最小特権アクセスは、 ゼロトラストセキュリティ戦略これは、ユーザー、アプリケーション、デバイスには、業務を実行するために必要なアクセス権と権限のみを付与する必要があると規定しています。 データ侵害の大部分は何らかの方法で特権アクセスを危険にさらすため、最小特権アクセスを実装することで、データ侵害やその他のセキュリティインシデントに対する組織のリスクを制限できます。
最小特権を実装するには、組織内のユーザー、デバイス、またはアプリケーションの役割に基づいて企業リソースへのアクセスを制限する機能が必要です。 最小特権アクセス管理戦略の主要なコンポーネントには、ID 認証、セグメンテーション、デバイス セキュリティ体制の追跡が含まれます。
#1.ID 認証
業務に必要なものへのユーザーのアクセスを制限するには、ユーザーが誰で、組織内でどのような役割を担っているかを知る必要があります。 最小特権を実装するための最初の手順は、ユーザーを強力に認証することです。 そこから、企業リソースへのアクセスに対するユーザーの要求は、ロールベースのアクセス制御に基づいて承認または拒否できます。
#2.セグメンテーション
アクセス制御は、要求がアクセス管理システムを通過することを意味する、適用された場合にのみ役立ちます。 アクセス許可はデバイスの組み込み許可システムによって管理できますが、このアプローチは管理が複雑であり、拡張性がありません。 よりスケーラブルなオプションは、ネットワークをセグメント化し、セグメント境界を越えたアクセスを制限することです。 同様に、仮想プライベート ネットワーク (VPN) は、ネットワーク セグメント アクセスをリモート ワーカーに拡張します。
ただし、ゼロトラストの原則に沿って最小特権アクセスを実装するには、組織は個々のアプリケーション、データベースなどに対して強制境界を作成する機能が必要です。 ゼロ トラスト ネットワーク アクセス (ZTNA) は、独立した組み込みの許可システムを管理したり、一連の次世代ファイアウォール (NGFW) や VPN を使用してネットワーク セグメント全体への広範なアクセスを許可したりすることなく、これを大規模に実行する機能を提供します。
#3.デバイスの姿勢
最小特権アクセスは、ユーザー アカウントに制限しないでください。 企業リソースへのデバイスのアクセスを制限すると、感染したデバイスの影響を制限することができます。
デバイスが企業ネットワークへの接続を許可される前に、デバイスが企業のセキュリティ ポリシーに準拠し、感染が除去されていることを確認するために検査される必要があります。 この検査は、デバイスによってもたらされるリスクのレベルを評価するために継続的に実行する必要があります。 ユーザーとデバイスに許可されるアクセスのレベルは、デバイスの現在のセキュリティ体制に基づいて決定できます。
最小特権を実装すると、次のような大きなメリットが組織に得られます。
最小特権アクセス管理ポリシーは、次の手順で実装および適用できます。
組織は、さまざまな方法で最小特権アクセスを実装できます。 しかし、クラウド コンピューティングとリモート ワークの成長に伴い、主にオンプレミス ネットワーク上でアクセスを管理するように設計されたソリューションは、ますます非効率的になってきています。
Secure Access Service Edge (SASE) は、組織のオンプレミスおよびクラウドベースの資産全体に一貫した最小権限セキュリティ ポリシーを実装および強制する機能を提供します。 SASEソリューションにはZTNA機能が組み込まれており、企業WAN上を流れるすべてのトラフィックに最小権限のセキュリティポリシーが適用されます。 さらに、組み込みのトラフィック検査機能により、SASEは悪意のあるトラフィックを検出してブロックできます。
チェック・ポイントのHarmony SASE 組織が次のことを可能にします Implement ゼロトラストリモートアクセス 大規模に。 組織に最小特権を実装する方法の詳細については、 無料デモ.
フィードバック