用語:最小権限とは

OK-NG

BeyondTrust社用語集 :”Least Privilege“より

「最小権限の原則」 (Principle of Least Privilege, PoLP)ともいわれる最小権限は、日常的にユーザー、アカウント、およびコンピューター上のプロセスのアクセス権を承認された操作を実行するために絶対に必要なリソースのみに制限するという概念と実践を指します。

「権限」自体は、特定のセキュリティ制限を回避するための承認を指します。最小権限のセキュリティモデルでは、ユーザーが自分の役割を実行できるように、最小レベルのユーザー権限または最低限の許可レベルを適用する必要があります。 ただし、最小権限はプロセス、アプリケーション、システム、およびデバイス (IoT など) にも適用され、それぞれが許可された操作を実行するためだけに必要なアクセス許可のみを持つ必要があります。

特権アカウントとアクセスの概要

システムによっては、人々への権限の割り当て、または委任が、ビジネスユニット (マーケティング、人事、情報システムなど) などの役割ベースの属性や、その他の多様なパラメーター (年功、年功序列、時間帯、特別な事情など)に基づいています。さらに、多くのOSで、多様な種類のユーザーアカウントに対して、様々な規定の権限設定がなされています。

スーパーユーザーアカウント

専門の情報システム担当従業員が主に管理のために使用し、システムに対して事実上無制限の権限または自由裁量権を持っている可能性があります。スーパーユーザーアカウントの権限には、完全な読み取り/書き込み/実行権限と、ファイルやソフトウェアの作成またはインストール、ファイルや設定の変更、ユーザーやデータの削除など、ネットワーク全体でシステム全体の変更を行う権限が含まれます。LinuxやUnixライク (Macを含む)なシステムでは、rootと呼ばれるスーパーユーザーアカウントがシステム全体に対して事実上全能ですが、Windowsシステムでは、管理者アカウントがスーパーユーザー権限を保持します。さまざまな種類の特権アカウントがありますが、スーパーユーザーアカウントは最も強力であり、悪用されると最も危険です。

標準ユーザーアカウント

最小権限ユーザーアカウント (LUA) または非特権アカウントと呼ばれることもあり、限られた範囲で一連の権限を持っています。これらのアカウントは、最小権限環境で殆どのユーザーが90~100%の場面で使用すべきタイプのアカウントです。

ゲストユーザーアカウント

標準のユーザーアカウントよりも、さらに制限されたアクセス権を持っています。

ベストプラクティスとしては、情報システム担当以外の殆どのユーザーは、標準ユーザーアカウントのアクセス権のみ保有すべきですが、一部のIT関係の役割 (ネットワーク管理者など)は複数のアカウントを所有して、通常のタスクでは標準ユーザーとしてログインして、管理業務を行う場合のみスーパーユーザーとしてログインする場合があります。管理者アカウントは、標準のユーザーアカウントよりも多くの特権を持っているため、侵害されたり悪用されたりした場合のリスクが高まるため、ベストプラクティスとしては、これらの管理者アカウントを絶対に必要な場合にのみ、必要最小限の時間のみ使用することです。

最小権限戦略では、ユーザーが使用する特権アカウントに加えて、アプリケーション、サービスなど内部の特権プロセスも考慮する必要があります。たとえば、一部のアプリは、機密リソースへのアクセスを要求したり、機能を実行するためにより高いレベルの権限を要求する場合があります。特権アカウントと同様、アプリケーションが侵害される可能性があり、攻撃者がアプリケーションの昇格された権限を利用した攻撃を行うことが有り得ます。

最小特権モデルを実装する主な利点

狭められる攻撃経路

人、プロセス、およびアプリケーションの権限を制限することは、悪用の経路と侵入機会も減少させることを意味します。

マルウェアの感染と伝播の減少

マルウェアが、インストールまたは実行を可能にするプロセスを昇格させるために、必要な権限が満たされず拒否されるためです。

権限昇格攻撃とは?「権限昇格攻撃と防御に関する解説
運用パフォーマンスの向上

許可された操作を実行するための、最小限の範囲のプロセス数に特権を制限することで、他のアプリケーションやシステム間で非互換性の問題が発生する可能性が減少し、ダウンタイムのリスクの軽減に役立ちます。

コンプライアンスへの近道

実行できる可能性のあるアクティビティを制限することで、最小権限の適用により複雑さが軽減され、より監査しやすい環境が整います。さらに多くのコンプライアンス規制 (HIPAA、PCI DSS、FDDC、Government Connect、FISMA、SOX など) では、組織が最小権限アクセスポリシーを適用して、適切なデータ管理とシステムセキュリティを確保する必要が要求されています。

最小権限の実装方法

概念としては単純ですが、最小権限アクセスには下記のような条件によっては、効果的な実装が複雑になる場合もあります。

  • 異種システム (Windows、Mac、Unix、Linux など)
  • アプリケーションとエンドポイントの数と種類の拡大 (デスクトップ、ラップトップ、タブレット、スマートフォン、IoT など)
  • 多種のコンピューティング環境 (クラウド、仮想、オンプレミス、ハイブリッド)
  • 多種のユーザーロール
  • サードパーティ/ベンダーによるアクセス

最小権限環境の実装を検討する組織は、通常、自動化された特権アクセス管理 (PAM) ソリューションやファイアウォール、ネットワークセグメンテーションや、その他のツールと戦術に頼ります。それぞれの簡単な説明は次のとおりです。

特権アクセス管理 (PAM)

特権 ID 管理 (PIM) または単に特権管理とも呼ばれ、アカウントを管理および保護して、ユーザー、アプリケーション、サービス、プロセス、タスクなどの権限の委任や、エスカレーションアクティビティを制御するためのソリューションと戦略の作成・展開が含まれます。PAMソリューションの使用で、組織は (サーバーとデスクトップの両方で) ユーザーから管理者権限を除去し、代わりに、承認されたアプリケーションまたはタスクを使用する際の権限を必要に応じて昇格できます。

特権アクセス管理ソリューションについて、もっと詳しく

ネットワークのセグメンテーション

ファイアウォールの構成とルールで多様なゾーンを定義することで、最小限の権限を幅広い範囲で適用できます。アプリケーションとサービスの組み合わせが、異なる可能性があるゾーン間のアクセスや移動を制御することで、ファイアウォールは権限に基づいてユーザーを幅広く制限できます。たとえばファイアウォールは、企業ネットワークとパブリックネットワーク間にDMZ(非武装地帯)を作成するために非常に広く使用されます。ファイアウォールは、ゾーンに適用されるルールに基づいて、許可されていない権限昇格の操作 (サービスリクエストなど) をブロックすることもできます。

権限の分離

多様な特権アカウントと非特権アカウントおよびアクティビティを分離することと、様々なアプリケーションとシステムのサブタスクもしくはプロセスに対して権限を区分化することを含みます。基本的にこれはユーザーとシステム/アプリケーションプロセスの周囲に「堀」を作成して横方向の移動能力を低下させることで、攻撃対象領域を狭めます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする