ジャストインタイム特権アクセス
正当な目的に、適切なタイミングで、適切なアクセスを提供。
ジャストインタイム特権アクセスとは?
実際に必要な接続は短時間であっても、「常時」アクセスの特権アカウントが許可されている場合がよくあります。アクセスを「ジャストインタイム」(JIT)で保護するか、適切なレベルのアクセス権を適切な時間だけ適切なレベルで提供することは、包括的な特権アクセス管理ソリューションの機能のひとつであり、これにより、不要な特権を減らすことができます。CyberArk Privileged Access Securityソリューションは、業界で最も幅広いオプションメニューをサポートしています。
ジャストインタイムアクセスのワークフロー
正当な目的、適切なタイミング、適切なリソース、必要なだけのアクセス、正当なユーザー。
メリット
必要なだけのアクセスを適切なタイミングでユーザーに提供することにより、特権アクセスを必要以上に許可することがなくなるため、攻撃対象の領域を減らすことができ、運用費と管理費も削減できます。
セキュリティ上のメリット
PAMプログラム全体の一部として、JITを利用することで、不要な永続アクセスを削除して、必要なときに必要なだけユーザーにアクセスを提供して、セッションの完全な監視と記録を行うことができます。
運用上のメリット
共有アカウントをシステムに配置し、オンデマンドで昇格することにより、追加のアカウントと認証情報を管理する必要性が減ります。また既存のIDおよびIT管理ソリューションと統合できます。
ユーザーのメリット
認証情報を直接操作することなく、必要なツールにすばやくアクセスして日常的なタスクを実行できます。またセキュリティを犠牲にすることなく、さまざまなワークフローと機能を維持できます。
JIT手法
ジャストインタイムの特権アクセスをさまざまな方法で組織に実装できます。CyberArkは、ジャストインタイムアクセスを業界で最も幅広い方法でサポートし、ユースケースをあらゆる組織の特権アクセス管理体制に適用しています。最も顕著な方法は以下のとおりです:
一時的な昇格
ユーザーのアクセス権により、事前に定められた期間にわたって特定の特権機能を実行できるようにする場合。Short-Lived SSH証明書でJIT昇格とアクセスを使用できます。または、コアPAS(または特権クラウド)によるJITの昇格とアクセス(エージェントベースのアプローチ)あるいはEPMによるJIITの昇格とアクセス(エージェントレスソリューションを介して)で代替のユースケースを選択することもできます。
;
エフェメラルアカウント
シングルユースの特権アカウントがオンザフライで作成され、使用後すぐにプロビジョニング解除または削除される場合。これは動的なクラウド環境で非常によく使用されています。CyberArk Privileged Session Manager for SSH & AD Bridging機能またはAWS STSインテグレーションを使用して実行できます。
ブローカー&リムーブアクセス
共有特権アカウントがプロビジョニングおよび保護されているが、アクセスが許可されるのは、ユーザーが明示的にアクセスを要求し、適切な権限によって承認された場合のみ。CyberArk Core Privileged Access Security内のDual Control policiesを使用して実行できます。事前に定義された時間にわたって重要な内部リソースへのアクセスが必要なサードパーティベンダーにはCyberArk Aleroを利用できます。