最小特権の原則 (POLP) とは

最小特権の原則 (POLP) は、コンピューターセキュリティのコンセプトおよび手法で、ユーザーの業務に必要なタスクに基づいて制限されたアクセス権をユーザーに与えるものです。POLPにより、アイデンティティが検証された承認済みのユーザーのみが、特定のシステム、アプリケーション、データ、その他のアセット内で職務を実行するために必要な権限を持てるようになります。

POLPにより、組織でネットワークとデータアクセスを制御してモニタリングできるようになるため、この原則は、組織のサイバーセキュリティポスチャを強化するための最も効果的な実践の1つになると広く考えられています。

最小特権の原則

多くの侵害は、侵害された認証情報による不正アクセスから始まります。最小特権の原則を適用することで、組織はネットワーク、システム、リソースへのユーザーアクセスの範囲を制限できます。

管理者は、ユーザーの場所、会社での地位、ログイン時間などの要因に従って、特権アクセスをユーザーアカウントに割り当てることができます。

最小特権の原則のアカウントのタイプ

アカウントへのアクセスは各個人のニーズに基づいて決定されますが、アカウントには主に次の3つのタイプがあります。

スーパーユーザーアカウント：スーパーユーザーアカウント（管理者アカウント）には、最高レベルの特権があります。通常、管理者が組織内で最も「信頼される」ユーザーであり、ネットワークのモニタリングとメンテナンスを実行するために高レベルのアクセスを必要とするため、管理者のみがこのアカウントタイプにアクセスできます。スーパーユーザー（管理者）の特権に含まれるものは、次のとおりです。

• 特権アカウントを含む他のユーザーアカウントのアクティブ化または非アクティブ化
• データの削除
• ソフトウェアおよびその他のアプリケーションのインストールと更新
• ネットワーク設定の調整

最小特権のユーザーアカウント (LPU)：LPUアカウントは、日常的なタスクの完了に必要な最小限の特権をユーザーに提供します。ほとんどの場合、ほぼすべての従業員がこのアカウントタイプを使用する必要があります。

ゲストユーザーアカウント：ゲストユーザーの権限はLPUよりも低く、組織のネットワークへのアクセスは制限された一時的なもののみが許可されます。リスクを軽減するために、組織はネットワークの使用を許可するゲストの人数と、システムにおけるゲストのアクセス権の両方を制限する必要があります。

特権クリープとは？

従業員は在職中に、そのロールと責任が頻繁に変更されます。従業員が更新されたロールに関連するタスクを実行するためには、管理者による必要な権限の再評価または昇格が必要となります。

多くの組織では、特権をユーザーアカウントに追加する方法が一般的ですが、特権が取り消されることはあまりありません。そのため、標準的なユーザーの中には、業務遂行に必要な範囲を超えた管理者アクセス権を維持してしまう人もいます。その結果、モニタリングされていない権限昇格、つまり特権クリープが発生することになります。ユーザーが昇格した特権アクセスを蓄積すると、組織はデータ侵害などのサイバー攻撃に対してより脆弱になります。攻撃者は、一定期間にわたってアクセス権が蓄積されたユーザーの侵害された認証情報を利用し、ネットワーク内をラテラルムーブメントすることで、ランサムウェアやサプライチェーン攻撃のような脅威を実行することができます。

最小限の権限を実装するには

POLPを効果的に導入することで、組織のサイバーセキュリティ戦略が強化されることは間違いありません。ここで、組織が最小特権の原則を通じてリスクを軽減する方法をいくつか紹介します。

エンドポイントのモニタリング：POLPを実装する最も簡単な方法は、すべてのエンドポイントを継続的にモニタリングおよび監査し、アクティブなエンドポイントのインベントリーを維持することです。これにより、未使用のエンドポイントを排除して攻撃対象領域を減らし、サイバーセキュリティチームがエンタープライズ全体の可視性を簡単に維持して、ネットワークをモニタリングできるようになります。

権限監査の実施：組織全体のユーザーアカウントを定期的に見直す必要があります。権限監査には、ユーザーのアイデンティティに加え、ネットワーク、システム、ソフトウェアアプリケーション、プロセス、およびプログラムに対するユーザーの権利の確認が含まれます。定期的な監査により、特権の委任と昇格をモニタリングします。これを怠ると、特権クリープにつながる可能性があります。

