役割委任とアクセス
(事業・管理)
1)ロールベースの委任理由
目標は、各参加者(従業員、パートナー、サービス)に必要なだけ多くの権利を与え、必要なだけの時間を与え、行動の完全なトレーサビリティを与えることです。これにより、漏洩や虐待のリスクを軽減し、オンボーディングと監査の通過をスピードアップします。
2)アクセスモデル: レベルとドメイン
アクセスドメイン:人(コンソール/パネル)、サービス(マシントークン)、データ(テーブル/オブジェクト)、インフラストラクチャ(クラウド/K8)、カウンターパーティ(外部統合)、地域/テナント。
信頼レベル:public→internal→protected (PII/finance)→特に重要(キー/支払い)。
操作の地帯: prod/staging/sandbox;rule 「from 「below」 to 「above」-承認されたパイプラインのみ。」
3)承認モデル
RBAC:役割はタスク(Content Editor、 Payout Operator)にリンクされます。簡単な開始、点検すること容易。
ABAC:サブジェクト/リソース/コンテキスト(リージョン、テナント、シフト、デバイス、リスクスコアリング)の属性によるポリシー。
ReBAC (relationship-based): rights follow from relationship(プロジェクトオーナー、チームメンバー)。
ハイブリッド:ベースマトリックス用のRBAC、コンテキスト制約用のABAC、所有権のためのReBAC。
4)最低限必要なアクセス(最低特権)
Start-デフォルトで最小のロール(読み取り専用、PIIなし)。
プロモーション-正当化、用語、所有者とのアプリケーションを介してのみ。
制限時間(TTL):権利「メルト」自動的に;延長-意識的に。
コンテキストガードレール:地域/テナント、営業時間、デバイス、地理。
5)職務の分離(SoD)
SoD行列は危険な組み合わせを除外します:- 「限界を設定する」≠「限界を承認する」
- 「支払いを準備する」≠「支払いに署名する」。
- 「コード」≠「リリースをprodに書き込む」。
- 「Admin DB」 ≠は「分析でPIIを読み込みます」。
- ポリシーやプロセス自体にSoDを実装する(two-signature、 M-of-N)。
6) JMLプロセス(Joiner/Mover/Leaver)
ジョイナー:ポジション/チーム/地域による基本的な役割の自動割り当て、24時間アクセスのチェックリスト。
Mover:チーム/プロジェクトを変更する際の役割のレビュー;「古い」権利の自動削除。
Leaver:セッション、キー、トークンの失効。秘密の再発行、遺物の所持の移転。
7)一時的な特権: JIT/PAM
Just-In-Time (JIT): MFAとチケットの正当化で15〜240分間アプリケーションの権利を引き上げます。
PAM(特権アクセス管理):プロキシ/シェルログイン、セッションの記録、コマンドログ。
壊れ目ガラス:即刻の警報、短いTTLおよび必須の後死亡との緊急アクセス。
8) サービスIDおよびキー
サービスアカウント:サービスと環境ごとに分離され、共有秘密はありません。
Workload Identity: pod/vir/functionへのトークンのバインド。短期クレジット。
秘密:KMS/Vault、回転、2ループ暗号化、ログへの侵入の禁止。
署名/ペイアウトキー:しきい値/MPC、 ハードウェアHSM、トラストドメイン間の多様性。
9) SSO/MFA/SCIMおよびアカウントライフサイクル
SSO: IdP (SAML/OIDC)、シングルサインオン、集中パスワード/デバイスポリシー。
MFA:管理者/財務/PIIのために必須;できればFIDO2です。
SCIM:アカウントとグループの自動作成/削除/変更。
デバイスの姿勢:デバイスの状態(ディスク暗号化、EDR、現在のパッチ)による条件付きアクセス。
10)ポリシーとしてコードと検証
OPA/Authorization service:コード形式のポリシー(Rego/JSON)、 PRによるレビュー、テスト。
ドリフトコントロール:通常の比較「宣言されたvs実際に」。
フライトチェック前:「ポリシーはこの操作を許可しますか?」-解放の前のテストケース。
11)データアクセス
分類:public/internal/limited/PII/finance。
「最小」圧力:「生」データの代わりに集計/マスク。PIIリクエスト-承認されたジャブのみ。
トークン化/DE-ID-識別子、監査要求を置き換えます。
レイヤー:食品→レプリカ→ショーケース→集計;本番データベースへの直接アクセス-JIT/PAMのみ。
12)クラウド、K8s、ネットワーク
