最低限必要な権利の原則
1)目的と定義
目的:特定のタスクの実行に厳密に必要なリソース、最小限の期間、最小ボリュームでのみユーザー/サービスを許可する。
定義:「最小緯度(リソース)、深さ(操作)、時間(TTL)、コンテキスト(地理/デバイス/シフト)、感度(PII/ファイナンス)」。
2)実施の基本原則
1.知る必要がある:各右は特定の目的(基礎)に関連付けられています。
2.Time-Bound: TTL (JIT)で付与された権利の上昇);永久的な権利-読み取り/マスクのみ。
3.スコープバウンド:リース/リージョン/ブランド/プロジェクト(テナント/リージョンスコープ)によってアクセスが制限されます。
4.データ最小化:PIIはデフォルトでマスクされます。デマスク-明示的なグラウンドでのみ。
5.トレーサビリティ:任意のアクセス→+'purpose'/'ticket_id'ログ。
6.失効:クイックフィードバック(オフボーディング≤ 15分、JIT-自動フィードバック)。
3)他の制御とのコミュニケーション
RBAC:原則的に誰ができるか(基本的な役割)を設定します。
ABAC:どの条件(地理、デバイス/MDM、時間、KYCレベル、リスク)で指定します。
SoD:危険な役割の組み合わせを禁止し、敏感な行動には4-eyesが必要です。
セグメンテーション:ネットワーク/論理境界(支払い、KYC、 DWH、秘密)。
PAM/JIT/break-glass:一時的な特権とその記録の安全な発行。
4)資源・業務の分類
操作:'READ'、 'MASKED_READ' (PIIのデフォルト)、'WRITE'(スコープ)、'APPROVE _' (4-eyes)、' EXPORT'(ストアフロントのみ、署名/ジャーナル)。
5)タスク・ツー・アクセス権エンジニアリング
1.ユーザーストーリー→目的: 「アナリストはPIIなしでEU変換レポートを構築する必要があります。」
2.リソースのリスト:ショーケース'agg_conversions_eu'。
3.操作:'READ' (PIIなし)、'EXPORT_RAW'禁止。
4.ABACコンテキスト:営業時間、株式会社VPN/MDM、地域=EU。
5.TTL:一定のマスク読み取り;1回限りのアンマスクのためのJIT(必要に応じて)。
6.ログ:'READ'/'EXPORT'、 'purpose'および'fields_scope'。
6)マスキングと選択的アンマスキング
デフォルトでマスキング電子メール/電話/IBAN/PAN;
マスクされていないアクセス('pii_unmask')-JIT+'purpose'+ドメイン所有者/コンプライアンスの確認のみ。
レポートで-集計/k-anonymity、「小さなサンプル」(プライバシーのしきい値)の禁止。
7)一時的な特権: JITおよび壊れ目ガラス
JIT: 15-120分、切符、自動車、完全な監査。
ブレイクガラス:緊急アクセス(MFA+2番目の確認、セッション録音、セキュリティ+DPOポストレビュー)。
PAM:シークレットセーフ、セッションプロキシ、特権ローテーション。
8)プロセス(SOP)
8.1アクセスグラント(IDM/ITSM)
1.「目的」、リソース、TTL/持続性で主張する。
2.SoD/管轄/データクラス/コンテキスト自動検証。
3.ドメイン所有者の承認;制限された+-セキュリティ/コンプライアンス。
4.最小スコープを発行する(しばしばmasked-read)。
5.権利のレジスタにエントリ:改訂日、SLAリコール。
8.2再認証(四半期ごと)
ドメイン所有者は各ロール/グループを確認します。未使用の権利(>30/60日)-自動。
8.3データエクスポート
承認された店頭を通してだけ;フォーマットのホワイトリスト;署名/ハッシュ;ログPIIのダウンロード-デフォルトでは分離されています。
9)ベンダー/サブプロセッサ制御
最小のAPIスコープ、統合ごとの個々のキー、allow-list IP、 timeウィンドウ。
DPA/SLA:役割、アクセスログ、保持、地理、インシデント、サブプロセッサ。
オフボーディング:キーリコール、削除の確認、閉鎖行為。
10)監査とモニタリング
Журналы: 'ROLE_ASSIGN/REVOKE'、 'JIT_GRANT'、 'READ_PII'、 'EXPORT_DATA'、 'PAYMENT_APPROVE'、 'BREAK_GLASS'。
SIEM/SOAR:「目的」、異常なボリューム、タイムアウト/地理、SoD違反のないアクセス警告。
WORM:ログの変更されていないコピー+ハッシュチェーン/署名。
11)成熟度指標(KPI/KRI)
適用範囲:RBAC/ABAC ≥ 95%のための重大なシステムの%。
Masked Reads Ratio: PIIへの呼び出しの95% ≥がマスクされています。
JIT率:標高の≥ 80%はJITです。
TTRのオフボーディング:権利の取り消し≤ 15分。
署名された輸出:輸出の100%は署名され、記録されます。
SoD違反:=0;試行-自動ブロック/チケット。
休眠アクセスクリーンアップ:吊り下げ権利の≥ 98%は24時間以内に削除されます。
12)典型的なシナリオ
A) VIPクライアントのための1回限りのKYCビュー
基本:VIPマネージャーでマスク読み取り。
アクション:JITアクセス'pii_unmask'チケットで30分、フィールドレコーディング/スクリーンログ、ポストレビュー。
B)エンジニアはprod-DBにアクセスする必要があります
PAM+JIT ≤ 60分後にのみ、セッションを録音し、PIIによる「SELECT」、ポストレビューおよびCAPAの違反を禁止します。
国別BIレポート
PIIのない単位へのアクセス;ABACフィルタ:'region in [EEA]'、 corp VPN/MDM、 time 08:00-21:00。
13)反パターンおよびそれらを避ける方法
「スーパーロール「/境界のない継承→ドメインロールに分割、ABACを含む。
「念のため」→「JIT+auto」の永久特権。
prodデータをdev/stage→aliasing/syntheticsにコピーします。
店頭でPIIをエクスポート→ホワイトリスト、署名、ジャーナル、マスキング。
「目的」→ハードブロックと自動チケットの不在。
14) RACI(拡大)
15)チェックリスト
15.1アクセスを許可する前に
- 指定された'purpose'とTTL
- 確認されたSoD/管轄
- デフォルトのマスキング、最小スコープ
- ABAC条件ネットワーク/デバイス/時間/地域
- ログとリビジョンの日付を設定
15.2四半期ごとに
- ロール/グループの改訂、自動「ハング」権利
- 異常輸出と破断ガラスのチェック
- プライバシー/セキュリティトレーニングの確認
16)実装ロードマップ
週1-2:データ/システムインベントリ、分類、基本的なロールマトリックス、デフォルトのマスキングを有効にします。
週3-4: ABAC(水曜日/地理/MDM/時間)、 JITとPAM、輸出ホワイトリスト、'目的'ログ
月2:オフボーディングオートメーション、SOARアラート(「目的」/異常なし)、四半期ごとの再認証。
月3+:属性の拡張(CUSレベル/デバイスリスク)、プライバシーのしきい値、通常の卓上演習。
TL;DRについて
最小特権=最小スコープ+PIIマスキング+ABACコンテキスト+JIT/PAM+ハード監査とクイックリコール。アクセスを管理しやすくし、漏洩/詐欺のリスクを低減し、監査をスピードアップします。