PAM ソリューションは高価で複雑なものになる可能性
認可は、アイデンティティおよびアクセス管理(IAM)において重要な役割を果たします。 IAMは、ビジネスポリシーとプロセスのセキュリティフレームワークで、ユーザーが業務を遂行するために必要なアクセス権を、許可されたユーザーに付与することを保証するために設計されています。 組織に適切な認可モデルを選択することは、機密性の高いリソースを不正アクセスから保護するために重要です。 5つの主要な認可モデルは、役割ベースのアクセス制御、属性ベースのアクセス制御、関係性ベースのアクセス制御、任意アクセス制御、強制アクセス制御です。
ここでは、5つの異なる認可モデルとはどのようなものか、組織に適合する認可モデルを選ぶ方法、それを実装する方法について、さらに詳しく説明します。
KeeperPAM™(特権アクセスマネージャー)で企業内の
セキュリティを可視化し、企業の安全を支えます!
認可(Authorization)とは
認可とは、認証後のプロセスであり、データやアプリケーション、ネットワークなどのシステムリソースに対するユーザーのアクセスレベルを決定するものです。 ユーザーは、組織のネットワークへのアクセス を得るために、認証と呼ばれるプロセスを介して自分のアイデンティティを証明する必要があります。 ユーザーやマシンが認証されると、管理者あるいはシステムは、組織内の特定のリソースに対して許可されたユーザーが持つ権限を判断します。 認可は、組織によって確立された設定に基づいて、組織のリソースへのアクセスを制限します。 組織は、リソースの機密性とユーザーのニーズに応じて、ユーザーのアクセスレベルを決定します。
5種類の認可(Authorization)モデル
認可モデルは、組織の生産性を向上させ、データ侵害を防ぐのに役立ちます。 しかし、組織が活用する認可モデルは、どの程度の複雑さと安全性を組織が必要としているかによって異なります。 以下は、5種類の認可モデルです。
役割ベースのアクセス制御
役割ベースのアクセス制御(RBAC)は、役割と特権を定義し、許可されたユーザーのみにシステムアクセスを制限します。 RBACを使用して、組織はセンシティブデータへのアクセス許可(アクセスすべきユーザー、ユーザーに必要なアクセスの程度、アクセスが必要な期間)を判断する必要があります。 その上で、組織は各メンバーが持つ役割と、それに応じて必要となる権限を定義することが求められます。 役割は、ユーザーの権威、責任、職務能力によって決定されます。
RBACは、組織内におけるユーザーの役割に基づき、特定のデータやシステムへの限定的なアクセスをユーザーに許可します。 ユーザーは、自分の業務を遂行するために必要な特定のデータやシステムへのアクセス権のみが許可されることになります。 ユーザーは、自分の職務領域以外のリソースにはアクセスできるべきではありません。 また、RBACはユーザーがアクセス可能なリソースでできる内容を制限します。
属性ベースのアクセス制御
属性ベースのアクセス制御(ABAC)は、RBACモデルをより細かくした認可モデルです。 ABACは、ユーザーに関連する特定の属性に基づいて、組織の特定のデータやシステムへのアクセスをユーザーに許可します。 これは、組織内のユーザーの役割だけではなく、他の要素を探してアクセスを許可します。 ABACが探す属性には、ユーザー、デバイス、環境の特徴や、ユーザーがアクセスを試みているリソースなどがあります。
関係性ベースのアクセス制御
関係性ベースのアクセス制御 (ReBAC) は、ユーザーとリソースの関係に基づき、組織の特定のリソースへのアクセスを許可する認可モデルです。 たとえば、リソースの作成者には、そのリソースへの完全なアクセスと制御が許可されていると考えられます。 しかし、同じチーム内にいる他の作成者は、リソースの閲覧のみ可能ですが編集はできないことがあります。 同じチームに属さない作成者らは、リソースへのアクセスを一切許可されないかもしれません。
強制アクセス制御
強制アクセス制御 (MAC) は、リソースの機密性レベルに基づいてアクセスを制限するものです。 MACは、セキュリティラベルとカテゴリを設定し、どのユーザーやシステムが特定のリソースにアクセスできるかを制御します。 MACは、アクセスを本当にアクセスが必要なユーザー(管理者など)のみに可能な限り制限しようとします。
