ジャストインタイムアクセス (JIT)

ジャストインタイムアクセス (JIT) は、必要なときにのみ、タスクを完了するのに必要な期間だけ、昇格されたアクセス権をユーザーに付与することにより、エクスポージャーを制限します。

静的な許可や従来のアクセス制御とは異なり、JIT アクセスなら権限の長期化を排除できます。 ユーザーは常に管理者権限を持つわけではなく、必要なときにアクセスを申請し、承認を得て作業を行います。アクセス権は自動的に失効するため、取り消し忘れや、すべてのロールを手動で監査する手間も不要です。

こうしたアプローチによって、アイデンティティエクスポージャーを大幅に削減し、最小権限アクセスを大規模にサポートできます。 また、昇格されたアクセス権を前提とせずに常に取得する、ゼロスタンディングアクセスのような最新のセキュリティ戦略にもうまく適合します。

機密性の高いクラウドインフラへのアクセスを制限する場合でも、ビジネスクリティカルなアプリやサービスを保護する場合でも、過剰にプロビジョニングされた環境を減らす場合でも、JIT アクセスは、チームのパフォーマンスを低下させることなく必要な制御を提供します。

ユーザーに長期的なアクセス権を与えると、たとえそのアクセスが一見必要に思えても、長期的なリスクを生むことになります。

特権アカウントは、時間の経過とともに権限を蓄積する傾向にあります。 管理者はプロジェクトの終了後にアクセス権を無効にするのを忘れ、 精査せずにロールの複製やコピーを行います。 最終的には、ユーザーが必要以上のアクセス権を持つことになり、攻撃者がそれに気付きます。

長期的なアクセス権は攻撃者に優位性をもたらします。 

攻撃者が認証情報をフィッシングしたり、誰かが認証情報を漏洩したりした場合、機密システムへの道はすでに開かれています。 

ラテラルムーブメントはより容易になり、 検出はより困難になります。 誰かが正当ではあるものの過剰なアクセス権でログインした場合、何も異常には見えないのです。

また可視性も失われます。 昇格された権限がデフォルトで存在する場合、誰がいつ、どのような理由でそれを使用しているのかを把握するのは困難です。 その結果、監査体制が弱まってコンプライアンスの制御が破られ、対応するチームに対するプレッシャーが大きくなります。

JIT アクセスはそのようなモデルを一変させます。 申請するまで誰も昇格されたアクセス権を得ることはなく、申請があった場合でも、アクセス権は時間によって制限され、追跡されたうえで適用されます。 アクセス権を最小化するのではなく、 アクセス権が存在する時間を最小限に抑えるのです。

JIT アクセスは、ユーザーが必要としているときにだけ必要なアクセス権を付与し、必要なくなると自動的に削除します。 

これにより、長期的な権限が、特定の目的に結び付けられた期限付きのアクセス権に置き換えられます。 優れた権限を与えるのではなく、 作業を完了させるための一時的なアクセスを承認し、その後でドアを閉めるのです。

JIT アクセスの導入方法

組織によっては、ロールやリスクスコアなどの特定の基準を自動的にチェックするオンデマンドアクセスを使用しています。 また、より機密性の高いシステムや管理タスクに対し、人間による承認手順を追加している組織もあります。 どちらにしてもその目的は同じであり、誰かが理由なく昇格された権限を取得したり保持したりすることはありません。

ユーザーは、チケット、アクセスポータル、または統合ワークフローを通じてアクセス権を申請します。 システムはその申請を審査してポリシーを適用し、アクセスを許可または拒否します。 

承認された場合、システムは一定期間 、時間単位で権限を割り当てます。 その後、アクセス権は自動的に期限切れになり、システムが監査のためにセッションをログに記録します。

JIT アクセスは、アイデンティティプロバイダー、クラウドプラットフォーム、インフラツールと統合されます。 JIT アクセスは、現代のチームが、開発者、エンジニア、外部ユーザーのパフォーマンスを低下させることなく最小権限アクセスをサポートするプロセスの中核をなします。

