーザーID認証
最小権限の原則を適用するための最初のステップは、人間のユーザーと人間ではないユーザーのIDを検証することです。
端末のセキュリティ体制
最小権限の原則を効果的に活用するには、端末の使用状況を監視し、人間かどうかを問わず侵害されたユーザーを特定して、攻撃を阻止する必要があります。
ユーザーとアプリケーションのセグメンテーション
最小権限の原則では、ゼロトラスト ネットワーク アクセス ソリューションを使用して、ネットワークを分割し、必要に応じてアクセスを制限することで、不正なラテラル ムーブメントを阻止します。
最小権限の原則におけるアカウントの種類
最小権限の原則を実装するには、ユーザー要件に関連するさまざまなレベルの特権を持つ、複数のアカウントの種類を使用する必要があります。使用されるアカウントには、次のようなものがあります。
非特権アカウント
非特権アカウントには、主に2つのタイプがあります。
- 最小権限ユーザー アカウントは、ユーザーが職務を遂行できるよう、最小限のアクセス権限をユーザーに付与します。このレベルのアカウントは、ほとんどのユーザーに割り当てられます。
- ゲスト ユーザー アカウントは、最小限のアクセス権限を必要とする外部ユーザー(サード パーティ パートナー、契約社員、派遣社員など)に割り当てられます。一般的に、ゲスト ユーザー アカウントの特権は最小権限ユーザーよりも少ないです。アクセス権限が不要になった場合、最小権限の原則に従って、ゲスト ユーザー アカウントを直ちに無効にする必要があります。
特権アカウント
特権アカウントは、スーパー ユーザーまたは管理アカウントとも呼ばれており、最高レベルのアクセス権限を有しています。
一般的に使用される特権アカウントには、次のようなものがあります。
- アプリケーション アカウントは、他のアプリケーションへのアクセス権限を付与、データベースにアクセス、またはバッチ ジョブやスクリプトを実行したりするために、アプリケーションによって使用されます。
- ドメイン管理アカウントは、ドメイン内のワークステーション、サーバー全体の管理アクセス権限を持ちます。
- ドメイン サービス アカウントまたはActive Directoryアカウントは、アカウントのパスワード変更を許可し、リソースに関する情報を管理、保存する権限があります。
- 緊急アカウントは、ブレーク グラス アカウントまたはファイアコール アカウントとも呼ばれており、緊急時にセキュアなシステムへの管理アクセス権限を持つ、非特権ユーザーによって使用されます。
- ローカル管理アカウントは、ローカル ホストまたはインスタンスへの管理アクセス権限のみを付与します。
- サービス アカウントは、特権ローカル アカウントまたはドメイン アカウントとも呼ばれており、アプリケーションやサービスがOSと通信するために使用されます。
最小権限の原則により、通常は管理者のみが特権アカウントにアクセスできます。管理者は最も信頼できる人物であると考えられており、その職務を遂行するには、高いアクセス権限が必要だからです。特権アカウント所有者が実行できるタスクには、次のようなものがあります。
- 特権アカウントを含む他のユーザー アカウントの有効化、無効化
- ネットワーク設定の調整
- アプリケーションのインストール、アップデート
- ユーザー、システムの監視
- データの削除
サービス アカウント
サービス アカウントは、専用アカウントを必要とする、人ではないユーザーに割り当てられます。最小権限の原則に従って、アクセス要件を決定する必要があります。その場合、アクセス権限は、承認されたタスクを実行するために必要な、最小限のものに制限されます
共有アカウント
共有アカウントは汎用アカウントとも呼ばれており、ユーザー グループ間で共有されます。各ユーザーに独自のアカウントを割り当てることが最小権限の原則におけるベストプラクティスであるため、共有アカウントは慎重に使用する必要があります。
最小権限の原則を実装するための3つのベスト プラクティス
- すべての特権アカウントのインベントリを作成し、メンテナンスしてください。これにはユーザー アカウント、ローカル アカウント、アプリケーション アカウント、サービス アカウント、データベース アカウント、クラウド アカウント、ソーシャル メディア アカウント、SSHキー、デフォルトのパスワード、ハードコードされたパスワード、その他の特権認証情報(例:パートナーまたはベンダーによって使用される特権認証情報)、プラットフォーム、ディレクトリ、ハードウェアを含める必要があります。
- エンドユーザー、エンドポイント、アカウント、アプリケーション、サービス、システム、およびデバイスに対して最小特権の原則を徹底することです。これを行う方法は次のとおりです。
- パスワード共有の禁止
- アプリケーション、プロセス、端末、ツール、その他のリソースから不要な特権を削除
- 職務分掌(SoD)ポリシーの実装
- 必要に応じて、各特権アカウントに付与される権限を最小化
