アクセスと ID の規範を確立する

この記事は、セキュリティチームとテクノロジ チームが、組織全体のセキュリティに対する明確でエンドツーエンドの技術的ビジョンを提供するセキュリティ アーキテクチャ規範を確立し、最新化するのに役立ちます。

セキュリティ規範 は、関連するセキュリティ作業のグループであり、組織がテクノロジ資産全体にわたって一貫してセキュリティ成果を提供するのに役立ちます。 セキュリティ導入モデル内では、規範によって ビジネス シナリオ技術実装の間の橋渡しが可能になり、セキュリティ投資が セキュリティ導入モデルの一部として実際の測定可能な結果に変換されます。

なぜこの規範?

アクセスとアイデンティティは、ほとんどの人が最初に、しかも最も頻繁に関わるセキュリティ分野です。 すべてのユーザーは、デバイスにサインインしたり、アプリケーションにアクセスしたり、ファイルを共有したり、リモートで接続したり、物理的な資格情報を使用して建物に入ったりするたびにそれを体験します。

アクセス制御はセキュリティと生産性の共通部分にあるため、組織のリスクとユーザー エクスペリエンスの両方に直接影響します。

アクセスと ID の規範:

-

  • ビジネス資産へのアクセス パスを形成および管理することでリスクを軽減し、攻撃者による不正使用を防ぎながら、適切なエンティティが適切な条件下で適切なアクセス権を持っていることを確認します。
  • 安全でない回避策とシャドウ IT を回避する、一貫した低摩擦アクセスで生産性を実現
  • セキュリティ リーダーと実務者が組織全体で一貫して調整して実行できる共通の戦略を提供します

これは、ID が攻撃の最も一般的なエントリ ポイントであり、 特権アクセス の侵害によって攻撃の影響が大幅に増幅されるため、戦略的な優先順位です。 パスワード スプレー、フィッシング、トークンの盗難などの手法は、初期の足掛かりを得るために日常的に使用されます。 Pass-the-hash、pass-the-ticket、および同様の ID 侵害攻撃は、横移動、特権のエスカレート、価値の高い資産への到達に定期的に使用されます。

効果的なアクセスと ID の規範がなければ、組織は次のリスクの増加に直面します。

  • 外部侵害: 攻撃者は、特権アカウントを含む正当なユーザーまたはサービス ID を迅速に引き継ぎ、それらを使用してビジネス資産を検出して悪用することができます。
  • インサイダーの不正使用と特権の悪用: 悪意のある、過失、または侵害されたインサイダーは、機密性の高いシステムやデータにアクセスするために昇格された特権を悪用する可能性があります。
  • 生産性の低下と安全でない回避策: 過度に制限されたアクセス制御や一貫性のないアクセス制御は、ユーザーを不満にさせ、制御が弱く、可視性が制限されたシャドウ IT の導入を促進し、リスクと爆発半径を増やします。

ミッションと成果

効果的なアクセスと ID の規範は、次の 2 つの補完的な戦略的目標に基づいて構築されています。

  • セキュリティで保護された一般的なアクセス - 毎日のアクセスに対して最小限のセキュリティ保証を一貫して適用することで、すべての組織資産のベースライン セキュリティを強化します。
  • セキュリティで保護された特権アクセス - 価値の高いビジネス資産、IT 管理者アカウント、ワークロード ID、広範または詳細な制御を付与する成果物など、重要なビジネスに影響を与える可能性があるアクセスを保護します。

これらの目標を組み合わせることで、アクセス セキュリティはビジネス価値とリスクに応じてスケーリングされ、日常的な作業を不必要に妨害することなく、最も重要な場所で強力な保護を提供します。

次の図は、これら 2 つの補完的な目標を示しています。

アクセス セキュリティの 2 つの戦略的目標の図: 一般的なアクセスのセキュリティ保護と特権アクセスのセキュリティ保護。

この規範を適用する方法

アクセスと ID の規範を効果的に適用するには、組織全体でアクセスを管理する方法に一貫した ID 中心のアプローチを確立することに重点を置きます。

  1. ビジネス リスクに合わせて ID 中心のアクセス モデルを定義する
    リスクとビジネスへの影響に基づいて、ユーザー、デバイス、アプリケーション、ワークロードが組織のリソースにアクセスする方法に関する明確なアプローチを確立します。
  2. すべての環境でアクセスの一貫した検証を確保する
    場所、アプリケーション、またはネットワークに関係なく、ID、デバイス、およびアクセス条件の検証に統一されたアプローチを適用します。
  3. 組織全体のアクセス制御とポリシーを標準化する
    アクセスの決定が一貫して適用され、システムと環境全体の断片化を減らすための明確なガイダンスを提供します。
  4. アクセス管理をビジネス シナリオと重要な資産に合わせる
    価値の高い資産を保護し、セキュリティで保護されたリモート作業や重要なシステムの保護などの主要なシナリオをサポートするアクセス制御に優先順位を付けます。
  5. リスクとアクティビティに基づいてアクセスを継続的に監視および調整する
    アクセス パターン、リスクシグナル、セキュリティ イベントからの分析情報を使用して、制御を強化し、時間の経過と同時に露出を減らします。

