この記事では、 アクセスと ID の規範の一部として特権アクセス アーキテクチャを設計する方法について説明します。
セキュリティアーキテクトとデザイナーが、 セキュリティで保護された特権アクセスのビジネス成果 を、実装して運用できるエンドツーエンドのアーキテクチャに変換する必要がある場合のガイダンスを提供します。
特権アクセス アーキテクチャを使用する理由
特権アクセスは ID システム、管理インターフェイス、および他のすべてを保護する強制メカニズムを制御するため、特権アクセスのセキュリティ保護と管理は非常に重要です。
この記事の目的は、次のアーキテクチャを設計することです。
- 承認された特権アクセス パスを定義します。
- ID、デバイス、インターフェイス間でこれらのパスを適用できるようにします。
- 応答と継続的な改善のために特権アクティビティを監視できるようにします。
特権アクセスの設計
特権アクセス アーキテクチャ:
- 組織全体で、高い影響を与える管理アクセスを意図的に設計、制約、および管理する方法を定義します。
- 明示的に承認された信頼できるアクセス パスのみが使用され、それらのパスが継続的に検証および監視されるようにすることで、ビジネス クリティカルなシステムの制御が失われるのを防ぎます。
特権アクセスの設計は、1 つの技術的な決定ではなく、1 つの技術的な機能によって所有されていません。 これは、複数のセキュリティ規範間で調整された設計上の決定の結果であり、それぞれが全体的な制御システムの個別の部分に貢献しています。
特権アクセス規範
表にまとめられた規範は連携して、特権アクセスが意図的、強制可能、監視可能、持続可能であることを保証します。
| Discipline | 役割 |
|---|---|
| セキュリティ戦略、統合、ガバナンス | 特権アクセスが存在する理由と保護する必要がある内容を定義します。 優先順位、リスク許容度、成功基準を設定します。 これらの決定により、制御が設計される前に、特権アクセス アーキテクチャのスコープと意図が確立されます。 |
| エンド ツー エンドのセキュリティ アーキテクチャ | 戦略をコヒーレントな技術設計に変換します。 これにより、分離されたツールとしてではなく、ID、エンドポイント、アプリ、インフラストラクチャ全体で特権アクセス制御が連携することが保証されます。 この規範では、制御、管理、ワークロード プレーン全体で適用、検証、および継続的に監視される、閉ループ モデルの承認されたアクセス パスを定義します。 |
| アクセスと ID | 特権アクションを実行できるユーザーと、どのような条件で実行できるかを定義します。 特権 ID、ロール モデル、承認ワークフロー、アクセス ライフサイクルを設計し、昇格されたアクセスが明示的、制限、および期限付きになるようにします。 ID シグナル (リスク、コンテキスト、ロール) が、特権アクセスの決定に対する信頼できる入力であることを保証します。 |
| インフラストラクチャのセキュリティ | インフラストラクチャは、障害の影響範囲を限定するための制御層を提供します。 特権アクセス パスを標準のユーザー環境から分離し、管理に使用されるシステムの攻撃対象領域を減らし、ID とデバイスの信頼に基づく条件付き適用をサポートします。 インフラストラクチャの設計により、特権アクセスの制約は、ポリシー定義だけでなく、技術的に適用できます。 |
| セキュリティ体制 | 特権アクセス制御が時間の経過と同時に有効なままかどうかを測定します。 定義されたセキュリティ レベルまたはプロファイルに対するカバレッジ、構成の誤差、コンプライアンスを追跡し、ガバナンスとアーキテクチャにフィードバックを提供します。 体制管理により、特権アクセス保護は、低下するのではなく、スケーリング、適応、および改善が保証されます。 |
| セキュリティ操作 (SecOps) | SecOps は、特権アクセスが実際には監視可能で防御可能であることを保証します。 通常の特権の動作を定義し、影響の大きい ID とアクセス パスの監視に優先順位を付け、異常発生時の迅速な検出、調査、対応を可能にします。 特権アクセス アーキテクチャは、制御が失敗する可能性があり、誤用をすばやく検出する必要があることを前提として設計されています。 |
戦略、統合、ガバナンス
特権アクセス アーキテクチャは、強力な セキュリティ戦略、統合、ガバナンスの規範 に固定する必要があります。この規範では、特権アクセスが重要な理由、組織全体に適用する方法、および時間の経過と同時に維持する方法を定義します。
ミッションと成果
特権アクセス アーキテクチャ内では、この規範により、組織は次のことが可能になります。
- 特権アクセスの明確な方向を設定する: 影響の大きいアクセスを構成するもの、許可、制限、または削除されるアクセス パス、および成功の測定方法を定義します。
