アクセスポリシーとセグメンテーション
1)目的と原則
目標:監査のための証明可能性を備えた厳格な「誰が、何が、なぜアクセスできるのか」コントロールを通じて、漏洩/詐欺および規制への影響のリスクを最小限に抑えること。
原則:最低特権(最低権利)、知りたいこと、ゼロ信頼、義務の分離(SoD)、ジャストインタイム(JIT)、トレーサビリティ、ワンクリックでのリコール。
2)データの分類と保護レベル
3)アクセスモデル: RBAC+ABAC
RBAC(役割):基本的な「役割→解像度」行列。
ABAC(属性):コンテキストルール(プレーヤー/オペレータ管轄、環境セグメント、設定感度、シフト/時間、デバイス、KYC検証レベル、サービスタスク/目的)。
- マーケティングアナリストは、PIIフィールドなしの企業ネットワーク/MDMデバイスからのみ、平日08:00-21:00にのみ、分析に同意がある国のための'events _'テーブルを読むことができます(マスキングが有効になっています)。
4) SoD-職務の分離(詐欺防止とコンプライアンス)
5) JIT、 ブレイクガラスPAM
JIT (Just-in-Time):特定のタスクに対して制限された間隔(15〜120分)で高められた権利が発行され、自動的に取り消されます。
ブレイクガラス:別の手順(MFA+2番目の確認+必須の表示目的)による緊急アクセス、セッションの完全な記録、および事実後のレビュー。
PAM:管理者アカウント-パスワードストア、行動分析、キー/シークレットローテーション、記録付きセッションプロキシ。
6)区分: 媒体、ネットワークおよび論理
6.1環境:'prod' 'stage' 'dev' 。Prodデータはstage/devにコピーされません。合成またはエイリアスセットを使用します。
6.2ネットワーク(例ゾーン):- Edge/WAF/CDN→App Zone→Data Zone (DWH/DB)→Secrets/KMS。
- 支払の周囲(PSP/カード)は共通のprodから隔離されます;CCM/制裁-別のセグメント。
- 6.3論理セグメンテーション:名前空間(K8)、テナントID、 DB/データディレクトリスキーマ、テナント/リージョンごとに個別の暗号化キー。
- 6.4ジオセグメンテーション:場所に応じたストレージ/処理(EC/UK/……);地域の周りのルーティングガイドとキー。
7)ベンダーおよびパートナーへのアクセス
メカニクス:個々のB2Bテナント/アカウント、最小APIスコープ、mTLS、 allow-list IP、ウィンドウ時間。
契約:DPA/SLA(ログ、保存期間、地理、インシデント、サブプロセッサ)。
オフボーディング:キーリコール、削除の確認、閉鎖行為。
監視:異常なボリュームのアラート、大量輸出の禁止。
8)プロセス(SOP)
8.1アクセスのリクエスト/変更
1.目的と期間を持つIDM/ITSMへの適用。
2.SoD/管轄/データクラスの自動検証。
3.ドメイン所有者の承認+セキュリティ/コンプライアンス(制限されている場合+)。
4.JIT/永久アクセス(最小セット)の発行。
5.ロギング:who/when/whatが発行されます。リビジョンの日付。
8.2再認証
四半期ごとに:所有者はグループの権利を確認します。自動未使用権(>30/60日)。
8.3データエクスポート
承認されたパイプライン/ショーケースを通じてのみ、フォーマットのホワイトリスト(CSV/Parquet/JSON)によると、デフォルトのマスキング、署名/ハッシュ、ダウンロードログ。
9)デバイスポリシーとコンテキスト
MDM/EMM-管理対象デバイスからのみアクセス制限/高度制限。
コンテキスト信号:地理、デバイスのリスク率、時間、MFAステータス、IP評判-ABAC属性として。
ブラウザ拡張/スクリーンキャプチャ:制御とログ、機密コンソールの禁止。
10)ポリシー例(スニペット)
10.1 YAML(擬似)-マーケティングアナリスト向けABAC
yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope10.2 SQLマスキング(アイデア)
sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;11)監視、ログおよび警報
監査証跡:'READ_PII'、 'EXPORT_DATA'、 'ROLE_UPDATE'、 'BREAK_GLASS'、 'PAYMENT_APPROVE'。
KRI: 'purpose'=0のないアクセス;ウインドウの外で非常に制限される試み;失敗したSoDチェックの共有;異常な排出。
KPI: JITのリクエストの%≥ 80%;平均アクセス時間≤ 4時間;100%の再認証の適用範囲。
SOARプレイブック:脅威の自動リコール、調査チケット。
12)コンプライアンス(ショートマップ)
GDPR/UK GDPR:最小化、知りたい、DSAR互換性、PII監査。
AML/KYC: CCM/制裁へのアクセス-訓練された役割、意思決定ログのみ。
PCI DSS(該当する場合):決済ゾーンの分離、PAN/CSCストレージの禁止、個別のキー/ホスティング。
ISO/ISMS:正式化されたアクセスポリシー、年次監査およびテスト。
13) PACI
14)成熟度の指標
重要なデータセットのABAC規則カバレッジ≥ 95%です。
JITセッション/すべての標高≥ 90%です。
オフボーディングの取り消し時間≤ 15分です。
0役割≠関数(SoD)インシデント。
アクセスログの100%が利用可能であり、検証されています(署名/ハッシュ)。
15)チェックリスト
15.1アクセスを許可する前に
- 定義された目的、日付およびデータ所有者
- 確認されたSoD/管轄
- 最小スコープ/マスキングが有効
- MFA/MDM/ネットワーク条件を満たす
- ログとリビジョンの日付を設定
15.2四半期ごとのレビュー
- グループと役割を組織構造と調整する
- 自動「掛かる」権利
- 異常輸出と破断ガラスのチェック
- トレーニングとテストアラート
16)典型的なシナリオと対策
A)新しい役割「VIPマネージャー」
VIPプロフィールへのアクセス(マスク)、輸出禁止、チケット経由での1回限りのKYC閲覧のためのJIT。
B) BI監査ベンダー
PIIなしのストアフロントへの読み取り専用、一時的なVPN+allow-list、ローカルでの保存を禁止、ログのダウンロード。
C) prod-DBへのDevOpsの緊急アクセス
break-glass ≤ 30分、レコーディングセッション、DPO/Complianceによるポストレビュー、違反のCAPA。
17)実装ロードマップ
週1-2:データ/システムインベントリ、データクラス、基本的なRBACマトリックス、SoD。
週3-4: ABAC(最初の属性:環境、地理、データクラス)、IDMストリーム、JIT/ブレイクガラス、 PAMを実装します。
月2:支払いとKYC境界セグメンテーション、個別のキー/KMS、輸出ジャーナル、SOARアラート。
月3+:四半期ごとの再認証、属性拡張(デバイス/リスク)、マスキングオートメーション、定期的なドリル。
TL;DRについて
堅牢なアクセスモデル=データ分類→RBAC+ABAC→SoD+JIT/PAM→ハードセグメンテーション→ログとアラート。これにより、漏洩や悪用の可能性を低減し、監査を迅速化し、プラットフォームをGDPR/AML/PCIおよび内部標準の境界内に保ちます。