Zero Trustアプローチへの信頼スコアパラメーターの構成

Zero Trust方法はここでは、マイクロセグメンテーションと動作アナリティクスを採用して、事前確定済パラメーターに基づいて、ユーザーとリソースの信頼スコアを計算します。ポリシーベースのアクセスコントロールで構成されたリソースにアクセスするには、ユーザーは、管理者またはカスタムアクセスポリシーロールがあるユーザーが定義した複数の条件付きパラメーターを満たしている必要があります。本書では、ポリシーベースのアクセスアプローチ内の信頼スコアパラメーターとその実装について詳細に説明します。

PAM360は、合計19の条件付きおよび事前定義済パラメーターを利用し、ユーザーおよびリソースの信頼スコアを決めます。これらのパラメーターは、2つのカテゴリに分けられます。1つは、ユーザー、もう1つはリソースで、それぞれに重み付けが割り当てられ、各ユーザーとリソースの信頼スコアが計算されます。これらのパラメーターとその割り当てられた重み付けに基づいて、PAM360は、ユーザーとリソースの両方の信頼スコアを計算します。

ユーザー信頼スコアのパラメーター

管理者が定義する条件付きパラメーター

認証

デバイス
無効なサインイン試行 許可される OS バージョン
営業時間外のサインイン 許可されるオープンポート
許可されたIPからのアクセス 許可されるブラウザプラグイン/アドオン
許可されたデバイスからのアクセス 許可されたアプリケーション/パッケージ
ユーザーが特権グループに属する 許可されたプロセス/サービス
デフォルトデバイスデータに基づいた事前定義済パラメーター
認証 デバイス
2 要素認証 パスワードで保護された装置
アクティブなウイルス対策ソフトウェア
ファイアウォール有効
有効化されたセキュアブート
利用可能なドライバーの完全性検証


リソース信頼スコアのパラメーター

管理者が定義する条件付きパラメーター
許可される OS バージョン
許可されるオープンポート
許可されるブラウザプラグイン/アドオン
許可されたアプリケーション/パッケージ
許可されるプロセス/サービス
リソースは特権グループに属しています
デフォルトアプリケーション/デバイスデータに基づいた事前定義済パラメーター
パスワードで保護された装置
アクティブなウイルス対策ソフトウェア
ファイアウォール有効
有効化されたセキュアブート
利用可能なドライバーの完全性検証
セッション記録が有効になりました
権限昇格エージェントがインストールされています


1.管理者が定義する条件付きパラメーター

[管理者] >> [Zero Trust] >> [構成]の順に移動し、ユーザー(ユーザー認証+ユーザーデバイス)とリソースの信頼スコア計算に条件付きパラメーターのベースライン値を定義します。

a. ユーザー認証パラメーター

  1. 無効なサインイン試行 - ここでは、ユーザーに可能な定義日に許可されたログイン試行の不成功回数を定義できます。
    例. 許可された無効なサインイン試行:3回試行を7日で実行。
    ユーザーが正しくない認証情報で3回い所ジュサインインを試行した場合、指定条件を満たすことに失敗します。この結果、割り当てられた重み付けには関係なく、このパラメーターにはユーザーの信頼スコアで0のスコープが割り当てられます。
    以下のパラメーターは、各信頼スコア計算に同様に作用があります。
    zt-implementation
  2. 営業時間外のサインイン - このパラメーターでは、指定勤務時間中にPAM360アプリケーションへのユーザーログインを定義します。デフォルトでは、勤務時間は、すべてのPAM360ユーザーに対して9:00~18:00になります。
    別のユーザーに対してこのパラメーター値の多様性を変更する場合は、以下の手順を実行します:
    1. [サインインを追加]ボタンをクリックします。
    2. 開いたポップアップで、勤務時間を変更予定の各ユーザーグループを選択します。
    3. 組織の要件にしたがってサインイン時間を入力し、[有効化]を選択して、[保存]をクリックします。
    4. [無効化]を選択する場合、デフォルトのサインイン時間は09:00~18:00がそれらのユーザーに適用されます。

      メモ:
      サインイン時間をPAM360構成されたサーバー時間で、デバイスの時間変換により設定していることを確認してください。PAM360 Serverの時間変換により正しいサインイン時間の設定に失敗すると、このパラメーターにはスコア値0と信頼スコアが減点される可能性があります。
      例. PAM360 Server時間 - 5:00(米国) | ユーザーマシン時間 - 10:00 (英国).
      英国のユーザーの勤務時間は10:00~17:00です。そのため、ここで設定されるサインイン時間は、5:00~12:00にします。

  3. 許可されたIPからのアクセス - ここでは、許可されたユーザーのIPアドレスをPAM360アプリケーションにアクセスする範囲で定義します。
    例. 許可されたIPからアクセス: 172.24.2XX.X to 172.24.2YY.Y.
    ユーザーが上のIPレンジにあり、PAM360アプリケーションにアクセスする場合、パラメーター条件は満たされ、パラメータースコアがユーザーの信頼スコア全体に追加されます。このパラメーターに準拠しないと、信頼スコアページで割り当てられたパラメーターの重み付けには関係なく、パラメータースコアは0になります。
  4. 許可されたデバイスからのアクセス - 許可されたIPパラメーターと同様、組織が認可したPAM360アプリケーションにアクセスが許可されたIPアドレスとデバイス名を定義できます。例, 許可されたデバイス: pam-server3592.
    zt-implementation