- 特権アクセスを運用に統合する: 特権アクセス要件を計画、アーキテクチャ、エンジニアリング、運用、およびパートナー エコシステムに埋め込んで、例外として扱われないようにします。
- 意思決定と投資を管理する: ID、インフラストラクチャ、アプリケーション、およびセキュリティ運用全体で一貫した優先順位付けと実行を推進するポリシー、標準、アカウンタビリティを確立します。
- より優れたビジネス上の意思決定を可能にする: 進行状況をブロックしたり、アンマネージド リスクを受け入れたりするのではなく、アクセス、テクノロジの変更、新しいイニシアチブを安全に承認するために必要なリスク コンテキストをリーダーに提供します。
- フォーカスと優先順位: ビジネスの優先順位を実用的な特権アクセス戦略に変換して、チームが最も目に見える問題だけでなく、最も結果的なリスクに集中できるようにします。
- 変化に適応する: 進化する脅威、新しいテクノロジ、ビジネス ニーズの変化に応じて、特権アクセス戦略を継続的に更新します。
- インシデントへの影響を軽減する: 一貫性、調整、アカウンタビリティを向上させ、特権アクセス関連のインシデントの可能性と重大度の両方を減らし、復旧結果を改善します。
実装の準備
| 決定 | 詳細情報 | なぜでしょうか。 |
|---|---|---|
| 組織内の特権アクセスとは何を意味しますか? | 影響度の高いロール、アクション、システムを定義します。 たとえば、Entra グローバル管理者、Azure サブスクリプション所有者、運用データベース管理者、ID プラットフォームオペレーターなどです。 |
この定義がないと、チームはより強力な制御を必要とするアカウントを明確に識別できません。すべてが "やや特権" になり、PIM、PAW、より厳密な条件付きアクセス、監視の一貫性が失われます。 |
| 対象となるビジネス クリティカルなシステムはどれですか? | 管理制御の損失によって実際の損害が発生するシステム (ID システム、コア インフラストラクチャ、運用ワークロード、機密データ プラットフォーム) を一覧表示します。 | "所有権が明確ではなかった" ために、チームが低価値のシステムを最初に保護したり、影響の大きいシステムをスキップしたりできないようにします。 |
| 許可、制限、または削除される特権アクセス パスはどれですか? | 管理者がこれらのシステムへのアクセスを許可する方法を決定します (たとえば、PAW からのみ、承認されたポータル経由のみ、レガシ プロトコルなし、個人用デバイスからの直接 RDP なし)。 | 実装チームは、ブロックするアクセス パターンと設計対象のアクセス パターンを把握する必要があります。 それ以外の場合は、"互換性" のために危険なパスが保持されます。 |
| 許容できるトレードオフ | 利便性が優先される場所とそうでない場所を明示的に指定します (たとえば、ログ記録で許可される緊急アクセスと、永続的な管理者アクセスなし)。 | ロールアウト中の無限の議論を停止し、セキュリティが "破壊的操作" として非難されるのを防ぎます。 |
| 特権アクセス設計の変更が許可または承認されているユーザー | ロールの作成、例外、スコープの拡張、緊急の変更 ("IT が決定する" だけでなく) の意思決定者を定義します。 | 明確な所有権がないと、例外は自動的に蓄積され、時間の経過とともにリスクが増加します。 |
| 特権アクセスに対して交渉不可能な標準はどれですか? | "すべての人間の管理者が PIM を使用する"、"永続的なグローバル管理者なし"、"特権アクセスには準拠しているデバイスが必要です" などのルールを文書化します。 | 実装者にガードレールを提供します。チームごとに意図を解釈したり、ポリシーを再発明したりする必要はありません。 |
エンド ツー エンドのセキュリティ アーキテクチャ
特権アクセス アーキテクチャは、個々のコントロールのコレクションではなく、 エンド ツー エンドのセキュリティ アーキテクチャとして設計する必要があります。 この規範により、ID、デバイス、アクセスの強制、監視、応答が、部分的な障害に耐えられる単一の閉ループ システムとして連携します。
ミッションと成果
特権アクセス アーキテクチャ内では、この規範により、組織は次のことが可能になります。
- 特権アクセスをシステムとして設計する: ID、デバイスの信頼、アクセスの強制、監視、応答を分離して動作するのではなく、相互に強化します。
- 承認されたアクセス パスをエンドツーエンドで定義する: 特権セッションの確立、検証、監視、および終了の方法を明示的にします。
- バイパスと特権エスカレーションを防ぐ: 攻撃者がプレーン間を移動したり (制御、管理、ワークロード)、レガシ パスを介して制御をバイパスしたりするギャップを回避できます。
