最小権限の原則 - PoLP

最小権限の原則：概要

上記に触れる前に、前節の2点をご確認ください: 

• リソースを有効に活用するためには、必要に応じた最適なアクセス権の付与が不可欠です。
• 必要な時に、要件に沿ったアクセスを行うことでリソースの枯渇を防ぎます。

この点は最小権限の原則で実現可能です。 

このセキュリティ戦略は、一部リソースがユーザーのアクセスを管理し、必要な条件下でのみ権限を付与する考え方を推奨します。

サイバーセキュリティの専門家や愛好家によれば、システムに対して過剰または無制限のアクセスが許されるリソースは、セキュリティ侵害や内部・外部からの脅威を受ける可能性が非常に高くなります。

最小権限の定義をより深く理解するため、次の状況を考えてみてください：

もし企業が給与情報データベースを全員に開放していると、データや情報が漏洩する可能性は極めて高くなります。マーケティングなど他のデータも同様です。アクセス制御がされていないデータシステムは、企業にとって予期せぬ脅威となります。

必要に応じ、最小権限の原則は様々な方法や状況で適用できます。個人レベルで実施することも可能ですが、企業やプロフェッショナルな環境での意義がより大きいため、この原則は重要です。

企業では、重要なリソースを無制限に利用可能にする余裕はありません。PoLPを実行することで、従業員には担当業務に必要な限定的なアクセス権のみが付与され、業務が完了すればその権限は解除されます。

例えば、営業担当者が一時的にCRMアプリを利用して顧客情報を収集する場合などです。

PoLPが何であるかを理解することは重要ですが、効果的に活用するためには何でないかも理解する必要があります。

最小権限の原則は、職務の分離や従業員がリソースを使用・閲覧することを全面的に禁止するものではありません。しかし、より良い結果を得るためには、職務ごとの権限設定と組み合わせることが有効です。重要な業務には複数の担当者を関与させ、一人に過度な権限が集中しないようにすることで、不在時の業務停滞を防止します. 

PoLPの重要性

効率的なリソース活用と直結しているため、最小権限の実施は決して無駄ではありません。むしろ、その概念にはさまざまな面での重要性があります。

• サイバー攻撃の可能性が低減される

多くのサイバー攻撃の脆弱性は、認可された情報やデータの悪用に起因します。高度なデータへのアクセスが許されると、攻撃者が企業を破壊する危険性があります。PoLPの実施により、必要な担当者のみが限られた期間だけ重要なデータにアクセスでき、セキュリティ向上に繋がります。

• マルウェアの拡散制御

マルウェアやウイルスは甚大な被害を及ぼす可能性があります。最小権限アクセスにより、感染したリソースへのアクセスが限定され、ウイルスやマルウェアの拡散も抑えられます。

また、SQLインジェクションやその他のマルウェア攻撃による危険性を最小限に抑える効果もあります。

• エンドユーザーの生産性向上

多数のリソースにアクセスできると、従業員が混乱し生産性が低下する恐れがあります。PoLPを採用することで、企業はローカル管理者権限を排除し、ポリシーに基づくアクセスが実現されます。その結果、各業務に適したツールが明確になり、作業効率が向上し、ITヘルプデスクへの問い合わせも減少します。

• 監査とコンプライアンスの効率化

PoLPの機能性を考慮すると、多くの国際品質基準やポリシーで、その実施がコンプライアンス達成に必須とされています。アクセス権があらかじめ定義されているため、監査も迅速かつ容易に行え、万一の侵害時にも被害範囲や原因の特定が容易になります。

• 人的ミスやリスクからの防御

何事も過剰は良くありません。無制御なリソースアクセスがもたらす危険については、Aberdeen Strategy Studyを参照してください。

2021年に実施されたこの調査では、攻撃やデータ漏洩の約78%が人的ミスや不適切な取り扱いによるものであることが判明しました。

長期間放置された人的過失は、絶え間ないトラブルを引き起こす可能性があります。PoLPにより、企業は不正な行為を抑制し、内部からの脅威を予防できます。

リソースの変更範囲を管理することで、PoLPは人的ミスの可能性を削減し、データやリソースの安全を守ります。

‍

アカウントの種類

前述の通り、PoLPは特定のユーザーアカウントによるリソースアクセスの管理に関するものです。したがって、関与するアカウントの種類を理解することが重要です。

1. ‍スーパーユーザーアカウント

一般に管理者アカウントとも呼ばれ、PoLPにおいて最も高い権限が与えられます。企業の重要な意思決定、情報収集、システム管理を担う上級プロフェッショナルが利用することが多いです。

スーパーユーザーは、データベースからのデータ削除、他ユーザーへの権限変更や有効・無効の設定、アプリの独自インストール・アップデート、デフォルトのネットワーク設定変更などの権限を持ちます。

2. ‍最小権限ユーザーアカウント

これは、PoLPに基づいた権限が付与されたアカウントであり、通常、担当業務を遂行するために必要な権限が与えられます。

企業内では、ほとんどの従業員がこの種のアカウントを使用しており、スーパーユーザーに関連する重要な操作（アカウントの有効化・無効化など）は許可されていません。

3. ‍ゲストアカウント

このアカウントはほとんど権限が付与されず、特定のネットワークへの一時的なアクセス提供に用いられます。リスクを低減するため、アクセス回数、アクセス時間、1日のアクセス回数などがあらかじめ定められています。

