ミッションクリティカルなアセットへのアクセスを保護する
学習の目的
この単元を完了すると、次のことができるようになります。
- 強力な ID およびアクセス管理を実装することの重要性を説明する。
- 特権ユーザーアクセスを管理するための主要なセキュリティ原則について説明する。
強力な ID およびアクセス管理を実装する
リーダーとして重要なのは、組織のミッションクリティカルなアセット、そのアクセス権を持つユーザー、そのアセットに対して起こり得る脅威を識別することです。すべての内部および外部ユーザーを考慮し、そうしたユーザーが組織の最も重要なアセットにアクセスする方法が IT システムで保護されるようにする必要があります。物理的なアクセス制御で人の入退室を管理し、機密区域への立ち入りを制限するのと同様に、強力な ID およびアクセス管理システムで組織の最も重要なテクノロジーアセットへのアクセスを制御します。
すべてのユーザーアクセス権が等しく作成されるわけではありません。最小権限アクセスの原則を実装して、ユーザーには業務の遂行に必要なリソースのみへのアクセス権を付与することをお勧めします。たとえば、プロジェクトエンジニアには、組織の財務データへのアクセス権は必要ありません。強力な ID およびアクセス管理システムを構築する場合、まず、組織内のすべてのユーザーとロールの一元化された信頼できるリファレンスを作成します。従業員の退職時やプロジェクトまたはエンゲージメントの終了時にはアクセス権を終了するなど、適切なアクセス権を確実に維持するためのプロセスと自動化されたシステムが不可欠です。
特権ユーザーアクセスを管理する
特権アカウントのユーザーは、ネットワークデバイスの設定変更など、非特権ユーザーが実行する必要がない管理機能を実行できます。特権ユーザーがミッションクリティカルなシステムへのアクセス権が得られるように、強固な特権ユーザーアクセス管理には階層化されたアクセスメカニズムが必要です。各レイヤーは、情報の機密性に基づいてさまざまな多要素認証 (MFA) メカニズムで補強する必要があります。
たとえば、システム管理者はユーザー名、パスワード、携帯電話に送られてきた認証トークンを使用して別のソフトウェアプラットフォームにログインします。次に、管理パスワードを使用して、機密データベースからのデータエクスポートのような機能を実行します。これにより、従来のユーザー名とパスワードだけの認証より高いレベルのセキュリティが実現します。Gartner は特権アカウントを管理するための各種ツールに関する情報を提供しています。
最後に、包括的なアラートと監査メカニズムを、あらゆる ID およびアクセス管理システムの必須要件にする必要があります。さらに、権限を定期的に見直すことで、プロジェクトが終了した、役職が変わった、あるいは退職したなどの理由で必要なくなったリソースにユーザーがアクセスできる状況が放置されなくなります。これらの手順は、アクセスのプロビジョニングと同じくらい重要なのですが、軽視されがちです。
まとめ
強力な ID およびアクセス管理方法を構築することは、組織のミッションクリティカルアセットを保護するための鍵になります。この単元では、ネットワークと関連するデータアセットへのアクセス権を持つユーザーを識別する方法、強力な認証テクノロジーを実装することの重要性、最小権限の概念を適用する方法、特権ユーザーを管理する方法を学習しました。次は、ユーザーが日々直面する最も一般的な脅威の 1 つであるフィッシングからの保護を取り上げます。
リソース
-
Trailhead: ネットワークアセットとユーザーを保護する
-
外部サイト: CIS Control 14: Controlled Access Based on the Need to Know (CIS Control 14: Need to Know に基づいたアクセス制御)
-
外部サイト: U.S. Department of Homeland Security: Protect the Organization’s Critical Assets (米国国土安全保障省: 組織の重要なアセットを保護する)