JIT アクセスがクラウド環境でどのように機能するのかについては、 Tenable Cloud Security の機能をご覧ください。

特権アクセス管理 (PAM) は、誰がどのような条件でアクセスできるのかを制限して価値の高いシステムを保護するのに役立ちます。 

ただし、従来の PAM では、特にアクセス権が長期的なものであったり、権限の規模が適切ではなかったりした場合にギャップが残ります。 

JIT アクセスは、既存の権限を削除して一時的で監査可能なアクセス権に置き換えることにより、これらの制御を強化します。

JIT アクセスでは、機密性の高いインフラへの幅広いアクセス権をユーザーに与える代わりに、必要に応じて時間制限付きの権限を付与します。 これにより、アタックサーフェスが縮小され、監査証跡が改善されます。 誰が何に、いつどれくらいの期間アクセスしたのかを知ることができます。 また、アクセス権が自動的に期限切れになるため、事後処理は必要ありません。

このアプローチは、俊敏性とリスク軽減を優先事項とする最新の PAM 戦略をサポートします。 

クラウドインフラ権限管理 (CIEM) と組み合わせることにより、どのロールに過剰な権限が付与されているのかを可視化し、そうした権限を減らすための制御を適用できます。

また JIT は、より広範なエクスポージャー管理のプロセスにも適合します。 ユーザーがデフォルトでアクセス権を持たないのであれば、攻撃者が設定ミスや盗み出された認証情報を悪用できる時間が縮小されることになります。 アクセス権の付与と同様に、アクセス権がなくなるタイミングを制御することも重要です。

JIT アクセスは単なる理論上の制御ではなく、 日々管理している環境の、実際の問題を解決するものです。 

JIT は、必要な時間と必要な理由に基づいてアクセスを制限することにより、ワークフローのボトルネックを生じさせることなく、アイデンティティリスクの軽減を支援します。

金融サービス: 顧客データへの安全なアクセス

金融サービスでは、機密性の高い顧客データを保護しなければならないというプレッシャーが常に付きまといます。 Tenable Cloud Security を使用することにより、金融サービス企業は複数の承認者が存在するワークフローと短期間のアクセス権を適用して、どのユーザーが暗号化された AWS リソースにアクセスできるかを制御できます。 

JIT は、より厳格なアクセス制御やコンプライアンスの義務に対応できることを証明することで、顧客のセキュリティ要件との整合性を維持するとともに、新たなビジネスを獲得する機会を創出するのに役立ちます。

エンジニアリングと製造: マルチクラウド環境の管理

エンジニアリング企業や製造企業では、多くの場合、複雑なマルチクラウド環境で業務を行います。 そのため、特に権限の面で可視性のギャップが生じます。 製造企業は、Tenable Cloud Security を使用することで Azure と AWS 全体のアクセスを管理できます。 

使用状況を追跡して過剰な権限を持つロールを特定することにより、さらに一貫して最小権限を適用し、クラウド環境内のラテラルムーブメントのリスクを軽減できます。

SaaS アプリケーション: ビジネスユーザーのアクセスを制御

SaaS ツールは、ほぼすべてのビジネスプロセスを強力にサポートしますが、その利便性にはリスクが伴います。 JIT アクセスにより、ユーザーが必要とする場合にのみアクセス権を割り当てることで、安全性を保てるようになります。 

たとえば、医療関係者が四半期末の報告を行うために人事プラットフォームへの一時的なアクセス権を必要としている場合は、期限付きで承認できます。 過剰な権限付与を減らしてデータのエクスポージャーを制限し、社内のアクセスポリシーや外部の規制の遵守を維持することができます。 

DevOps チームとエンジニアリングチーム: 昇格された一時的なアクセス

DevOps チームはすばやく作業を行います。 障害のトラブルシューティングであれ、新しいコードのデプロイメントであれ、これらのチームは一時的にのみ昇格された権限を必要とすることが少なくありません。 

JIT アクセスでは、ユーザーが必要に応じて権限を申請し、それを使用してタスクを完了した後で自動的に基本的なアクセス権に戻すことができます。 これにより、重要なシステム全体でリスクの高いアクセスが許可されたままになることなく、DevOps チームがすばやく作業を進めることができます。

サードパーティベンダー: 期限付きのアクセス制御

ベンダーや請負業者がアクセス権を必要としている場合でも、サプライチェーンのドアを大きく開けておくわけにはいきません。 JIT アクセスは、チケット、タスク、またはスケジュールに関連付けられたアクセス権を一定期間付与し、ユーザーがタスクを完了すると自動的に無効にする方法を提供します。 

