仕組み
POLPでは、アカウント、アプリケーション、およびデバイスには、ジョブの実行に必要なアクセスとアクセス許可のみを付与する必要があると述べています。 これは、ビジネスニーズと、企業内のユーザー、デバイス、またはアプリケーションの目的に基づいて、これらの要件を特定することで機能します。
たとえば、ほとんどの従業員は、自分の役割を果たすために自分のコンピューターへの管理アクセスを必要としないため、POLP では、管理アクセス権を持つべきではないと述べています。 同様に、財務担当者は人事記録やITシステムにアクセスする必要がないため、アクセスを許可しないでください。
POLP は、昇格されたアクセス許可へのアクセスを、それを必要とするタスクに制限する場合にも適用されます。 たとえば、IT 管理者は、職務の一部を実行するために特権アクセスを必要とする場合があります。 ただし、日常のタスクには非特権アカウントを使用し、特定のタスクに必要な場合にのみ特権アカウントを使用する必要があります。
最小特権の重要性
によると、 2021年Verizonデータ侵害調査レポート(DBIR)データ侵害の約70%は特権の乱用でした。 これは、企業リソースへの正当なアクセス権を持つアカウントが、機密データへのアクセスと流出に使用されたことを意味します。 これは、アカウントの侵害、アカウント所有者の過失、またはインサイダーの脅威が原因である可能性があります。
POLP は、ユーザーやアプリケーションなどに付与される特権を制限することで、特権の悪用のリスクを制限するのに役立ちます。 アカウントがそのロールを実行するために必要な権限しか持っていない場合、それらの権限を悪用する機能は制限されます。 顧客データベースへの正当なアクセス権を持つアカウントまたはアプリケーションが、そのデータベースにアクセスしてレコードを盗む可能性がありますが、これは、企業内のすべてのユーザーとアプリケーションがそれに使用される可能性がある場合よりもはるかに小さなリスクです。
メリット
POLPは、組織の機密データや貴重なITリソースへのアクセスを制限します。 そうすることで、次のようないくつかの利点を組織に提供できます。
- サイバーリスクの軽減: POLPを実装する。 組織は、ユーザーやアプリケーションなどが企業のITリソースに対して持つアクセスを制限します。 これにより、アカウントやアプリケーションを侵害した攻撃者が、そのアクセスを使用して目的を達成することがより困難になります。 たとえば、顧客データベースへのアクセス権がないアカウントを使用して、そのデータベースから機密データを盗んだり盗み出したりすることはできません。
- エラーの減少: すべての停止やデータ侵害が悪意のある行為者によって引き起こされるわけではありません。 技術者以外のユーザーによる過失や単純なミスにより、マルウェアがマシンにインストールされたり、データベースレコードが削除されたりする可能性があります。 POLPを使用すると、重要なリソースへのユーザーのアクセスが制限され、偶発的な感染、リーク、または停止の可能性が制限されます。
- Increased Visibility: POLPを実装するには、「すべて許可」ポリシーとは対照的に、制限を適用するために、組織のアクセス制御システムの可視性を高める必要があります。 この可視性の向上は、可能性の検出に役立ちます cyberattacks または注意が必要なその他のインシデント。
- Simplified Compliance: コンプライアンス監査の範囲は、多くの場合、規制によって保護されているデータにアクセスできるユーザーとシステムに制限されます。 POLPを実装し、ビジネスニーズに基づいてこのアクセスを制限することで、組織はコンプライアンスの責任と監査の範囲を縮小し、コンプライアンスの達成と実証を容易にすることができます。
組織に最小特権を実装する方法
POLP は、次の手順で実装できます。
- 権限監査を実行します。 POLP を実装するための適切な最初の手順は、ユーザー、アプリケーション、およびデバイスが組織内で持っている現在のアクセスとアクセス許可を監査することです。 組織がどのような資産を持ち、それらがどのように使用されているかを特定することは、必要なアクセスを決定するのに役立ちます。
- ロールの定義: ビジネスニーズと既存の権限に基づいて、権限管理のロールを定義します。 たとえば、財務担当者が業務を遂行するためにアクセスする必要があるシステム、ソフトウェア、データなどを特定し、そのアクセスを財務の役割に含めます。
- 管理アクセスの制限: ほとんどの従業員は、日常業務に管理者レベルのアクセスを必要としません。 既定の管理者アクセスを削除し、必要に応じて昇格されたアクセス許可を取得するためのプロセスを定義します。
- ロールベースの権限をロールアウトします。 役割と権限を定義したら、これらをユーザー、アプリケーション、およびシステムにロールアウトして POLP を実装します。
- アクセス監視のデプロイ: アクセスの監視は、権限の乱用や権限の不整合を検出するために不可欠です。 監視を設定すると、組織は、ユーザーに割り当てられたアクセス許可が制限が厳しすぎるか、一般的すぎるかを検出できます。
- レビューと修正: 役割と権限の定義は、最初から完璧ではなく、時間の経過とともに変更される可能性があります。 割り当てられた役割、アクセス、権限を定期的に確認し、必要に応じて変更します。
Harmony Connectの最小権限
効果的 ゼロトラストの実装 また、POLP にはアクセス制御をサポートできるツールが必要です。 たとえば、仮想プライベートネットワーク(VPN)は、正当なユーザーに企業ネットワークへの無制限のリモートアクセスを提供するように設計されているため、ゼロトラストやPOLPには理想的ではありません。
Check Point’s Harmony Connect POLP互換の安全なリモートアクセスを提供します。 zero trust network access (ZTNA)をSASEソリューションの一部として導入します。 詳細についてはこちら 組織へのゼロトラストリモートアクセスの実装について。 あなたも大歓迎です 無料デモに申し込む of Harmony SASE to learn about deploying POLP for your distributed workforce.
Feedback