Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

最小特権の原則とは何か?

PoLPとは何か?

最小特権の原則(PoLP)は、最小権限の原則とも呼ばれますが、情報セキュリティにおけるある概念を示しています。あらゆるユーザ、デバイス、ワークロード、またはプロセスは、意図する機能を実行するために、必要最小限の特権のみを持つべきだとする概念です。

ここでの特権とは、システム権限またはデータへのアクセス権を意味します。例えば、あるファイルにアクセスできるユーザや、特定のネットワークにアクセスできるデバイスを決めるということです。これは、ユーザがシステムで何ができるかを定義するためにも使用されます。例えば、あるユーザは特定の機能のみを実行可能とし、他のユーザはアプリケーションの再起動やアップデートの適用などができるようにします。

情報セキュリティ業務では一般的に、アカウントを特権アカウントと非特権アカウントに分類します。特権アカウントとは、システムの機能や保存データへの高度なアクセス権を持つユーザアカウントまたはシステムアカウントを意味します。例えば、アップデートの適用、ユーザの追加、およびアプリケーションの再起動が可能なシステム管理者が特権アカウントに該当します。同様の特権アカウントの例としては、アプリケーションにおいて、お客様のクレジットカード情報など、データベースの機密情報にアクセス可能なサービスアカウントが挙げられます。

セキュリティおよび生産性における最小特権アクセスのメリット

最小特権の主な目的は、アプリケーション、ネットワーク、またはテクノロジー環境のセキュリティを強化することです。脅威アクターがシステムへの不正なアクセス権の取得を試みる場合、最も抵抗が少ない経路をたどるため、PoLPでは、潜在的なアクセスポイント数を減少させることでシステムの防御力を高めます。これは同様に、ユーザのエラーによるダウンタイムやデータ漏洩から組織を守ることにつながります。

以下に例を挙げ、両方のシナリオにおける最小特権の原則について説明します。銀行に一般職と支店長がいるとします。最小特権の原則に従うと、金庫へのアクセス権を必要とするのは支店長です。一方で、その他の銀行員には必要ありません。原則を適用した結果、支店長のみが鍵を所有することになります。銀行強盗に襲われた場合、全員が金庫にアクセスできてしまうと、支店長のみが鍵を持っている場合と比べて強奪がはるかに容易になります。同様に、全店員が金庫の鍵を持っている場合、鍵が奪われる可能性が格段に高くなります。

この例の通り、最小特権の原則により、攻撃を受ける可能性がある局面を減少させることができます。同じルールが、情報セキュリティにも適用されます。システムまたはデータへの特権アクセスを持つ人員が少ないほど、システムへの攻撃またはユーザのエラーのリスクは低減します。PoLPは、攻撃を受ける局面を減少させることに加え、潜在的なダメージを制限し、テクノロジー環境の管理性および保守性を改善します。例えば、データセキュリティと監査機能を提供することで、コンプライアンスおよびレポート作成が改善されます。

その他のPoLPの概念および用語

最小特権の原則を実装して環境の情報セキュリティを管理することは、イベントではなくプロセスです。そのため、システム管理者は環境を監視し、用語の厳密な定義の上でPoLPが実施されていることを継続的に確認する必要があります。

以下の用語および概念はPoLPに関連しており、効果的なPoLP戦略の実装に関する、具体的なシナリオを定義するものです。

  • 権限のクリープ: 権限のクリープとは、アクセス権が徐々に蓄積していくことを意味します。追加のアクセス権は、ユーザの業務遂行に必要な権限を越えて付与されるケースが多くなります。権限のクリープは、人員が組織内で部署を異動した際に発生しやすくなります。例えば、あるユーザが財務部門からHR部門に異動すると、HRシステムへのアクセス権が付与されますが、財務部門のアクセス権が取り消されない場合があります。その結果、このユーザの財務部門へのアクセス権は業務に不要となっているため、最小特権の原則が正しく適用されていない状態になります。

  • 特権の囲い込み: 特権の囲い込みとは、昇格された特権を標準ユーザに短時間与えるという、情報セキュリティの概念を意味します。この例としては、LinuxのSudoコマンドや、Windowsのユーザアカウント制御(UAC)機能があります。いずれの場合も、ユーザがソフトウェアのインストールや、オペレーティングシステムのセキュリティで保護された領域へのアクセスが必要なコマンドを実行する際に、管理者のユーザ名とパスワードの入力を要求されます。特権による作業が完了すると、ユーザは昇格されたアクセス権を失います。特権分離: 特権分離の概念は、システムの機能を個別の部分に分割するという手法を意味します。分割後、システムは、異なる特権を持つユーザ群にそれぞれの部分へのアクセス権を割り当てます。例えば、多くの銀行システムでは、あるユーザは支払いの読み込みが、他のユーザは支払いの実行ができるようになっています。支払いの読み込みができるユーザは、実行する権限を持っていません。同様に、支払いを実行できるユーザは、読み込む権限を持っていません。業務を分離し、1つの支払いに2人の個人を必要とすることで、詐欺や横領のリスクを低減できます。