変更の管理

従来のアクセス制御モデルは、ネットワーク境界、ID システムの階層化、信頼された内部ネットワークの周囲の VPN に重点を置いていました。 これらのモデルは、クラウド、SaaS、モバイル、AI、ハイブリッド環境全体で動作する最新の企業のニーズを満たさなくなりました。 従来のアプローチでは、多くの場合、次の結果が得られます。

  • ID、ネットワーク、およびアプリケーションレイヤー間の断片化されたソリューション。
  • 脆弱または一貫性のない特権アクセス保護。
  • セキュリティ操作と検出との統合が不十分です。
  • 攻撃者が日常的に悪用するギャップ。

次の図は、この制限を示しています。

分離されたシステムを使用した従来のアクセス制御と特権アクセス セキュリティのギャップの図。

最新のアクセスと ID の規範は、個々のテクノロジを超えています。 すべてのアクセス パスでビジネスの優先順位、統合、完全性に重点を置き、一貫性のある単一のアクセス戦略を適用します。 最新のアクセス制御は次のようにする必要があります。

  • 安全: リッチ シグナルを使用して、ユーザー、デバイス、ワークロードを明示的に検証します。 承認されていない特権エスカレーションを防止し、特権アクセスを保護します。
  • 一貫性があり包括的: すべてのアクセス パス (人間と非人間) をカバーし、セキュリティ保証を一様に適用してギャップをなくし、ユーザー エクスペリエンスを向上させます。
  • 統合: 一元化されたポリシーと最小限の数のポリシー エンジンを使用して、一貫して大規模な制御を適用し、構成のずれを回避します。
  • ID 中心: ID ベースのコントロールに優先順位を付けます。これは、ネットワークのみのシグナルよりも豊富なコンテキストを提供します。 プライマリ信頼境界ではなく、補完レイヤーとしてネットワーク 制御を使用します。

エンタープライズ アクセス モデルのこの図は、組織が複数のワークロード、複数のクラウド、さまざまなビジネス感度レベル、およびユーザーとデバイスの両方によるアクセスに対してセキュリティで保護する必要があるさまざまな種類のアクセス パスをすべて示しています。

ユーザー、デバイス、ワークロード間の安全で一貫性のある統合されたアクセス パスを示すエンタープライズ アクセス モデルの図。

規範の役割とコラボレーター

アクセスと ID の規範の計画と配信は、通常、ID、アクセス、ネットワークを担当するチームによって所有されます。 大規模な組織では、責任は正式な役割とプロセスに分散されます。 小規模な組織では、ロールが組み合わされ、より非公式に処理される場合があります。 いずれの場合も、進化するアクセスと ID 戦略を文書化することをお勧めします。

主な役割は次のとおりです。

  • アクセス アーキテクト: エンドツーエンドのアクセス戦略を定義し、ID、ネットワーク、アプリケーション、プラットフォームの各層にわたって設計します。
  • ID およびネットワーク エンジニアとオペレーター: ID システムの実装、運用、保守、アクセスの強制、およびインフラストラクチャのサポート。

アーキテクトは、すべてのアクセス テクノロジを総合的に理解する必要があります。 通常、エンジニアは ID システムやネットワーク システムに関する深い専門知識を持っています。

主要な内部コラボレーターは次のとおりです。

  • アクセス制御を広範なセキュリティ アーキテクチャと優先順位に合わせて調整するためのセキュリティおよびエンタープライズ アーキテクト
  • プラットフォームとワークロードにアクセス要件を実装するエンジニアリングチームと運用チーム**
  • 監督と監視を提供するセキュリティ リーダー (CISO と代理人)
  • 最新の ID とアクセス パターンを使用してアプリケーションを設計および構築する開発者

単独でアクセスを所有するロールは 1 つもありません。 アクセス制御の成功は、チーム間の責任と調整の共有に依存します。

戦略コンポーネント

効果的なアクセスと ID 戦略により、承認されたアクションの完全なライフサイクルがセキュリティで保護されます。 概念的には、これは文の構造を反映しています。

  • 識別主体 – アクセスを要求するユーザーまたはシステム。
  • アクセス動詞 – 実行されているアクション。
  • アクセス オブジェクト – アクセスする資産。

ID サブジェクト (誰)