- コントロールの障害を想定し、安全に回復する: 防止だけでなく、コントロールが失敗したときの検出と応答を設計します。
- 強制可能な制約を作成する: アーキテクチャの意図を ID システム、デバイス、インフラストラクチャ、プラットフォームによって実際に適用できるようにします。
実装の準備
| 実装前の決定 | 詳細情報 | これが重要な理由 |
|---|---|---|
| 特権アクセスの参照アーキテクチャを文書化する | 特権セッション (ID > デバイス > インターフェイス > ターゲット > 監視 > 応答) のエンド ツー エンド モデルを文書化します。 | これを行わないと、チームは連携せず、バイパスできる "正しい" コントロールを展開します。 |
| 平面の分離を想定する | コントロール プレーン、管理プレーン、ワークロード/データ プレーンの間の境界と、それらをまたがる ID を定義します。 | 低信頼プレーンから影響の大きいシステムへの特権エスカレーションを防止します。 |
| 統合ポイントを指定する | システム間で流れる必要があるシグナル (ID リスク→アクセスの決定、アクセス イベント→監視、監視→応答) を指定します。 | テレメトリと適用が単に有効になっているだけでなく、連携していることを確認します。 |
| 障害と封じ込めモデルを決定する | 管理者アカウント、デバイス、またはセッションが侵害された場合のアーキテクチャの動作を決定します。 | 1つの制御機構が故障しただけで完全に機能しなくなるようなアーキテクチャを避けます。 |
| 強制モデルを決定する | 適用が行われる場所 (ID、デバイス、ネットワーク、プラットフォーム) と、権限のあるコントロールを決定します。 | アクセスを実際にブロックできないソフト ポリシーへの依存を防ぎます。 |
アクセスとアイデンティティ
アクセスと ID の規範により、特権アクセス戦略が明示的な ID モデルに変わります。 特権アクションを実行できるユーザーを、どのような条件下で、どのくらいの期間、どのシグナルでアクセス決定に貢献できるかを定義します。
ミッションと成果
特権アクセス アーキテクチャ内では、この規範により、組織は次のことが可能になります。
- 特権を明示的にする: : 特権 ID と標準ユーザー ID とワークロード ID を明確に区別します。
- 永続的な特権を排除する: 昇格されたアクセスが期限付きであり、承認され、監査可能であることを確認します。
- 影響範囲を抑える: 特権ロールは、本当に必要なシステムと操作に厳密に限定します。
- 信頼性の高い信頼シグナルを提供する: ID リスク、認証強度、コンテキストをアクセスの決定に使用できるようにします。
- 制御を弱めずに回復をサポートする: 永続的なリスクを再導入することなく緊急アクセスを有効にします。
実装の準備
| 実装前の決定 | 詳細情報 | これが重要な理由 |
|---|---|---|
| 特権を持つ ID はどれですか? | 特権と見なされる人間 ID と非人間 ID と明示的に見なされない ID を定義します。 | 管理者 ID、サービス ID、自動化 ID を 1 つのモデルで混在させないようにします。 |
| 特権ロールの分類とは | ロールレベル、スコープ、責任を定義します (たとえば、テナント全体の管理者とワークロード固有の管理者)。 | 正しいロールの割り当てを有効にし、過剰な特権を回避します。 |
| アクセス ライフサイクルを定義する | 特権アクセスの付与方法 (JIT、承認)、期間、更新、失効を定義します。 | これがないと、チームは「後で対応しよう」として恒常的なアクセスをそのまま許可しがちです。 |
| 必要な信頼シグナルを決定する | 評価する必要があるシグナル (MFA 強度、デバイス コンプライアンス、ID リスク、セッション コンテキスト) を指定します。 | 条件付きアクセスをリアクティブではなく意図的に設計できるようにします。 |
| 緊急アクセス モデルを決定する | 緊急用アカウント、管理策、ログ記録、およびレビューに関する期待事項を定義します。 | アーキテクチャを損なうことなく回復性を確保します。 |
インフラストラクチャのセキュリティ
インフラストラクチャ のセキュリティ規範は、特権アクセスの制約を実現する適用面を提供します。 この規範により、アーキテクチャの意図を実際に適用して維持することができます。
ミッションと成果
特権アクセス アーキテクチャ内では、この規範により、組織は次のことが可能になります。
- 分離を強制する: 特権環境を標準ユーザー環境から分離します。
- 攻撃対象領域を減らす: 管理に使用されるシステムを強化します。
- 爆発半径を制限する:侵害された資産からの横移動を防ぎます。
- ID 主導の強制をサポートする: インフラストラクチャで ID とデバイスの信頼に関する決定を確実に遵守できるようにします。
