ユーザー権限とは

SaaSのユーザー権限を利用すれば、アプリの所有者はユーザーのロールに基づいてユーザーのリソースとアクションを制限することができます。RBACを使用して、読み取り権限または書き込み権限を許可し、高レベルのユーザーに特権を割り当て、会社のデータへのアクセスレベルを決定する権限を割り当てることができます。

「最小特権の原則」の目的とは

最小特権の原則とは、職務の遂行に必要な最小限のアクセス権をユーザーに付与するという重要なセキュリティの概念です。実践面では、高レベルのアクセスを少数の特権ユーザーに限定することで攻撃対象領域を減らします。限られた権限しか所持していないユーザーのアカウントが侵害されても、アプリケーション内に含まれる機密データへの攻撃者によるアクセスは限定されます。

ユーザー権限がセキュリティにとって重要である理由

アプリの管理者は、特に対象が少人数のユーザーグループの場合、往々にしてチームメンバーにフルアクセス権を付与してしまいます。セキュリティの専門家でもないビジネスユーザーであるアプリの管理者は、そのようなアクセス権を付与することのリスクがいかに大きいかを必ずしも認識しているわけではありません。管理者は、後追いで特定のアクセス許可を要求されるより、最初から完全な権限を与えておいた方がよいと考えがちです。

残念ながら、このアプローチは機密データを危険にさらす可能性があります。ユーザー権限は、情報漏洩が発生した場合に漏洩するデータを明確にすることに役立ちます。権限によってデータを保護すれば、ユーザーの情報にアクセスする攻撃者は被害者が利用できるデータにしかアクセスできません。

ユーザー権限の設定がいい加減だと、攻撃者は簡単に自動攻撃を実行できます。複数のユーザーに幅広いAPIのアクセス許可を付与すると、攻撃者は簡単にSaaSアプリに侵入して、ランサムウェアを自動起動したり、データを盗んだりします。

ユーザーアクセスレビューが重要である理由

ユーザーアクセスレビューは、基本的にユーザーとそのアクセス権を調査する監査のことです。ユーザーアクセスレビューを行うことで、セキュリティチームのメンバーやアプリの所有者は、個々のユーザーがどの程度のアクセス権を持っているかを確認し、必要に応じてアクセス許可のレベルを調整することができます。

この機能は、社内でロールやチームが変わった後も不必要なレベルの権限を保持しているユーザーを特定したり、通常の行動から逸脱して不審な挙動を示している社員に関するアラートをセキュリティチームに通知したりするうえで重要です。さらに、この機能は、いまだにアクセス権や高特権のアクセス許可を持っている元社員を特定することにも役立ちます。

アクセスレビューを所定の間隔で実施することによって、設定された期間内に不必要なアクセス許可を特定する必要があります。

結論

ユーザー権限は誤解されやすいセキュリティ機能です。ユーザー権限は外部の攻撃と社内のデータ共有ミスの両方から組織を保護する機能を持っています。

SSPMソリューションを利用すれば、ユーザー権限を効果的に管理できるため、セキュリティ担当者やアプリ所有者は、確信を持って個々のユーザー権限の範囲を把握し、特定のユーザーのSaaSセキュリティの衛生状態を確認することができます。このようなユーザーのリアルタイムの監視は、特定の瞬間におけるユーザー権限のスナップショットを表示するだけのユーザーアクセス監査よりはるかに効果的です。