これにより、不必要なエクスポージャーが回避され、外部の協力者のパフォーマンスを低下させることなくゼロスタンディング権限の目標がサポートされます。

これらのシナリオで JIT アクセスを導入することにより、生産性を低下させることなくアイデンティティの悪用のリスクを軽減し、誰が何にアクセスできるのかについての制御を強化して、最小権限アクセスをサポートすることができます。

ゼロスタンディングアクセスとは、誰も昇格された永続的な権限を持たないことを意味します。 さらなるアクセス権が必要な場合はユーザーが申請し、タスクに必要な期間だけアクセス権を取得します。 

時間切れになると、アクセス権は自動的に消滅します。 誰かが忘れずにアクセス権を一掃するのに頼るのではなく、 最初の段階で、一掃する必要性を排除するのです。

JIT アクセスでは、ユーザーにアクセスワークフローを経るよう求め、それを強制します。 ポリシーによっては、承認、リスクチェック、自動化が含まれる場合があります。 

アクセスの資格を得たユーザーは、必要な権限を取得し、それ以上は取得しません。 システムは、すべての昇格をログに記録します。 どのセッションにも期限があり、 その期間が終了すると、悪用される長期的な権限は残りません。

つまり、忘れずにアクセス権を無効にしたり、ロールの割り当てを確認したりすることを人間に依存しないということです。 デフォルトで無効になるアクセス権を使用して、意図的に最小権限を適用するのです。

ゼロスタンディングアクセスは、検証が継続的に行われて信頼が前提とされることのない、ゼロトラストアーキテクチャの基盤でもあります。 

アクセスが一時的なもの、イベント駆動型、リスク認識型である場合は、認証情報やアカウントが侵害された場合の影響範囲を制限します。 攻撃者が利用する可能性のある経路を削減し、それを行わなかったら攻撃者に発見されていたかもしれない長期的なバックドアを排除します。

JIT アクセスソリューションを選ぶことは、チェックリストを満たすことだけではありません。 自組織の環境に適合するとともに、アイデンティティシステムと統合され、新たな複雑さを生み出すことなくアクセスポリシーをサポートするツールを探します。

まずは可視化です。 適切なプラットフォームは、アクセスを申請しているユーザー、それらのユーザーが要求しているロールや権限、それらを付与する頻度、セッション中にそれらのユーザーが取るアクションを表示するものである必要があります。 

アクセスを監査できなければ、アクセスを制御することはできません。

また、強力なポリシー制御も必要です。 オンデマンドと承認ベース両方のワークフローをサポートするツールを探します。 ロールの機密性、資産のリスク、またはユーザーグループに基づくさまざまな条件を適用できる必要があります。 

アクセス期間を柔軟に設定できるようにし、有効期限を自動的に適用します。

統合も重要です。 クラウドインフラ、ディレクトリサービス、アプリに接続し、ユーザーがアクセス権を得た後の挙動を追跡できるようにセッションモニタリングを内蔵しているプラットフォームが必要です。 これには、Active Directory、クラウドネイティブのアイデンティティプロバイダー、またはフェデレーションサービスが含まれます。 また、ネイティブの JIT 機能が限定または断片化されている、AWS や Azure のようなマルチクラウド環境もサポートする必要があります。

クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) を念頭に置いて構築されたツールが便利です。 こうしたツールは、JIT アクセスとワークロードの挙動、設定ミス、リスクのあるアイデンティティに対する可視性を組み合わせるのに役立ちます。 

アクセスツールが CNAPP、CIEM、クラウドセキュリティポスチャー管理 (CSPM) と統合されると、静的なロールだけでなく、リアルタイムのリスクと態勢のデータ上に JIT アクセスを重ねることができます。

そして最後に、優れた JIT アクセスソリューションは、ポリシーの維持や申請への対応を手作業に頼ることなく、 ワークフローに自動的に適応してガードレールを適用し、セキュリティチームや IT チームの負担を軽減します。

クラウドのエクスポージャーを解決して特権アクセスを合理化したいとお考えなら、 Tenable の CNAPP がどのように JIT アクセスをサポートしてアイデンティティのリスクを軽減するのかをご覧ください。

Azure の JIT アクセスは、Azure AD の特権アイデンティティ管理 (PIM) を通じて利用できます。 使用前にアクティブ化が必要な適格なロールを割り当て、時間制限と承認手順を定義してすべてのセッションを監査できます。 特にハイブリッドアイデンティティガバナンスと組み合わせると、ゼロスタンディングアクセスの強力な基盤となります。