クラウドIAM:アカウント/プロジェクトごとの役割;デフォルトでは「管理者」禁止;タグ/フォルダの操作を制限します。
Kubernetes: neimspaces上のRBAC、「特権」なしのPSP/類似のポリシー、allowlistイメージ、CSI経由の秘密、podごとのサービスアカウント。
ネットワーク:Zero-Trust (mTLS、 identity-aware)、 jump-hostへのアクセス-JITのみ、SSHセッションの記録。
13)外部パートナーと統合
隔離されたテナント/キー、OAuth2の最小スコープ、短いTTLトークン。
Webhook:署名(HMAC/EdDSA)、 'nonce+timestamp'、狭い受信ウィンドウ。
スケジュール上のキーの回転、妥協時のリコール、「健康」のステータスエンドポイント。
14)監査、再認証、報告
免疫:WORMログ、ポリシーリリース署名、Merkleスライス。
再認定:重要な役割の四半期ごとのチェック、毎月-管理者の権利。
検疫の権利:「未使用の60日」→自動除去。
証拠パック:ロールマトリックスのアップロード、SoDトリガー、JITリクエスト、PAMセッションの記録。
15)メトリクスとSLO
TTG (Time-to-Grant):標準アプリケーションへのアクセスを許可する時間の中央値(ターゲット≤ 4h)。
「特権」の間のJITアクセスのシェア(目標≥ 80%)。
SoD違反:prodで0、排除時間≤ 24時間。
孤児の権利:過剰な権利を持つユーザーの%(target→0。0x%)。
秘密の回転:秘密の平均年齢(敏感のためのターゲット≤ 30日)。
監査カバレッジ:アーティファクト(レコード、領収書)による100%特権アクション。
16)ダッシュボード
アクセス健康:アクティブな役割、孤児の権利、JITと永続的な。
PAMとセッション:特権セッションの数、期間、MFAの成功。
SoD&インシデント:ロック統計、原因、MTTR。
秘密と鍵:年齢、今後のローテーション、赤い鍵。
JML:オンボーディング/オフボーディング、期限切れのアプリケーションのSLA。
監査証拠:四半期ごとの再認証ステータス、完全性100%。
17)インシデントプレイブック
トークン/キーの妥協:即時リコール、グローバル使用状況検索、依存関係の回転、N日間のレトロ監査。
SoDの違反:操作のブロック、役割の一時的な切断、死後とポリシーの変更。
PIIへの不正アクセス:分離、DPO通知、リーク在庫、法的手続き。
エスカレーションの乱用:件名/チームのJITのフリーズ、アプリケーション/正当化の分析、TTL制限の調整。
18)運用慣行
クリティカルライツの発行/変更に関する4つの視点。
タスク、リスク、許可された操作の説明付きロールカタログ。
匿名化されたデータやその他の役割を持つテスト環境。
ポリシーのドライラン:アプリケーションの前に変更の影響のシミュレーション。
アクセスによるGameDays: 「IdPの損失」、「PAMの失敗」、「秘密漏洩」。
19)実装チェックリスト
- 主要プロセスのロールタクソノミとSoD行列を作成します。
- すべてのSSO+MFA、 JMLのSCIMストリームを有効にします。
- PAM/JITを展開し、アラートと短いTTLでブレークガラスを設定します。
- policies-as-code (OPA)、 PRによるリビジョン、およびautotestsを入力します。
- 別のサービスアカウントとワークロードID;共有秘密の禁止。
- Vault/KMS、秘密と鍵の定期的な回転、コード/ログ内の秘密の禁止。
- 環境と地域を分け、地域横断アクセスルールを統合します。
- ダッシュボードとSLO、毎月の再認証レポートを実行します。
- 権利グラフのSoDスキャンを実行し、エスカレーションパスを排除します。
- アクションアイテムを備えた定期的なエクササイズと死後。
20) FAQ
RBACかABACか?
RBAC-基本的な可読性レイヤー、ABAC-コンテキストとダイナミクス。ハイブリッドを使用します。
JITがある場合、PAMは必要ですか?
はい:PAMはセッション録画と管理された特権アクセスチャンネルを提供します。
権利の「固執」を減らすには?
ロールのTTL、未使用の自動削除、毎月の再認証、SoDアラート。
外部請負業者と何をすべきか?
専用テナント/グループ、限られたスコープ、短いTTL、必須レポート、および再認証。
概要:役割委任とアクセスは「ティックボックスセット」ではなく、権利ライフサイクルです。必要最小限の役割、SoD、 JIT/PAM、ポリシー・アズ・コード、オブザビリティ、定期的な再認証です。このような概要は、チームに迅速な作業と、ビジネスと監査のための予測可能なセキュリティを提供します。