    メモ:限定的で許可されたマシンまたは上で入力したIPレンジとは異なるマシンを監視する必要がある場合、各IPアドレスまたはデバイス名で個のパラメーターを使用できます。

  5. ユーザーが特権グループに属する - このパラメーターでは、組織の特権グループに属するユーザーで、ユーザーグループを追加できます。追加されたユーザーグループのユーアーには、条件なしで、また特権ユーザーとみなされることなく、追加のユーザー信頼スコアの特典が得られます。

b. ユーザーデバイス/リソースパラメーター

デフォルトでは、組織のすべてのデバイス/リソースは、開ポート、ブラウザ、プラグイン/アドオン、アプリケーション/パッケージ、およびプロセスとサービスのセットを使って構成されます。組織のデバイス/リソースからそれぞれの詳細を探す、およびそれらを個別の許容形式で、下のパラメーターセクションに入力するには、以下の手順を実行します:

  1. このzipzipファイルをダウンロードし、必要なデバイスのいずれかに抽出します。
  2. zipを抽出したペレーティングシステム(OS)にあわせて各フォルダWindowsまたはLinuxを開きます。
  3. 管理者実行権限で、bash/ sh/ bat/ ps1ファイル「fetch_configuration_details」を実行します。
  4. 実行時、 名前「query_result.txt」の出力ファイルが同じフォルダの場所に生成されます。
  5. query_result.txtファイルを開き、各スコアパラメーターを定義するためデフォルトのデバイスデータまたはシステムプロパティをチェックします。検索オプションを使って、下の関連idで、各パラメーターの値を検索します:
    1. Antivirus_status
    2. Application_and_packages
    3. Chrome_extensions
    4. Disk_encryption_status
    5. Firefox_addons
    6. Firewall_status
    7. OS_version
    8. Open_ports
    9. Process_and_services
    10. Secure_boot_status

    注記:出力ファイルから受け取ったパラメーターは、デバイス/リソースについて構成された開ポート、ブラウザ/アドオン、アプリケーション/パッケージおよびプロセスとサービスのデフォルトセットです。これらのパラメーターを使って、下の条件値を定義できます。

  1. 許可されたOSバージョン - ここで、組織のユーザーが使用できるOSバージョンを定義できます。ログインしたデバイス/リソースが事前定義済OSバージョンのリストから偏向している場合、信頼スコアの重み付けには関係なく、各信頼スコアに影響を与えます。
    例. 10.0.22621
    zt-implementation
  2. 許可された開ポート - ここで、 PAM360ユーザーがこのフィールド内にアクセスできるポートを指定できます。ユーザーは、許可された、またはブロックされたポートのリストを提供でき、また、ユーザーがブロックリストに記載された、または許可されたリストには含まれないポートにアクセスを試行すると、その信頼スコアは、このパラメーターに与えらた重み付けに基づいて、減点されます。
    例. 8282、7272、9292、6565
    zt-implementation
  3. 許可されたブラウザプラグイン/アドオン - このパラメーターを使って、ポリシーベースのアクセスコントロール方法に属することになるユーザーが使用する、許可されたブラウザプラグイン/アドオンを定義できます。組織環境にあわせて、ブロックされた/クよかされたリスト方法を使って、プラグインおよびアドオンを一覧表示できます。
    例, bdgkacbeblomgnaoildjnppjkamgoogc、 pictureinpicture@mozilla.org、 firefox-compact-light@mozilla.org
    zt-implementation

    メモ:許可された/ブロックされたブラウザプラグイン/アドオンは、WebブラウザChromeFirefoxにのみ適用できます。

  4. 許可されたアプリケーション/パッケージ - ここで、ユーザーデバイス/リソースにインストールおよび使用できるアプリケーション/パッケージを定義できます。これは、許可された、またはブロックされたアプリケーション/パッケージのリストを提供することで、可能になります。インストールされたアプリケーションとパッケージにあわせて、リソースの信頼スコアは、入力されたパラメーターへの重み付けによって異なります。
    例. Microsoft Office Standard 2016、Sublime Text、Intel(R) Wireless Manageability Driver、Microsoft .NET Runtime - 6.0.9 (x64)
    zt-implementation
  5. 許可されたプロセス/サービス - このパラメーターでは、ユーザーのデバイスまたはリソースで実行が個yかされているプロセス/さ―ビスを指定できます。これは、許可された、または制限されたプロセス/サービスのリストを作成することで、可能になります。各ユーザーデバイス/リソースパラメーターの信頼スコアは、実行しているプロセス/サービスにあわせて調節されます。
    例. services.exe、lsass.exe、NetworkManager
    zt-implementation
  6. 特権リソースグループ(リソースパラメーター) - このパラメーターでは、組織の特権デバイスに属するリソースで、リソースグループを追加できます。追加されたリソースグループにあるリソースには、条件なしで、特権デバイスグループになくても、追加のリソース信頼スコアの追加特典があります。