ネイティブの AWS サービスは、承認の適用や監査の管理を行わないため、多くの組織は外部のポリシーエンジンを階層化したり、エクスポージャー管理ツールと統合したりしています。

GCP ではパッケージ化された JIT アクセス機能は提供されませんが、アイデンティティアクセス管理 (IAM) の条件と短期間のトークンを使用して、同様のワークフローを構築することは可能です。 ロールのバインディングと期限終了を自動化することにより、サービスアカウント、開発者、または運用ロールにまたがって機能する JIT モデルを作成します。 これは CI/CD パイプラインにおいて、また共有インフラにアクセスする場合に役に立ちます。

これら 3 つのプラットフォームのすべてにおいて、JIT アクセスは、すべてのクラウドコンソールで個別のワークフローを管理することなく特権を制御するのに役立ちます。 

JIT を CSPM やアイデンティティ分析のようなツールと組み合わせると、誰がアクセスを申請しているのか、何にアクセスしているのか、そしてそれがリスクをもたらすのかどうかを一元的に把握できます。

JIT アクセスが単なる紙の上のポリシーになることは避けたいものです。 JIT アクセスを効果的なものにするには、明確なルール、実際の適用、アイデンティティシステムとセキュリティワークフロー間の強力な連携が必要です。

• 誰がアクセス権を申請できるのか、それらのユーザーが何にどのような条件でアクセスできるのかを定義することから始めます。 ロールによっては、複数レベルの承認を必要とする場合もあれば、ビジネス面の文脈に基づく自動昇格を許可する場合もあります。 
• 利便性ではなく、リスクを中心にポリシーを構築します。
• アクセスを厳重に管理します。 デフォルトでは有効期限を短く設定し、さらに時間が必要な場合はユーザーにアクセスを再申請するように求めます。 
• 「念のために」でアクセス権の付与は避けます。 その代わりに、目的の正当な理由を求め、すべてのセッションをログに記録することで、最小権限を強化して説明責任を向上させます。
• 自動化を使用してポリシーを適用します。 JIT アクセスシステムは、手作業なしで有効期限を適用したり、承認を行ったり、無効化をトリガーしたり、ログを更新したりできるものである必要があります。 
• 可能であれば、チケッティングシステムや CI/CD パイプラインと統合して、アクセス申請をワークフローの一部とします。
• 可視性を向上させるために、JIT アクセスイベントをエクスポージャー管理プラットフォームに関連付けます。 これは、どのアイデンティティがアクセス権を持ち、頻繁にリソースを昇格させているのか、ポリシーの例外によってリスクがもたらされていないかどうかを追跡するのに役立ちます。
• また、JIT を脆弱性管理プラットフォームに関連付けます。 ユーザーが既知のエクスプロイトが存在するシステムや、パッチが欠落しているシステムへの一時的なアクセス権を取得する場合、そのアクセス権にはガードレールを追加するか、確認のためのフラグを立てる必要があります。 特に本番環境では、昇格されたアクセス権と脆弱な資産の組み合わせは避けたいものです。

そして最後に、忘れずにテストします。 昇格のパータンを定期的に見直します。 期限切れのポリシーが意図したとおりに機能することを確認します。 JIT アクセスは機密性が高いため、他の機密性の高い制御と同じように扱うよう、担当チームを訓練します。

JIT アクセスは、リアルタイムの可視化、アイデンティティインテリジェンス、ポスチャー管理を含む、より大規模なクラウドセキュリティ戦略の一部である場合に、最も効果的に機能します。 そこで出番となるのが、CNAPP、CIEM、CSPM のようなプラットフォームです。 

JIT アクセスはそれらに取って代わるものではなく、 それらからすでに提供されているインサイトに、実行、精度、説明責任を付加します。

CNAPP において、JIT アクセスはそのプラットフォームで確認されたものに対応するのに役立ちます。 

CNAPP が設定ミス、過剰な権限を付与されたアイデンティティ、またはインターネットに公開されているワークロードを検出した場合、JIT アクセスは、そのリソースへのアクセスが意図した場合にのみ行われ、デフォルトでは行われないようにします。 