デフォルトのユーザーアクセスを最小限の特権にする：すべてのアカウントは、デフォルト設定として最小限の特権を与える形式で作成することをお勧めします。標準的なユーザーがさらなるタスクを実行する必要がある場合には、後から権限を追加することができます。前述したように、特権クリープを防ぐために、不要になった権限を取り消すことも重要です。

権限の分離に従う：アカウントは上位権限と下位権限に分けることができ、さらにユーザーのロールや場所に基づいてサブグループに分離することができます。このような区別により、高い権限を持つアカウントと基本的なプロファイルの間に強固な境界ができ、データ侵害が発生した場合に攻撃者がラテラルムーブメントを実行する能力を低下させることができます。

システムの強化：不要なプログラム、アカウント、およびシステムを削除することが重要です。これにより攻撃対象領域が縮小するだけでなく、ユーザー環境の複雑さも緩和されるため、モニタリングしやすくなります。

最小特権の原則は、組織がネットワーク、アプリケーション、およびデータへのアクセスを制御、モニタリングするための最も効果的な方法の1つと考えられています。このアプローチは、次のような利点をもたらします。

1. セキュリティリスクの低減：サイバー攻撃者は、ネットワークに密かに侵入し、権限を昇格させてさらなるアクセス権を獲得し、システムへのアクセス権を入手します。POLP制限を課すことで攻撃対象領域が縮小し、侵害の拡大を最小限に抑えることができます。さらに、特権認証情報を厳重にモニタリングできるため、潜在的な攻撃者がそれを悪用することが難しくなります。
2. 視認性の向上：徹底的かつ定期的な権限監査により、組織は誰がネットワークにアクセスし、ユーザーがどのように行動しているかを明確に把握することができます。これが効果的に実施されれば、組織はすべてのネットワークユーザーとデバイス、およびそれらのアクティビティを厳密にモニタリングできます。
3. 生産性の向上：ユーザーが自分の仕事に必要な特権アクセスのみを持っていれば、当然、より効率的に作業ができるようになります。
4. 隔離：アイデンティティをセグメント化することで、組織は潜在的なセキュリティ侵害を効果的に隔離し、潜在的な損害を軽減することができます。グループ間の強固な境界によってラテラルムーブメントが制限されるため、侵入者を追跡し、拡散を阻止することが容易になります。
5. 監査準備：POLPを適切に実装すれば、組織のセキュリティポスチャを証明することができます。これは正確なレポート作成と規制要件へのコンプライアンスをサポートします。

最小特権アクセスとゼロトラスト

最小特権の原則は、ゼロトラストの基本要素の1つです。ゼロトラストとは、組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークのことです。

従来、組織は「信頼せよ、されど検証せよ」の保護方法を採用しており、検証に成功したユーザーはネットワークやシステムに自動的にアクセスできるようになっていました。この方法は、ユーザーにとっては簡単ですが、組織にとってはサイバー攻撃やマルウェア拡散のリスクが高くなります。

これとは対照的に、ゼロトラストのフレームワークは「決して信頼せず、常に検証せよ」です。この保護方法では、誰が適切な権限を持ち、ネットワークへのアクセス権を持っているのかを継続的にモニタリングします。

サイバーセキュリティに対するゼロトラストのアプローチは、最小特権の原則によって支えられています。「決して信頼しない」セキュリティ慣行（例えば、すべてのユーザーを最小特権アカウントで開始する）を導入することで、組織は、リスクベースの条件付きアクセスを適用しながら、リアルタイムでユーザーとそのデバイスを常にモニタリングして検証できます。

最小特権の原則とゼロトラストアーキテクチャは、包括的なサイバーセキュリティ戦略における2つの側面に過ぎないことを忘れてはいけません。テクノロジーは組織を保護する上で重要な役割を果たしますが、デジタル機能だけでは侵害を防ぐことはできません。企業は、ネットワークの安全性を確保するために、さまざまなエンドポイントおよびアイデンティティ保護ソリューションを組み込んだ総合的なセキュリティソリューションを採用する必要があります。