Break Glass 一時的な認可アクセス資格

クズども · 掲載地 2022/07/08 21:46:18

要件:同僚がBreak Glassシステムについて初めて話すのを聞いたとき、本番データベースのデータを見るには、Break Glassシステムから一時的なアクセス資格を取得する必要があります。その一時認証情報を通じて本番データベースのデータを見ることができます。通常、一時的な権限は比較的小さく、タスクを完了できる最低限の権限のみが提供されます。簡単に言えば、オンデマンドで割り当て、不要な権限はできるだけ少なくします例えば、本番データベースへのアクセスは読み取り専用、あるいは特定のテーブルに対しては読み取り専用権限のみです。

ブレイク・グラス(火災報知器を鳴らすためにガラスを割ることにちなんで名付けられた)は、アクセスできない人々が必要に応じて迅速にアクセスできる手段を指します。緊急時にePHIへのアクセスが必要な場合に使用される割りガラス手技のために、一次資料(情報)を含む一次情報を含むシステムが開発、文書化、実装、試験されなければなりません。これらのシステムは、代替的または手動の方法でアクセスを可能にする明確で広く理解された手順を持つ必要があります。

計算において、「Break Glass」とは、緊急時に通常のアクセス制御手順を回避するためにシステムアカウントのパスワードを確認する行為を指します。これにより、通常アクセスできないアカウントに即座にアクセスできるようになります。この方法は、UnixのルートアカウントやデータベースのSYS/SAなど、最上位のシステムアカウントで通常使用されます。これらのアカウントは非常に特権的であり、ガラスを破るとパスワードの時間が制限され、アカウントの使用を制御し、特定のタスクを絶対に完了しなければならない状態まで短縮することが目的です。

ブレイクグラスは特別な状況で個人アクセスを迅速に拡張する方法であり、通常のプロセスが不十分な場合(例:ヘルプデスクやシステム管理者が不在)にのみ使用すべきです。「Break Glass」で緊急アクセスが必要な例としては、アカウント、認証、認可の問題があります。多くの企業では、例外的な状況下で、通常は許可されていない人々が行うべき重要な業務があります。例えば、ジュニア医師は緊急時にシニア医師の特定の業務を代行できます。

Breaking Glassのソリューションは、事前に予定された緊急ユーザーアカウントに基づいており、管理・配布が不合理な管理遅延なしに迅速に利用可能となります。割れたガラス帳や分配手続きは導入の一環として文書化・テストされ、必要に応じてタイムリーにアクセスできるよう慎重に管理されるべきです。

事前に予定された緊急口座は、緊急口座管理者のような個人に責任を置くのが最善の方法です。緊急口座管理者は営業時間中にすぐに対応可能で、緊急口座の機密性や優先度を理解しています。この人物はログアウト方式でアカウントを配布し、依頼者は利用可能な前で適切な身分証明書を提出し、それを記録する必要があります。

緊急口座を利用する際は、注意深く監視し、定期的な監査を行うことが重要です。さらに、緊急アカウントを起動する際にはセキュリティ管理者に通知されるべきです。管理者はアカウントが適切に閉鎖され、完了後に新しいアカウントが開設されることを確認します。

参考文献

ハイパーリンクのログインが見えます。
ハイパーリンクのログインが見えます。

クズども · 掲載地 2023/05/25 18:59:31

CyberArkの特権アカウントセキュリティソリューションの各製品は互いに独立しており、同じインフラからリソースやデータを共有しながら個別に管理可能です。これらの製品が一体となって、完全で安全なソリューションを形成します。

Break Glass 一時的な認可アクセス資格

関連記事

閲覧したセクション