    注記:
    i. 許可された、およびブロックされたリストを含むパラメーターでは、有効な入力値を入力する必要があります。信頼スコアページで与えられた重み付けなる空のパラメーターは、パラメーターを各信頼スコアの計算では、満たされているとみなします。.
    ii.パラメーターの許可されたリストとブロックされたリストに入力した文字は、ケースセンシティブです。

2.事前定義済パラメーター

以下は、管理者が構成または定義できないパラメーターです。これらは、事前定義済アプリケーション/システムプロパティのものです。組織のニーズと要件にあわせて、信頼スコアの計算では、信頼スコアページでそれらのプロパティに重み付けを追加できます。これらのパラメーターのいずれかを信頼スコア計算で未チェックとみなす場合は、信頼スコア重み付けセクションに値0を、それ以外では、組織のパラメーターへの重要度にあえわせて、1~10を入力できます。

zt-implementation
zt-implementation
zt-implementation

  1. 二要素認証(ユーザー管理者専用) - ここで記載する二要素認証(2FA)は、PAM360が追加のアイデンティティ方法として使用するものを表します。この2FAパラメーターは、TFAが、構成された重み付け値で、PAM360ログインに必須のユーザーに追加されたスコアポイントの役割を持ちます。

    メモ:セキュリティ強化の理由から、アイデンティティ認証の追加層で2FAをPAM360で有効にしておくことを推奨します。

  2. パスワードで保護されたデバイス - このパラメーターは、ユーザーのデバイスまたはリソースにパスワード保護があるかどうかを確認します。パスワード保護が検出される場合、関連スコアが割り当てられた重み付けに基づいて計算されます。パスワード保護が検出されない場合、割り当てられた重み付けには関係なく、このパラメーターのスコアはゼロとなります。
  3. ウィルス対策SWがインストールされ実行されている - このパラメーターは、ウィルス対策プログラムがインストールされ、ユーザーのデバイスまたはリソースでアクティブになっているかを評価します。ウィルス対策プログラムがあり稼働している場合は、スコア計算によい影響を与えます。逆に、ウィルス対策プログラムがない場合、パラメータースコアは減点されることになり、それが信頼スコア全体に相応の影響を与えます。
  4. ファイアウォールが有効になっている - このパラメーターは、ファイアウォールがユーザーのデバイスまたはリソースでアクティブかを検証します。ファイアウォールが検出される場合、パラメーターは、d最終信頼スコア値に対してスコア計算で検討されます。逆に、ファイアウォールがユーザーの構成されたデバイスまたはリソースで堅守yつされない場合、パラメーターは検討されず、割り当てられた重み付けには関係なく、パラメータースコアはゼロになります。
  5. セキュアブートが有効になっている - セキュアブート機能は、デバイスまたはリソースの起動中、悪意あるアプリケーションの取り込みをブロックすることです。この特定パラメーターは、セキュアブート性ステムのサマリステータスを評価します。これがオンになっている場合、パラメーターのスコアが検討され、最終信頼スコアの計算に追加されます。ただし、セキュアブートシステムのサマリステータスがポリシーベースのアクセスコントロールのユーザーデバイスまたはリソースでオフに変更される場合、パラメーターは失敗し、割り当てられた重み付けには関係なく、パラメータースコアはゼロになります。
  6. デバイス整合性検証が利用可能 - オペレーティングシステムの整合性検証機能は、システムファイルとドライバーに悪意あるmたは壊れたアプリケーションがないかを検証します。ユーザーのデバイスまたはリソースでこの機能が利用可能な場合、パラメーターは、満たされているもんとみなされ、割り当てられた重み付けスコアが最終信頼スコアの計算に追加されます。

    メモ:リソースまたはユーザーマシンで上のパラメーターのステータスに不安定さがある場合、各ユーザー/リソースで上の手順を実行して、パラメーターステータスをチェックできます。

  7. セッション記録が有効になっている(リソース信頼スコア専用) - このパラメーターは、PAM360のリソースでリモートセッションを再生するのに有効になっているものを表します。このパラメーターに重み付けを割り当てると、セッション記録機能について、構成されたリソースをチェックします。セッション記録がリソースのアカウントで有効になっている場合、パラメータースコアは、リソースの信頼スコア全体に追加されます。

    メモ:このパラメーターは、リソースのすべてのアカウントにPAM360で有効なセッション記録がある場合のみ、リソースの信頼スコアの計算でみたされます。

  8. 権限昇格エージェントがインストールされている - このパラメーターへの重み付けの割り当ては、Zero Trustモジュールとあわせて、セルフサービス権限昇格でインストールされている個別リソースへの追加された信頼スコアとして機能します。

参照: