アクセス許可の管理における用語とマルチクラウド環境におけるインパクト

Published: / Last update: / Contributors:
feedback 共有

こんにちは、Azure Identity サポート チームの 高田 です。

本記事は、2022 年 4 月 28 日に米国の Azure Active Directory Identity Blog で公開された Permissions Management Terms and their Impact in Multicloud Environments を意訳したものになります。

不明点がありましたら、弊社サポート チームまでお問い合わせください。


毎日のように、新しいクラウド セキュリティの用語や略語を耳にしているかと思います。特に、文脈によって異なる意味を持つ用語が多いため、多くの用語を理解するのは大変ですし圧倒されてしまうことも多いと思います。このブログでは、アクセス許可の管理をより深く理解するために、一般的な用語とその意味、そしてなぜそれが重要なのかをまとめています。このブログが役に立ち、さらに学びたいと思われた方は、ぜひ こちら のアクセス許可の管理用語集をご覧ください。

クラウド サービス (Cloud Services)

クラウド サービスとは、サードパーティーのプロバイダーを経由して要求に応じてユーザーに提供されるサービスのことを指します。主なサービスのカテゴリーとしては以下のとおり、IaaS (Infrastructure-as-a-Service)、PaaS (Platforms-as-a-Service)、SaaS (Software-as-a-Service) などが挙げられます。これらのサービスに対して適切かつ安全なアクセスを提供することは、一層複雑になっています。このような大量のクラウド サービスを正確かつ効率的に管理するには、サービスの全体像とそれにアクセスするユーザーを明確に把握する必要があります。

最小限の特権 (Least Privilege)

ゼロ トラストの基盤を構築し維持する上で、最小特権の原則はこの基盤を築くための重要な柱の 1 つです。最小特権を維持するということは、日々の業務を完了するために必要な最小限の特権を ID に付与することを意味します。クラウド基盤におけるアクセス許可と ID の爆発的な増加を考慮すると、最小権限の原則を手動で適用することはほとんど不可能になっています。組織は、この重要なタスクを自動化し、デジタル資産の安全を確保するためのソリューションを必要としています。

アクセス許可 (Permission)

アクセス許可は、リソースに対して操作を実行するための権限を ID に与えるものです。マルチクラウド基盤の普及に伴い、アクセス許可を効果的に管理することがますます困難になっています。主要なクラウドでは、何千ものアクセス許可を付与することが可能であり、その半分以上は、不適切に使用された場合にサービスの中断、サービス品質の低下、データ漏洩を引き起こす可能性のある高リスクのアクセス許可です (※)。マルチクラウド戦略を進め、偶発的または悪意ある誤用を回避するためには、アクセス許可の管理を効率的に行うことが不可欠です。

リソース (Resources)

リソースとは、仮想マシン、サーバーレス機能、ネットワーク、ストレージ オブジェクトなど、コンピューティング機能を使用する実体を指します。リソースはお客様の基盤にとって非常に重要であるため、リソースに対して誰がどのような操作を実行できるかを完全に可視化しておくことが重要です。

スーパー ユーザー / スーパー ID (Super User / Super Identity)

スーパー ユーザーまたはスーパー ID は、クラウド基盤全体のすべてのリソースに対して任意の操作を実行できる強力な ID です。これらの ID は、もともと強力で必要以上の権限を持つため、適切に管理にすることが特に重要です。悪意のある、または偶発的な権限の誤用は、組織のセキュリティにとって大きなリスクとなります。

ワークロード ID (Workload Identities)

ワークロード ID (しばしば非人間の ID とも呼ばれる) は、コンテナ、VM、アプリケーション、サービスなどのソフトウェア ワークロードを想定したもので、認証した後に他のサービスやリソースにアクセスできるようにするために使用されます。人間用の ID と同様に、ワークロード用の ID もマルチクラウド環境で指数関数的に増加しており、人間用の ID の増加率を圧倒的に上回ると予想されています。ワークロード ID は増え続け、自動化されることも多いため、組織にとってますます重要になるとともに管理するのが難しくなってきています。

ゼロ トラスト (Zero Trust)

デジタル資産のすべての層にわたって、すべてのトランザクションを明示的かつ継続的に検証する、プロアクティブで統合的なセキュリティのアプローチです。これらに加えて、最小限の特権を確認し、AI や高度な検出技術を活用しつつ脅威にリアルタイムに対応します。

All stats taken from the 2021 State of Cloud Permissions Report

アクセス許可の管理についてより詳細を確認したい場合は、こちらの 追加の資料 をご覧ください。よろしければ、弊社が提供するマルチクラウド用のアクセス許可管理ソリューションである CloudKnox Permissions Management もお試しください。Azure AD にログオン してパブリック プレビューにご参加ください。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。