アクセスセキュリティは、アクセスを要求しているユーザーまたは何を知ることから始まります。

  • すべての ID の種類: 人間のユーザー アカウント、ワークロード ID、AI エージェント、アプリケーション、サービス プリンシパル、証明書、暗号化キーをセキュリティで保護します。
    • 完全な ID ライフサイクル 1: ID の作成へのアクセス権がない状態から、変更や特権の昇格を通じて ID を管理し、不要になったときにプロビジョニングを解除してアクセス権を返さないようにします。
  • ID ソース: 信頼される内部 ID プロバイダーと外部 ID プロバイダー、ID の管理方法、およびそれらのソース間でライフサイクル制御を適用する方法を定義します。

Access 動詞 (方法)

アクセスの適用は、アクセス サイクル全体にわたってすべての資産とアクセス パスを対象にする必要があります。

  • 包括的なカバレッジ: 対話型アクセス、API、およびマシン間通信全体で、クラウド、オンプレミス、SaaS、AI、OT/IoT 資産のポリシーを適用します。
  • 中間システム: アクセスを仲介するデバイス、ディレクトリ、ゲートウェイ、VPN、アクセス プロキシをセキュリティで保護します。
  • 一貫性のあるポリシー: 一般的なアクセス、特権アクセス、ネットワーク アクセス、外部アクセス、ワークロード レベルの承認モデル全体でポリシーを一様に適用します。
  • アダプティブ アクセス: リアルタイム信号を使用して ID が既知、信頼済み、許可されているかどうかを継続的に評価し、リスクが変化した場合はセッションを終了します。
  • 強力な認証: パスワードベースの攻撃を軽減するフィッシングに強い認証とメカニズムを適用します。
  • 最新のアクセス メカニズム: アプリケーション レベルで最小限の特権を適用し、従来の境界テクノロジを Security Service Edge (SSE) などの ID 中心のアプローチに置き換えます。

オブジェクトにアクセス(何)

アクセス ポリシーには、ビジネス価値、機密度、ガバナンスの要件が反映されている必要があります。

  • ポリシーをビジネスに合わせる: 資産を分類し、アクセス制御をその価値とリスクに合わせます。
  • 制御関係の管理: アクセス戦略では、セキュリティ グラフ内の推移的な制御リレーションシップを考慮する必要があります。 A が B を制御し、B が C を制御している場合、A は実質的に C も制御していることになり、影響範囲が劇的に拡大します。
  • 技術的負債の削減: アクセス保証を損なう安全でないレガシ プロトコルと暗号化 (LM/NTLM など) を廃止します。 これには多くの場合、ID、エンドポイント、インフラストラクチャ間で調整されたアクションが必要です。

他の規範との連携

アクセスと ID の規範は独立して動作しません。 これは、次のような他のセキュリティ規範と密接に連携します。

  • 戦略、統合、ガバナンス。 アクセスの決定は、ビジネス リスクと優先順位付けを形成します。
  • セキュリティ アーキテクチャ: アクセス制御によってアーキテクチャ上の決定が強制されます。
  • セキュリティ操作: ID テレメトリとアクセスシグナルフィード検出、調査、応答。
  • エンドポイント セキュリティ: デバイスのポスチャは、アクセスの信頼に直接影響します。
  • データ セキュリティ: アクセス ポリシーには、データの機密性とガバナンスが反映されます。

この配置により、アクセスの決定は、フラグメント化された制御ではなく、エンドツーエンドのセキュリティ結果をサポートします。

テクノロジの柱との連携

Access と ID の規範は、すべてのテクノロジの柱にまたがり、この図に示すように、それらの間で統一された制御レイヤーとして機能します。

アクセス保護と ID 保護が ID、エンドポイント、インフラストラクチャにどのようにまたがっているかを示すテクノロジの柱の図。

規範は次のように調整されます。

  • ID: 認証、承認、ライフサイクル管理、特権制御により、資産にアクセスできるユーザーと、どのような条件下でアクセスできるかが定義されます。
  • エンドポイント: エンドポイントのポスチャと資格情報の保護は、アクセス信頼の決定に影響します。 侵害されたデバイスは、ID 制御を損ないます。
  • インフラストラクチャ: ID システムと管理インターフェイスはインフラストラクチャ上で実行され、強力な特権アクセス保護が必要です。
  • アプリ: アプリケーションでは、最新の ID パターンを使用し、ユーザー、API、パイプラインに最小特権アクセスを適用する必要があります。
  • データ: ID ベースのアクセス制御は、機密データの読み取り、変更、または流出を行うことができるユーザーを制御します。
  • ネットワーク: ネットワーク制御は、レガシ攻撃を軽減し、Security Service Edge (SSE) パターンをサポートすることで、ID 中心のアクセスを補完します。
  • AI: AI エージェントとサービスでは、ライフサイクル管理、最小限の特権、監視を必要とする新しい ID の種類が導入されます。

次のステップ

  • Last updated on