- ハードコードされた認証情報の削除
- エンドポイントとサーバーの管理者権限を削除
- 強力なパスワードと多要素認証(MFA)の使用を要求
- 特権アカウントの割り当てを制限
- システムとネットワークを可能な限り分割
- 必要な場合にのみ永続的な特権を使用
- 包括的な最小特権の原則のルールを確立し、アカウント、特に特権アカウントがどのようにプロビジョニングされ、プロビジョニング解除されるか、また特権IDおよびアカウントがどのように監視および管理されるかを管理します。
最小権限の原則が重要である理由
最小権限の原則が重要である理由として、可用性とセキュリティの両立、パフォーマンスの向上、ヒューマン エラーの影響の軽減など、ハイブリッド環境の拡大に関連するセキュリティの課題に対応できることが挙げられます。
セキュリティ戦略の基本要素として最小権限の原則を活用することで、リソースやデータへの不正アクセスがもたらす影響から組織を保護します。
こうした影響には、データ侵害、ランサムウェア攻撃、その他の悪意のある行動による経済的損失や評判の低下が含まれます。
最小権限の原則が重要であるもう一つの理由は、企業のアタック サーフェスが減少することです。これにより、リスクと脆弱性を最小化できるだけでなく、IT部門とセキュリティ部門の貴重な時間とコストを節約できます。さらに、低レベルのアカウントを侵害して、重要なシステムや機密データにアクセスしようとする攻撃者に対する脅威を減らすことができます。
また、エンドポイントに対して最小権限の原則を適用することで、マルウェアの拡散を阻止することもできます。これにより、攻撃者がマルウェア攻撃を実行し、昇格された特権を使用してアクセス権限を拡大したり、ラテラル ムーブメントによって他のシステムに感染したりすることを阻止できます。
最小権限の原則により、権限のない内部ユーザーが機密情報やシステムにアクセスすることを防ぐこともできます。これにより、全体的なデータ セキュリティが向上し、法規制のコンプライアンス要件を遵守するとともに、悪意のある内部関係者の活動を抑制できます。
最小権限の原則の利点
監査への対応
最小権限の原則の実装に伴う監視、記録、レポートにより、監査に必要な多くの情報を入手できます。これにより、監査プロセスを簡素化し、法規制のセキュリティ要件の遵守を徹底できます。
データ分類の改善
ネットワーク管理者は、最小権限の原則に従って、誰が何にアクセスできるのかを常に記録しておく必要があります。これは、ネットワークの安全性や健全性を維持するのに役立ちます。
可視性の向上
最小権限の原則を実装するには、ユーザー アクティビティの可視性を高める必要があります。これにより、サイバー攻撃や悪意のある内部関係者の行動を迅速に特定、軽減できます。
データ セキュリティの向上
セキュリティ戦略で最小権限の原則を活用すると、ユーザーがアクセスできる情報量を業務に必要な情報のみに制限することで、データ侵害による壊滅的な影響を防ぐことができます。多くのユーザーは最小限のデータのみを必要とするため、侵害による損害リスクを大幅に軽減できます。
IT資産の保護を強化
最小権限の原則がもたらすセキュリティのメリットは、サイバー犯罪者からの保護だけにとどまりません。ユーザーのアクセス権限を、必要なリソースのみに制限することで、ミス、悪意、過失によるヒューマン エラーの悪影響から、データ、システム、ネットワーク、その他のリソースを保護します。
アタック サーフェスの最小化
最小権限の原則により、アタック サーフェスを最小化できます。サイバー犯罪者が機密データへアクセスしたり攻撃を実行するための経路を減らし、ユーザーがアクセスできる最小限のリソースだけに限定することで、これを実現します。
業務効率とパフォーマンス
最小権限の原則により、侵害、マルウェアの拡散、未認証のアプリケーションが原因で発生する可能性のあるシステムのダウンタイムを削減し、運用効率とパフォーマンスを向上させることができます。
マルウェアの伝播を阻止
最小権限の原則により、他の接続された端末に対する攻撃で使用されるラテラル ムーブメントを防ぐことで、ネットワーク全体へのマルウェアの拡散を抑制できます。また、ユーザーが未認証のアプリケーションをインストールしたり、特権分離を実行したりするのを阻止することもできます。
最小権限の原則の実装
ここでは、組織が最小権限の原則を実装するための手順を解説します。
特権アカウントの監査
特権ユーザー アカウントの定期的なレビュー(ネットワーク、システム、ソフトウェア アプリケーション、プロセス、プログラムに対するID、権限の確認など)は、最小権限の原則が果たす重要な役割の一つです。
不要なリソースへのアクセス権限を無効化
最小権限の原則に基づいたセキュリティ プログラムでは、デフォルトの特権を非アクティブ化し、実際の要件に基づいて必要な特権を復元します。
ケースバイケースで特権を昇格
最小権限の原則を実装し、その有効性を維持するには、状況に応じて昇格した特権をユーザーに付与し、アクセス権限を一時的なものにする必要があります。
使用していないアカウントの削除
最小権限の原則には、特権の排除も含まれます。ユーザーがリソース セットのすべてまたは一部にアクセスする必要がなくなった場合は、その特権を直ちに取り消す必要があります。最適なアクセス制御を確保するために、使用状況を定期的に評価するシステムを導入する必要があります。
エンドポイントの監視
エンドポイントのすべてのアクティビティを継続的に監視、記録、監査し、エンドポイント インベントリを維持することにより、最小権限の原則を実装します。
ログを定期的にレビュー
最小権限の原則には、使用状況の監視、記録が含まれます。ログを定期的かつ継続的にレビューすることが重要です。ログをレビューしないと、未認証のアクセスを検出できない可能性があります。
アカウント、特権を再評価
最小権限の原則を実装し、その有効性を最適化するには、アクセス権限を毎月または少なくとも四半期ごとにレビューする必要があります。過剰な特権が判明した場合は、直ちに取り消す必要があります。休眠アカウントも評価し、アクティブなままにするかどうかを判断しなければなりません。
ユーザーの分離
最小権限の原則を実装する場合、ユーザーのロールや場所に基づいて、アクセス レベルの高いグループ、アクセス レベルの低いグループ、サブグループに分ける必要があります。
ユーザーのアクセス権限を最小権限に設定
最小権限の原則を実装する場合、最小権限をデフォルト設定として使用する必要があります。追加のアクセス権限が必要なタスクを実行することを目的としてユーザーへ追加の特権を付与する場合、特権クリープを防ぐために、その特権が不要になった際は取り消す必要があります。
特権の囲い込みの使用
特権の囲い込みでは、タスクの完了に必要な時間のみをユーザーに付与することで、最小権限の原則を実践します。
最小権限の原則に関連する用語・概念
特権クリープ
ユーザーに一定期間にわたって追加のアクセス権限が付与されると、特権クリープが発生します。役職の変更や新しい責任の割り当てに伴い、ユーザーに新しいアクセス権限を付与する際に、不要になった既存の特権が取り消されない場合に特権クリープが発生することが多いです。その場合、実際に必要な範囲を超えたアクセス権限が蓄積されるか、特権昇格が発生します。
最小権限の原則を適用すると、アクセス権限の許可を定期的にレビュー、更新することで、特権クリープを防止できます。
特権の囲い込み
特権の囲い込みとは、アクセス権限の許可が必要になる直前にアクセス権限を拡大し、関連するタスクの完了後、直ちにアクセス権限を取り消すことです。これにより、短期間で特権レベルを上げることができます。
特権の分離
特権を分離すると、システムの機能が個々に分割されます。ユーザーには、要件に基づいて特定の部分へのアクセス権限が割り当てられるため、露出が制限され、アタック サーフェスを縮小できます。
特権昇格
特権昇格は、サイバー攻撃の一種です。攻撃者は、昇格された権限や特権への未認証のアクセス権限を取得します。エンドポイントで最小権限の原則を適用することで、攻撃者が昇格された特権を使用してアクセス権限を拡大したり、ラテラル ムーブメントによってマルウェアやその他の不正なアクティビティを実行したりすることができないため、特権昇格攻撃を阻止できます。
ゼロトラスト セキュリティ
ゼロトラスト セキュリティは、セキュリティ境界の内外にかかわらず、デフォルトで端末、ユーザー、ワークロード、システムを信頼すべきではないという概念に基づいています。他のセキュリティ モデルでは、ネットワーク内のすべてのものは認証済みで、正当なものとして検証されているため、信頼されるべきであると暗黙的に想定されています。一方、ゼロトラスト モデルでは、アクセス権限を付与する前に、すべてのアクセス権限の申請・付与を評価・認証します。
ゼロトラスト ネットワーク アクセス(ZTNA)
ZTNAは、ソフトウェア定義境界(SDP)としても知られており、貴重な資産が格納されているマイクロセグメントによって、アクセス権限を制御します。ZTNAは、最小権限の原則を適用して、悪意のあるラテラル ムーブメントや未認証のラテラル ムーブメントを特定・阻止します。
最小権限の原則がもたらすメリットを最大化
最小権限の原則を効果的に実装、適用すれば、セキュリティ保護という重要な責務を果たすことができます。最小権限の原則は、サイバー セキュリティ、ヒューマン エラーに関連するセキュリティ制御、生産性、パフォーマンスの向上にも役立ちます。
最小権限の原則を適用することで、実証済みのさまざまなメリットを得ることができます。規模や業界を問わず、組織は、セキュリティ体制の中核として最小権限の原則を採用することが推奨されます。
FAQ
よくある質問
最小権限は、仕事を遂行するために必要な最低限のアクセス権のみが付与されることを意味し、職務の分離は、1人の担当者が2つ以上の職務を重複して持つことで不正を働く機会を未然に防止することです。
一般社員は、指定されたソフトウェアを使うことはできるが、新規にインストールする権限は付与されていない、などが挙げられます。