実装の準備
| 実装前の決定 | 詳細情報 | これが重要な理由 |
|---|---|---|
| 分離モデルを定義する | 特権環境を標準環境から分離する方法を定義します。 | 横移動と資格情報の盗難を制限します。 |
| 攻撃面の減少に対する期待値を定義する | 管理デバイスとシステムのベースラインのセキュリティ強化を定義します。 | セキュリティで保護されていない基盤で特権アクセスが実行されないようにします。 |
| 強制メカニズムを決定する | ID、デバイス、およびネットワーク制御をインフラストラクチャによって適用する方法を決定します。 | ポリシーだけに依存するアーキテクチャを回避します。 |
| ID プラットフォームの制約 | クラウド、オンプレミス、ハイブリッドの制限事項を文書化します。 | 実装できないデザインを防止します。 |
| インフラストラクチャの前提条件を定義する | ロールアウトの前に存在する必要がある内容 (デバイス管理、ID 統合) を定義します。 | 失敗または部分的なデプロイを回避します。 |
セキュリティ態勢
セキュリティ体制管理規範により、特権アクセス保護は、初期デプロイだけでなく、時間の経過と同時に有効なまま維持されます。 アーキテクチャを継続的な保証に変えます。
ミッションと成果
特権アクセス アーキテクチャ内では、この規範により、組織は次のことが可能になります。
- 有効性の測定: 特権アクセス保護が実際に実施され、機能しているかどうかを把握します。
- 誤差を検出する: ロール、デバイス、またはアクセス パスがコンプライアンスから外れるタイミングを特定します。
- 修復に優先順位を付ける: 実際のビジネス リスクを高めるギャップに重点を置く。
- アーキテクチャを維持する: 環境と組織の進化に合わせて特権アクセスを維持します。
実装の準備
| 実装前の決定 | 詳細情報 | これが重要な理由 |
|---|---|---|
| セキュリティ レベルを定義する | 特権ロール、デバイス、およびアクセス パスに必要な保護レベルを定義します。 | チームとプラットフォーム間で一貫性のない保護を防止します。 |
| カバレッジの期待値を定義する | "完全" の外観 (役割、デバイス、対象システム) を決定します。 | 部分的な実装が成功として扱われるのを回避します。 |
| ドリフト検出モデルを決定する | 偏差を識別して報告する方法を定義します。 | 時間の経過とともに統制が気づかないうちに形骸化するのを防ぎます。 |
| レビュー頻度 | 特権アクセス体制をレビューする頻度を決定します。 | インシデントが発生する前に問題が確実に対処されるようにします。 |
| 修復の所有権を決定する | ギャップをいつ修正するかを定義します。 | 態勢を報告で終わらせず、行動につなげます。 |
SecOps
SecOps 規範により、特権アクセスが監視可能、優先順位付け、アクション可能であることが保証されます。 この規範により、特権アクセスの誤用が迅速に検出され、一貫して処理されるようになります。
ミッションと成果
特権アクセス アーキテクチャ内では、この規範により、組織は次のことが可能になります。
- 特権の誤用を早期に検出する: 特権アクティビティをバックグラウンド ノイズではなく、高信号イベントとして扱います。
- 対応に優先順位を付ける: 特権アクセスに関連するインシデントが直ちに注意を引きます。
- ダメージを素早く封じ込める: 特権アクセスインシデント時のドウェル時間と爆発半径を短縮します。
- 学習を設計に戻す: 実際のインシデントを使用して、戦略、アーキテクチャ、およびコントロールを改善します。
実装の準備
| 実装前の決定 | 詳細情報 | これが重要な理由 |
|---|---|---|
| 通常の特権動作を定義する | 予想される管理者アクション、場所、デバイス、アクセス パターンを定義します。 | アラートの氾濫ではなく、有意義な異常検出を実現します。 |
| 優先度の高いイベントを決定する | 特権ロールのアクティブ化、管理者サインイン、信頼されていないデバイスからのアクセス、ポリシー バイパスを特定します。 | リスクの低いアラート間で特権インシデントが失われないようにする |
| 応答の所有権を定義する | 特権インシデントの調査、封じ込め、エスカレーションを誰が担当するかを定義します。 | 影響の大きいイベント中の遅延を回避します。 |
| 応答プレイブックを定義する | 特権の誤用が疑われる場合に想定されるアクションを定義します。 | 圧力の下で一貫した、反復可能な応答を保障する。 |
| 戦略へのフィードバック ループを決定する | インシデントが戦略とアーキテクチャの変更をどのように推進するかを決定します。 | 同じエラーを繰り返さないようにします。 |