Zero Trust Access の探索
ゼロトラストアクセス(ZTA)は、デフォルトで信頼されるユーザーまたはデバイスがないことを前提とするセキュリティモデルです。
ZTA では、ユーザーの ID 検証とリスクアセスメントの後にのみ、アプリケーションとデータへのすべてのアクセスが最小限の権限で付与されます。
Zero Trust - Policy Based Session Access
ServiceNow® Zero Trust - Policy Based Session Access (Session Access) を使用すると、IP アドレス、場所、認証方法、ユーザーのロール、グループ、MFA と ID プロバイダー (IDP) によって共有される属性を持つユーザーなど、さまざまな要素に基づいて Web セッションのユーザー権限を動的に削減できます。これにより、高権限ユーザーが信頼できないデバイスや場所からアプリケーションにアクセスする場合でも、無許可のアクセスやデータ侵害から組織を保護できます。
これにより、セキュリティ管理者は、適応認証ポリシーを使用して、IP アドレス、場所、ID プロバイダー属性、およびユーザー属性に基づいて、セッションでのユーザーアクセスを削減または制限できます。
- セッションアクセスの構成は security_admin ロールでのみ実行できます。ロールを security_admin に昇格させる必要があります。
- セッションアクセスは統合をサポートしていません。
- 削減または制限されたロールがユーザーに割り当てられていない場合、セッションアクセスは影響を与えません。この場合、ログインしたセッションに変更はありません。ユーザーは引き続き、アサインされた権限でインスタンスにアクセスできます。
- ユーザーがすでにインスタンスにログインし、同時に管理者がポリシーを設定している間は、セッションアクセスに影響はありません。ポリシーを有効にするには、ユーザーがセッションからログアウトする必要があります。
- ユーザーが信頼できるネットワーク内にいて、後でセッション内で VPN (場所またはネットワークの変更) に切り替わった場合、セッションアクセスは影響を与えません。
- セッションアクセスはログイン時に適用されます。セッション中にリスクパラメーターが変更されても、アクセスが制限されることはありません。たとえば、ユーザーがセッションの確立後に企業ネットワークから信頼できないネットワークに切り替えても、ユーザーがログアウトして再度ログインしない限り、アクセスは減少しません。
ユースケース
以下は、ゼロトラストアクセスのユースケースの一部です。
- セッションに関連するリスクに基づいて権限を削減します。たとえば、信頼できるネットワークの外部からログインする履行者ロールユーザーは、セッションの要求者ロールのみを持つように設定できます。
- ユーザーが信頼できないデバイスを使用している場合は、ユーザーセッションの IDP 応答に基づいてアクセスを削減します。詳細については、「セッションアクセスの IDP 属性の構成」を参照してください。
このロールの降格により、ユーザーがセッションで他の既存の権限を持たないことが保証されます。ユーザーが信頼できるネットワークからログインすると、既存のすべての権限がセッションに割り当てられます。
複数の IP 条件と複数のロールまたはグループのアサインをポリシーの一部として定義できます。
Zero Trust アクセス - モバイル
適応認証ポリシー内でゼロトラストアクセス - セッションアクセスポリシーを使用して、モバイルの特定のセッションのロールまたは権限を減らすことができます。
Zero Trust Access - セッションアクセスモバイルを有効にするには、システムプロパティテーブルから glide.authenticate.session_access.mobile.enabled を有効にします。
IDP 属性で Zero Trust Access - Session Access Mobile を使用するには、 glide.authenticate.session_access.mobile.refresh_token_interval フィールドを設定します。これにより、管理者はリフレッシュトークンに基づいてセッションアクセスを効果的に制御できます。
詳細については、「Configure Zero Trust Access for mobile」を参照してください。