ジャストインタイム(JIT)アクセスを使用することで、組織は必要なタスクを実行するために、人および人以外のユーザーをリアルタイムで昇格させて、アプリケーションまたはシステムへの高度できめ細かな特権アクセスを提供することができます。サイバーセキュリティ業界のアナリストは、永続的なアクセスを最小限に抑えて、安全な特権アfクセスをプロビジョニングする方法として、JITアクセスを推奨しています。
JITアクセスは、組織がアクセス権をプロビジョニングする場合に役立ちます。JITアクセスにより、ユーザーが特権アカウントとリソースにアクセスする必要がある場合のみ特権を与えることで、他のユーザーのアクセスを回避できます。組織は、常時接続(常時アクセス)を許可する代わりに、JITアクセスを使用して、特定の期間枠で特定のリソースに対してアクセスを制限できます。このようなきめ細かなアプローチにより、サイバー攻撃者または社内の脅威が、システムを水平移動して機密データへの不正アクセスを取得するために特権アカウントにアクセスを試みる時間を大幅に削減して、特権アカウントの乱用リスクを軽減できます。
JITアクセスにより、最小特権の原則を適用して、最小レベルの特権をユーザーと人以外のIDに付与できます。また組織のIDアクセス管理(IAM)、ITサービス管理(ITSM)、およびPrivileged Access Management (PAM)特権アクセス管理(PAM)ポリシーおよびその権限とワークフローに従って、特権アクティビティを確実に実行することもできます。JITアクセス戦略では、組織が特権アクティビティの完全な監査証跡を維持できることが不可欠です。これにより、いつ誰がどのシステムにどのくらいの時間アクセスして何を行ったのかを容易に特定できます。一部のエージェントベースの特権アクセス管理ソリューションは、セッションをアクティブに監視し、リスクの高い特権セッションをリアルタイムで中断させる追加機能を提供しています。
ジャストインタイムアクセスの種類
- ブローカーおよびリムーブアクセス。このアプローチにより、ユーザーが一定の期間、特定のターゲットに接続することが正当である理由を要求するポリシーを作成できます。これらのユーザーは通常、永続的な特権共有アカウントを使用しています。アカウントの認証情報はセントラルVaultで管理、保護、ローテーションされます。
- エフェメラルアカウント。1回限りのアカウントで、その場に応じて作成され、使用後すぐにプロビジョニングが解除または削除されます。
- 一時的な昇格。特権を一時的に昇格させて、要求に応じてユーザーが特権アカウントにアクセスしたり、特権コマンドを実行できるようにします。タイムアウトすると、アクセスは削除されます。
ジャストインタイムアクセスを有効にする方法
JITアクセスを有効にするための一般的なワークフローを以下に示します。ユーザーをゼロアクセスで開始することに注意してください。つまり、デフォルトでは特権は与えられていません:
- 人または人以外のユーザーが、サーバー、仮想マシンまたはネットワークデバイスへの特権アクセスをリクエストします。
- リクエストは、事前承認ポリシーに照らして検証されるか、一時的な特権アクセスのリクエストを許可または拒否する権限を持つ管理者によってレビューされます。この承認プロセスは、エンドユーザーと運用チームの摩擦を減らすために自動化できます。
- 承認後、人または人以外のマシンユーザーがシステムで指定されたタスクを実行するために必要なアクセスに昇格されます。このアクセスは、ユーザーの特定のタスクと組織のガバナンスポリシーに応じて、数分または数か月に設定できます。
- タスク完了後ユーザーがログオフし、再び必要になるまでアクセスは取り消しまたは削除されます。
ジャストインタイムアクセスが組織にとって重要な理由
- 攻撃者による特権アクセスの悪用および水平移動のリスクを大幅に削減して、組織全体のサイバーセキュリティ体制を改善します。
- 現在のワークフローを維持しながら、レビューサイクルと待機の必要性を排除して、管理者の実務を簡素化します。
- 特権ユーザーと特権セッションの数を最小限に抑え、すべての特権アクティビティの完全な監査証跡を提供することにより、コンプライアンスを改善および監査の簡素化します。
ジャストインタイムの実装方法
ジャストインタイムアクセスを実施する場合、通常は以下のいずれかまたはいくつかの手順を実行します:
- 一元管理および定期的なローテーションで認証情報を持つ永続的な特権共有アカウントを維持。
- 人と人以外のユーザーが、特定の期間、機密データを格納するターゲットシステムおよびアプリケーションに接続するための特定の正当性を提供する詳細なポリシーを作成。
- すべての一時的なアカウント全体にわたって特権アクティビティを記録および監査し、異常な行動またはアクティビティに対するアラートと応答を有効化。
- 特権の一時的な昇格を有効にして、人および人以外のユーザーが特定の特権認証情報にアクセスできるようにし、アカウントまたは特権コマンドを実行。
ジャストインタイムアクセスを使用して、最小特権の原則を実施することは、ゼロトラストの重要な一部です[用語集ページへのリンク]。ゼロトラストモデルでは、アクセスを許可する前にシステムに接続を試みるすべてを検証することを組織に要求します。多くの組織がデジタルトランスフォーメーション戦略を加速させて、従来のセキュリティ境界アプローチからゼロトラストフレームワークへと移行して、最も機密性の高いネットワークを保護しています。