  • 特権昇格: 特権昇格とは、サイバー攻撃の一形態で、昇格された権限や特権への不正なアクセス権を攻撃者が入手するものです。例えば、アプリケーションのエラーにより、一般ユーザに管理機能へのアクセス権が付与される場合があります。また、外部の攻撃者が、既知のシステムの脆弱性を利用し、管理者としてコマンドを実行する場合もあります。

Zero TrustとPoLP

Zero Trustとは、組織はテクノロジー環境でのあらゆる活動を信頼できないものと見なすべきとする、情報セキュリティの概念です。このモデルでは、データを中心に配置し、あらゆるワークロード、ユーザ、デバイス、またはやり取りを行うネットワークを疑わしいものとして考えます。この慎重な手法を用い、組織では環境におけるすべてのアクションとセグメントを認証および承認すべきとしています。最後に、Zero Trustでは、転送中か保存中かを問わず、すべてのデータを暗号化で保護することを推奨しています。

最小特権の原則は、Zero Trustの概念にも通じるものがあります。ただし、この2つは個別の概念です。PoLPは、Zero Trustなしでも実装できます。例えば、ユーザロールに基づき、システムやデータへのアクセスを制限することはできますが、ネットワークのセグメンテーションや暗号化を実装することはできません。逆に、最小特権の原則を導入せずにZero Trustを実装することはできません。Zero Trustモデルでは、あらゆるアクションを疑わしいものと見なすため、必然的にシステムやデータへのアクセスを制限しなければなりません。また管理者は、認証された機能を実行するために必要なユーザ、デバイス、ネットワーク、またはワークロードへのアクセス権のみを付与する必要があります。

PAMとPoLPの比較

ジャストインタイムアクセスは、IDおよびアクセス管理(IAM)を元にした概念です。この手法は、「常駐特権」のリスクを低減するものです。例えば、組織がユーザに管理者権限を付与すると、システムおよびデータへの昇格された特権を個人に与えることになります。通常、この昇格された権限は、割り当てられたまま永久に残ることになります。ジャストインタイムアクセスでは、ユーザが管理者用の機能を実行する必要がある場合に、昇格された特権を付与し、アクションが完了すると自動的に特権を削除します。ジャストインタイムの概念は、特権の囲い込みにも通じています。最小特権の原則を導入していなければジャストインタイムを実装できないため、ジャストインタイムはPoLPに依存することになります。

ジャストインタイム特権アクセスとPoLP

ジャストインタイムアクセスは、IDおよびアクセス管理(IAM)を元にした概念です。この手法は、「常駐特権」のリスクを低減するものです。例えば、組織がユーザに管理者権限を付与すると、システムおよびデータへの昇格された特権を個人に与えることになります。通常、この昇格された権限は、割り当てられたまま永久に残ることになります。ジャストインタイムアクセスでは、ユーザが管理者用の機能を実行する必要がある場合に、昇格された特権を付与し、アクションが完了すると自動的に特権を削除します。ジャストインタイムの概念は、特権の囲い込みにも通じています。最小特権の原則を導入していなければジャストインタイムを実装できないため、ジャストインタイムはPoLPに依存することになります。

PoLPの例

他の例を挙げて最小特権の原則を説明します。この例では、旅客機におけるシナリオを使用します。旅客機には乗客と乗務員がいます。乗務員は、出発地から目的地への飛行など、旅客機の機能を管理する必要があるため、職務を実行するために必要な昇格された権限を持っています。例えば、機長とパイロットは操縦制御系にアクセスできますが、客室乗務員と乗客はアクセスできません。同様に、客室乗務員は調理室にアクセスし、飲食物を用意することができますが、乗客は客室から出られません。このシナリオは、効果的なPoLP戦略の実装法を示しています。ここでは旅客機での個人の役割を定義および限定し、それぞれが自分の職務を実行するために必要な領域と機能のみを与えています。

実装の戦略およびベストプラクティス

最小特権の原則の効果は、実装の状態に比例します。したがって、組織では以下のベストプラクティスを考慮する必要があります。

  • 監査を実行する: PoLPの実装に先立ち、システム全体にわたる現在のアクセス権レベルを把握することが必須です。特権の監査を実行することで、特権アクセスを持つユーザを特定し、その特権が職務の実行に必要かどうかを判断しやすくなります。

  • 特権の分離を実行する: 特権の分離を実行することで、セキュリティ管理を強化し、アクセス制限が必要な領域を特定できます。

  • すべてのアカウントを最小特権で始める: 新規アカウントはすべて権限なしで作成し、必要がある場合にのみ権限を追加します。ユーザの役職が変更された場合はアクセス権を削除し、権限のクリープを回避します。

  • ジャストインタイム特権を活用する: ジャストインタイム特権ソリューションを活用して、テクノロジー環境のセキュリティを強化します。管理者が永続的なアクセス権利を必要とするインスタンスはごくわずかです。

  • アクセス権の監査を実行する: 最小特権の原則の実装後は、テクノロジー環境を継続的に監視することが必須です。可能な限り監査を実行し、個々のアカウントを追跡できるようにします。