それらの資産に誰がいつアクセスできるのかを制限することにより、長期的なリスクを軽減できます。

CIEM は、クラウドアカウント全体で過剰な権限を持つアイデンティティとロールを表示します。 

しかし、それらを可視化するだけでは不十分です。 JIT アクセスは、常時有効な権限を削除し、実際の必要性に基づいたアクセス権の申請をユーザーに強制することにより、こうしたインサイトに基づいたアクションを実行できるようサポートします。 こうした方法で、生産性を損なうことなくポリシーを実践することができます。

CSPM は、設定ミスのある IAM ポリシーから一般に公開されているストレージまで、環境内のリスクを明らかにします。 CSPM を JIT アクセスと組み合わせると、設定の問題を修正できるだけでなく、 それらのリソースへの不必要なアクセスを最初の段階で防ぎ、小さな見落としが重大な違反になる可能性を低減できます。

これらを組み合わせることにより、次のような全体的な制御が可能になります。

• CSPM が設定ミスを表示します。
• CIEM が誰に過剰な権限が付与されているのかを示します。
• CNAPP がすべてを結び付けます。
• JIT アクセスが、一時的で追跡可能な、リスクに結び付けられたアクセス権を使用して、適用を一元化します。

ジャストインタイム特権アクセス管理とは何ですか?

ジャストインタイム特権アクセス管理とは、ユーザーが必要なときにのみ、限られた期間だけ昇格された権限を受け取るセキュリティアプローチを指します。 長期的な権限をなくしてアイデンティティのエクスポージャーを低減し、最小権限モデルを強化します。

Active Directory (AD) で JIT アクセスを使用できますか?

はい。グループベースの昇格、セッションベースのルール、またはフェデレーションアイデンティティワークフローを使用することにより、JIT アクセスと Active Directory を統合できます。 ユーザーは、永久的なグループメンバーシップを割り当てる代わりに、必要なときにアクセス権を有効にし、セッションが終了すると自動的にアクセス権を失います。

JIT と長期的なアクセスの違いは何ですか?

長期的なアクセスとは、必要であるかどうかを問わず、ユーザーがリスクの高いアクションを実行するための権限を常に持っていることを意味します。 JIT アクセスでは、申請されて承認されたときにのみ、期限付きの権限を付与します。 アクセス期間が終了すると、権限も無効になります。

JIT アクセスはゼロトラスト戦略にどのように適合しますか?

JIT アクセスでは、ゼロトラストセキュリティを適用することにより、「決して信用せずに常に検証を行います」。 特権アクセスに対して正当性、承認、期限を要求することにより、信頼の前提をなくし、誰が重要なシステムにアクセスできるのかについての制御を強化します。

どのようなツールが JIT アクセスをサポートしていますか?

AWS、Azure、GCP などのクラウドプラットフォームに組み込まれたアイデンティティプロバイダー、権限管理ソリューション、ポリシーエンジンなど、多くのアクセス制御プラットフォームが JIT 機能を提供します。 最も効果的なツールは、JIT アクセスを挙動シグナル、リスクスコア、セッションロギングに結び付けて、適用と監査可能性を向上させるものです。

JIT アクセスは、長期的なアクセス権、手動による無効化、または定期的なロールの監査に頼ることなく、よりスマートで迅速な権限制御の方法を提供します。 

必要なときにのみ、必要な期間だけアクセス権を付与すれば、アイデンティティレイヤーのリスクを軽減し、攻撃者が外部に露呈した権限を悪用できる時間を短縮できます。

Tenable は、その一歩先を行けるよう、お客様をサポートします。 Tenable Cloud Security を使用すれば、リスク認識型の、完全な監査が可能な、マルチクラウド環境全体に拡張できるように構築された JIT アクセスを導入できます。 ロール、環境、ビジネス面の文脈に基づいてアクセスポリシーを定義すれば、カスタムコードを記述することなく、昇格、期限終了、承認のワークフローを自動化できます。

Tenable の JIT 機能は、次のような実際の問題の解決に役立ちます。

• クラウドのロールや IAM グループでの過剰なアクセス
• 静的な権限または手動による昇格によって生じる監査のギャップ
• AWS、Azure、GCP、オンプレミスシステム間での一貫性のないアクセス制御
• DevOps、ベンダー、緊急アクセスのワークフローにおける管理者アカウントの過剰な露出

過剰なプロビジョニングを行うことなく、ほとんどの特権アイデンティティを保護できます。 Tenable にご相談いただければ、JIT アクセスの大規模展開についてご説明します。