‍

PoLPの利点

正しく実施されれば、PoLPは次のような多くの利点をもたらします：

• システムの安定性向上
• リソースの完全な管理
• 脅威およびリスクの低減
• マルウェアの拡散抑制

‍

PoLPの事例

PoLPが実施されていない場合、想定外の被害が発生する可能性があります。以下は注目すべき実際の事例です。

米国の大手小売業者Targetは、過信していたHVACシステムの第三者業者により、約1億人の顧客の個人情報が漏洩しました。この業者は設備の保守と定期監視を担当し、管理者相当のアクセス権（すなわちスーパーユーザーアカウント）を与えられていました。その結果、業者がサイバー攻撃の被害に遭った際、Targetのユーザーデータも危険に晒されました。

もう一つ、よく知られた最小権限の逸脱事例としてエドワード・スノーデンによる情報漏洩があります。彼はNSAの技術契約者として、業務上必要なために管理者レベルのアクセス権を与えられていましたが、その権限を悪用し、約170万件のユーザーファイルから重要データを不正にコピーしました。

‍

アクセス制御のセキュリティ問題 

アクセス制御のセキュリティは多くの課題を伴う難しい作業です。アクセスが制限されることで、チーム内に混乱が生じることもあります。また、現代の多様なネットワーク環境では、アクセス管理を徹底するのは容易ではなく、WindowsやUNIXなど一部の主要OSではPoLPが標準となっていません。

‍

ゼロトラストと最小権限

ゼロトラストは、企業がデジタルセキュリティを向上させるために採用するもう一つの手法です。誰も信用せず、データベース、ネットワーク、API、サーバーなどのビジネス資産にアクセスする全ての人に対して認証・認可を要求します。『まず信頼し、その後確認する』のではなく、まず確認することに重点を置いています。  

両者はアクセス制御に関係するため、同じものと誤解されがちですが、実際は異なります。最小権限はゼロトラストの一部として用いられ、ゼロトラストは認証に重点を置く一方、PoLPはアクセス管理に重きを置いています。この原則はAPIセキュリティでも積極的に活用されています。

いずれもサイバーセキュリティ強化の戦略の一環であり、リソースの安全確保とアクセス管理を目的としています。 

企業における最小権限の導入

ここまでで最小権限の重要性はご理解いただけたと思います。次のステップは、その実施ルールを理解することです。これらの利点は、PoLPが正しく実行された場合にのみ得られます。

このプロセスの核心は、手順、ツール、ポリシーを含む体系的なアクセス管理手法の設計にあります。

これらは、徹底したリソース認証のために必要です。

適切なPoLPの実施のため、次の手順を踏む必要があります：

• まずは権限監査を実施する 

どのリソースが対象となるかを把握せずに、最小権限のポリシーを実施しても意味がありません。

そのため、徹底した権限監査を行い、従業員や契約者が既に利用している権限、付与されたアクセス範囲、含まれるデータなど、あらゆる詳細に注意を払う必要があります。機械的なもの、人に関するものすべてを監査対象に含めるべきです。

• デフォルトを最小権限とする

各種セキュリティ対策は採用されているかと思いますが、アカウントやリソースへのアクセスに関しては、PoLP以外は基本とすべきではありません。単独でも他の管理手法と組み合わせても、PoLPの実施はリソース管理の向上に寄与します。新システムではデフォルトの権限を取り除き、ユーザーの役割変更に応じて柔軟にアクセスルールを変更できるようにすることが求められます。

• 権限の分離を忘れない

PoLP導入時には、権限の過剰付与が大きな課題となることがあります。これを避けるため、管理者アカウントと標準アカウントを分離し、同一ユーザーが両方を持つ場合でも管理セッションを十分に隔離することが重要です。

• 細かいレベルでのアクセスを許可する 

PoLPの導入は推奨されますが、通常の業務に支障が出ないようにする必要があります。そのため、細かな単位でのアクセス管理を許可することが求められます。

たとえば、役割に応じたアクセス管理に時間制限を設けるか、固定のログイン情報を動的なシークレットに置き換えるなど、状況に応じたアクセス権の解除が容易になる仕組みが考えられます。

• 権限アクセスの詳細を監視する

セキュリティホールを防ぐため、権限アクセスの状況を監視することが不可欠です。企業は、ネットワーク全体で用いられるシステム認証・認可のログを記録し、各ユーザーの行動を追跡できる体制を整える必要があります。 

悪用を防ぐため、RDP、SSHセッション、キーストロークなどの詳細を監視し、常に自動化ツールを利用して計画的に監視を行うことが重要です。 

• 定期的に権限を見直す

正しい実施が完了しても、継続的な監視と定期見直しがなければ、セキュリティホールが残りPoLPの効果は薄れてしまいます。見直しの基準を含む適切なスケジュール設定が重要です。 

新規企業やスタートアップは月1回、長期運用している企業は四半期ごとの監査が推奨されます。 

これらのベストプラクティスを採用することで、アカウント、資産、データなどのリソースを守る効果的な最小権限アクセスの実施が容易になります。

最終まとめ

データベース、サーバー、ネットワーク、重要なビジネスアプリなどのリソースは、不適切に利用されるべきではありません。どれだけ従業員が信頼に足るものであっても、アクセス権は担当業務に応じて制限すべきです。最小権限の原則を用いることで、企業はリソースへのアクセスを適切に管理し、安定した運用を実現できます。