PAM (特権アクセス管理) 
特権アクセス管理 (PAM) はIDおよびアクセス管
ジャストインタイム(JIT)アクセスと最小特権(JEP)の主な違いは、JITアクセスではアクセス権限の 付与期間 が重視され、必要に応じてのみ権限が付与される点です。 一方の最小特権は、どの アクセス権限を付与するかを重視します。 どちらの戦略も 永続特権リスクを最小限に抑えますが、ジャストインタイムアクセスと最小特権では機能方法が異なり、優先事項も異なります。
ここではジャストインタイムアクセスと最小特権について、それらの主な違いと、アクセス管理における連携の仕組みを詳しく説明します。
ジャストインタイム(JIT)アクセスとは
ジャストインタイム(JIT)アクセスにより、人間のユーザーとマシンの両方は特定期間にリアルタイムの昇格権限を受け取り、特定タスクを実行することができます。 ジャストインタイムアクセスでは、権限を付与されたユーザーは常時アクセスできるのではなく、必要な場合のみ特権データにアクセスできます。これは「永続的なアクセス」とも呼ばれます。 これにより従業員が特権システムにアクセスできる期間が制限されるため、攻撃対象領域やその他のセキュリティリスクが軽減されます。
最小特権(JEP)とは
最小特権(JEP)は、英語名では「Just Enough Privilege」とも呼ばれ、ユーザーがアクセスできる内容を制限し、業務を遂行するために 最小限必要なアクセス権限をユーザーに付与します。 最小特権は、 内部脅威などのサイバーセキュリティリスクを最小限に抑えるためにアクセス権限付与数を制限するという「最小特権の原則」(PoLP)から派生したものです。つまり、最小特権の原則は、最小特権に関する全体を表す広い概念で、最小特権自体は、特定の状況での実践的な適用や、動的に必要な権限だけを付与することを強調する場合に使用されます。
ジャストインタイム(JIT)アクセスと最小特権(JEP)の主な違い
ジャストインタイムアクセスと最小特権はどちらもセキュリティリスクを最小限に抑え、特権アクセスを制御しますが、重点を置く領域がそれぞれ異なります。
ジャストインタイムアクセスは時間ベース、最小特権は役割ベース
ジャストインタイムアクセスでは、ユーザーは必要な場合のみ一定期間のアクセスを許可されます。 一方の最小特権では、ユーザーの役割に基づく最小限のアクセス権限が付与されます。 例えば、システム管理者がサーバー問題のトラブルシューティングを実行するために一時的なアクセス権限を要求すると、時間制限付きで権限が付与されます。 いったん問題が解決すると、それらの権限は取り消されます。
最小特権は 役割ベースであり、ユーザー独自の役割に必要なアクセス権が優先されます。 例えば、システム内のユーザーアカウントを管理するジュニアシステム管理者の場合、完全な管理アクセス権限は必要ありません。 その代わり、最小特権ではジュニア管理者限定の権限が割り当てられ、ユーザーアカウント管理に必要なツールとデータのみが操作できるようになります。
ジャストインタイムアクセスは短期間の期限付きアクセス、最小特権は長期間の継続的アクセスを重視
ジャストインタイムアクセスは短期間の期限付きアクセス、最小特権は長期間の継続的アクセスの付与を重視します。 ジャストインタイムアクセスでは短期間のみ特権アクセスが付与され、いったん特定タスクが完了すると期限切れになります。
最小特権では特定の役割に必要な権限に限定された特権アクセスが付与されますが、アクセス期間の制限はありません。 例えば、機密レポートに頻繁にアクセスしなければならない責任者には、機密情報を表示するための継続的アクセス権限が付与されます。
ジャストインタイムアクセスでは、ユーザーは必要時に毎回アクセス要求と正当化が必要となりますが、最小特権は異なります
ジャストインタイムアクセスでは、特権情報にアクセスする必要があれば毎回、昇格権限を要求しなければなりませんが、最小特権では役割に追加アクセスが必要でない限り、継続的アクセスが提供されます。 最小特権では、役割が変更されない限り、特権情報へのアクセスを毎回要求したり正当化したりする必要はありません。
ジャストインタイムアクセスと最小特権の異なる事例
ジャストインタイムアクセスと最小特権は、どちらもサイバーセキュリティリスクを軽減しますが、ジャストインタイムアクセスは一時的な状況や緊急事態において、最小特権は制御された継続的アクセスにおいて、多く使用されます。 アカウント侵害を防ぐため、管理者が問題のトラブルシューティングを実行しなければならない場合は、緊急事態としてジャストインタイムアクセスを使用し、一時的特権を付与する必要があります。 いったん問題が解決すると一時的な管理者のアクセス権限は取り消され、組織のセキュリティリスクが軽減されます。 これとは対照的に、最小特権は特定の役割で特権情報への制限された継続的アクセスが必要な場合に役立ちます。
アクセス管理におけるジャストインタイムと最小特権の連携の仕組み
ジャストインタイムアクセスと最小特権は アイデンティティアクセス管理(IAM)と 特権アクセス管理(PAM)で連携し、特権アクセスをより安全に制御する方法を提供します。 ジャストインタイムアクセスと最小特権の両方を実装することにより、組織は一時的な時間制限付きタスクへのアクセスと、継続的な役割ベースの責任に応じたアクセスの両方を制御できます。 組織でジャストインタイムアクセスと最小特権を併用する利点は以下の通りです。
- セキュリティ強化:JITアクセスとJEPを組み合わせると、ユーザーは自身の役割に必要な特定リソースだけに必要な時間のみアクセスでき、データ漏洩リスクが最小限に抑えられます。
- コンプライアンス向上:JITとJEPを併用すると、厳格な制御下および状況下のみ機密データへのアクセスが可能となるため、組織は特権アクセスがコンプライアンス要件に準拠していると証明できます。
- 運用効率:JITアクセスとJEPの両方を組み込むと、JITアクセスが必要に応じて実行される一方で、ユーザーの静的役割へのアクセス権限付与にかかる時間がJEPにより短縮されるため、より効率的かつ生産的な組織運用が可能となります。
KeeperPAM®を通じ、ジャストインタイムと最小特権がセキュリティを強化
組織内の特権アクセスを安全に管理するには、ジャストインタイムアクセスと最小特権の両方を用いてセキュリティを強化する KeeperPAM®を使用し、セキュリティ向上に努める必要があります。 KeeperPAMを使用すると、必要な場合に限られた時間のみ、特権ユーザーにアクセス権限を付与できます。
今すぐKeeperPAMのデモをリクエストして組織セキュリティを強化し、特権アクセスの効果的な管理を実行してください。
