機密性の高い SaaS アプリケーションに JIT アクセスを使用してクラウドセキュリティを向上

SaaS アプリケーションへのアクセスを保護するためにジャストインタイム制御を使用すると、永続的なアクセスの回避と最小権限の適用によって、クラウドのアタックサーフェスを縮小できます。

ジャストインタイム (JIT) 制御は、必要なときに必要な時間だけ権限を付与することで実現する、クラウドリソースへのアクセスを保護するための重要なセキュリティメカニズムです。 JIT アクセスは一般的なクラウドセキュリティプラクティスとなりつつあり、企業は実世界のシナリオで革新的に適用しています。

JIT は、その優れたクラウドユースケースとしてもうひとつ発展していることがわかっています。セキュリティの拡張を容易にするために、多くの組織では、アイデンティティプロバイダーのグループ機能 (IdP グループ) を使用して、サービスとしてのソフトウェア (SaaS) アプリケーション (Salesforce のものなど) へのアクセス権を付与および管理しています。 JIT を IdP グループに適用することで、組織はロールベースのアクセス管理のベストプラクティスを SaaS アプリケーションに適用し、必要なアクセス権のみを付与することができます。 この新しいユースケースの採用は、すでにクラウドリソースに JIT を使用しているセキュリティチームにとっての簡単な次なる一手となります。

具体的には、IdP グループに JIT を適用することでアクセスと要求のフローを作成できます。フロー内で、ユーザーは単発のアクセス権または権限の昇格を要求し、要求は自動的にあるいは指定された承認者によって評価または権限付与されます。 アクセスは数時間に制限され、プロセス主導型となり、付与された権限は期限切れになると失効します。 JIT は、漏洩した認証情報や脆弱性の悪質な使用機会を狭めることで、SaaS アプリケーションへの永続的なアクセスがもたらすリスクを防止します。

SaaS アプリケーションの JIT アクセスが重要な理由

ソーシャルエンジニアリング (フィッシングを含む)、認証情報の漏洩、悪意のある内部ユーザーは、クラウド環境に侵入するための一般的な足掛かりとなります。 攻撃者がアクセス権を獲得すると、永続的なアクセス権などの過剰な権限 (別名、無期限の権限) が、環境を危険にさらすことになります。 権限に時間制限を設けることは、このような攻撃経路への露呈を防ぐのに役立ちます。 JIT を使用して、クラウドリソースや機密性の高いクラウドアプリケーションへの一時的なアクセスを設計することで、クラウド環境の安全性が高まるだけでなく、コンプライアンス規制で要求される最小権限のプラクティスが適用されます。 

SaaS ユーザーは通常、ビジネスユーザーであることに注意することが重要です。 したがって、JIT を使用して機密性の高い SaaS アプリケーションへのアクセスを制御することで、セキュリティを開発や IT のユーザーのみならず、組織のビジネス環境まで拡大できます。 セキュリティリーダーは、SaaS アプリケーションへの JIT の採用を促進するために、クラウドリソースに対して JIT をこれまで利用してきたことを自然な形でフル活用可能な機会を得ていることから、セキュリティの拡張と、企業のクラウドセキュリティ成熟度の向上を実現できます。

SaaS の JIT アクセスでの注意点

JIT への投資を将来にわたって保護するために、現在のクラウドアイデンティティプロバイダーやその他のプロバイダーをサポートする JIT アクセス機能を検討してください。 包括的なクラウドセキュリティソリューションの一部である JIT ツール、すなわち、クラウドインフラ権限管理 (CIEM) とデータセキュリティ態勢管理 (DSPM) の強力な機能を備えたクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) を評価することをお勧めします。 CIEM を使用すると、JIT アプローチを使用して軽減する必要がある最も重大なアイデンティリスクを簡単に検出できます。 DSPM は、他のリソースよりも機密性が高いものを理解するのに役立ちます。 概して、CNAPP の一部として実装された JIT は、インフラ、ワークロード、アイデンティ、データ全体にわたるマルチクラウドのリスクと文脈に関するインサイトを提供します。こうしたインサイトは、スタンドアロンの JIT ツールには本質的に欠けているものです。

お使いのクラウド向け JIT ソリューションが、アクセス要求と拒否、資格の変更、一時アクセス中のユーザーのアクティビティに関する完全なレポートを提供していることをご確認ください。

SaaS アプリケーションの JIT の仕組み

当社の CNAPP ソリューションである Tenable Cloud Security が、SaaS に JIT を実装した例をご紹介します。 このプロセスは簡単で、数分で完了します。 まず、セキュリティ担当者、システム管理者やアプリケーション管理者は、組織の IdP の IdP グループ機能を使用して、一時的なアクセスを有効にしたいビジネスアプリケーションの資格を作成します。 次に、ビジネスアプリケーションへのアクセス権を求める組織内のユーザーは、Slack や Microsoft Teams などのコラボレーションツール、または Tenable のクラウド JIT ポータルを使用して、一時的なアクセス要求を送信します。 承認は、資格内で指定されたとおりに自動的に行われるか、指定された承認者によって行われます。 自動承認は、ユーザーが資格を持つグループ (複数可) に定義された権限に従います。

ステップ 1: セキュリティチームが期限付きのアクセス権を作成する

セキュリティ担当者または関連する管理者が、数回のクリック操作で資格を作成します。 これには、アプリケーションへの権限を持つグループ、要求を送信できるプリンシパル (ユーザーまたはグループ)、最大セッション時間、指定された承認者を指定することが含まれます。 

^{Tenable Cloud Security は、Microsoft Entra ID などのアイデンティティプロバイダーの IdP グループ機能を使用して、セキュリティチーム、システム管理者、アプリケーション管理者が資格を定義し、SaaS アプリケーションへの一時的なアクセス要求を簡単に管理できるようにします。}

ステップ 2: ユーザーが一時的なアクセス権を要求する

Slack、Microsoft Teams、または Tenable Cloud Security のセルフサービス JIT ポータルで、ユーザーは希望する権限、アクセス期間、開始時間を指定し、ビジネス上の正当な理由を簡潔に示します。

^{Tenable Cloud Security は、Slack、Microsoft Teams、またはセルフサービスの JIT ポータルを介して、組織のユーザーが目的のアプリケーションに対する一時的なアクセス権 (まだ一切付与されていないアクセス権や昇格したアクセス権) を要求できるようにします。}

^{一時的なアクセス権が承認されると、ユーザーは IdP 内で、要求先アプリケーションに割り当てられたアクセス権を確認できます。}

「良いことは永遠には続かない」、これこそが JIT の存在意義です。 セッションの有効期限が切れると、Tenable Cloud Security は自動的にユーザーの権限を失効させます。 状況に応じて、ユーザーはアプリケーションにアクセスできなくなるか、元の権限に基づいてアクセスできるようになります。 

つまり、Tenable Cloud Security のクラウド向け JIT は、AWS、Azure、Google Cloud Platform、Oracle 全体でクラウドリソースと SaaS アプリケーションの両方を保護し、使い慣れた JIT を SaaS アプリケーションにもシームレスに拡張することができます。 Tenable のクラウド JIT は、AWS の IAM Identity Center で検証済みです。

詳しくは、以下の IdP 向け Tenable JIT のデモ録画をご覧ください。また、Tenable Cloud Security 全体、または Tenable CIEM と JIT に関するライブデモを予約することもできます。

機密性の高い SaaS アプリケーションへの JIT アクセスの使用