セキュリティラベルのユーザーは、そのようなリソースを使ってできることを制限されています。 そのようなユーザーは、リソースの編集やアクセスの共有はできません。 組織の管理者だけが、特権を変更することができます。 クリアランスレベル以下のユーザーは、リソースにアクセスできません。 MACは、機密性の高い情報を扱う政府機関などの組織で主に使用されます。
任意アクセス制御
任意アクセス制御 (DAC) は、ユーザーとアクセスグループに基づいて特権を割り当てているため、MACとは正反対のものです。 組織がデータの機密性に基づいてアクセスを決定するのではなく、リソースの所有者およびそれにアクセス可能なユーザーが、必要に応じて他のユーザーにアクセスを許可します。 より昇格した特権を持つユーザーは、他のユーザーがリソースをどのように使用できるかを決定できます。
適切な認可モデルを選択するには
認可モデルはそれぞれに違いがあり、各組織のあらゆるニーズに適合します。 組織は、適切な認可モデルを見つける必要があります。 組織に合う認可モデルを選択する際に考慮すべき要素を以下に示します。
セキュリティ要件
組織は、センシティブデータのセキュリティ要件を考慮しなければなりません。 データの機密性や、求められるセキュリティレベルを判断する必要があります。 MACのような認可モデルは、他のモデルよりも厳しいアクセスレベルが設定されているため、非常に機密性の高いデータを扱う場合に適していると考えられます。 DACのような認可モデルは、アクセスレベルがより緩いため、機密性がさほど高くはないデータに適しています。
ユーザー体験
組織は、従業員のユーザー体験を考慮する必要があります。 従業員が使用するには複雑すぎる認可モデルは、混乱を招き、非効率的なものとなる恐れがあります。 従業員が認証プロトコルをバイパスして使いやすくしようとするため、セキュリティ上の問題を引き起こすことさえあるのです。 組織は、ユーザーにとってわかりやすいだけではなく、必要なセキュリティレベルも提供する認可モデルを選択すしなければなりません。
複雑性
組織は、実装しようとしている認可モデルの複雑性を考慮する必要があります。 組織は、認可モデルがどれほど複雑であるべきかを決定するために、組織が必要とするセキュリティレベルとユーザー体験を考慮すると良いでしょう。 より複雑で柔軟な認可モデルを扱うことが可能な組織の場合、ABACやReBACなどの込み入ったシナリオを扱う機能を備えた認可モデルを選択する必要があります。 より単純な認可モデルを必要とする組織は、RBACを選択することが推奨されます。
拡張性
組織は、認可モデルの拡張性を考慮する必要があります。 自分の組織が今後どれだけ成長するのか、そして選んだ認可モデルが成長の度合いに対応できるかどうかを考えると良いでしょう。 認可モデルは、現時点の組織の規模に適合しており、将来的に組織の規模が拡大した場合でも拡張可能であることが求められます。 多くの場合、ABACは拡張性が高く柔軟で、成長中の組織に適応します。
まとめ:Keeper®を使用して認可モデルを実装
認可モデルを実施する最善の方法は、特権アクセス管理(PAM)ソリューションを使用することです。 PAMとは、組織の機密性の高いシステムやデータにアクセス可能なアカウントを保護し、管理することです。 PAMソリューションにより、組織はネットワークやアプリケーション、サーバー、デバイスにアクセスしているユーザーを全面的に可視化できます。 組織は、自社のリソースにアクセス可能なユーザー、各ユーザーに与えられるアクセス権の度合い、特権アカウントのパスワードセキュリティを完全に制御します。 PAMソリューションは、組織が認可モデルに基づいて特権を決定するのに役立ちます。
KeeperPAM™は、Keeperエンタープライズパスワードマネージャー(KPM)、Keeper シークレットマネージャー(KSM)、そしてKeeperコネクションマネージャー(KCM)を組み合わせた特権アクセス管理ソリューションです。 これにより、組織は組織内のあらゆるデバイスにおける各特権ユーザーに対する完全な可視性、セキュリティ、制御が実現し、適切なレベルの認証が実施されることが保証されます。
KeeperPAMのデモをリクエストして、組織のセンシティブデータを保護する方法をご確認ください。