Zero Trust Access の詳細
Zero Trust Access (ZTA) は、デフォルトで信頼できるユーザーまたはデバイスがないことを前提とするセキュリティモデルです。
ZTA では、ユーザーの ID 検証とリスクアセスメントの後にのみ、アプリケーションとデータへのすべてのアクセスが最小限の権限で付与されます。
Zero Trust - Policy Based Session Access
ServiceNow Zero Trust - Policy Based Session Access (Session Access) を使用すると、IP アドレス、場所、認証方法、ユーザーのロール、グループ、MFA と ID プロバイダー (IDP) によって共有される属性を持つユーザーなど、さまざまな要素に基づいて Web セッションのユーザー権限を動的に削減できます。これにより、高権限ユーザーが信頼できないデバイスや場所からアプリケーションにアクセスする場合でも、無許可のアクセスやデータ侵害から組織を保護できます。
セキュリティアドミニストレーターは、適応認証ポリシーを使用して、IP アドレス、場所、ID プロバイダー属性、およびユーザー属性に基づいて、セッション内のユーザーアクセスを削減または制限できます。
- セッションアクセスの構成は security_admin ロールでのみ実行できます。ロールを security_admin に昇格させる必要があります。
- セッションアクセスは統合をサポートしていません。
- 削減または制限されたロールがユーザーにアサインされていない場合、セッションアクセスは影響を及ぼしません。この場合、ログインしたセッションに変更はありません。ユーザーは引き続き、アサインされた権限でインスタンスにアクセスできます。
- ユーザーがインスタンスにログイン済みで、同時にアドミニストレーターがポリシーを設定する場合、セッションアクセスは影響を及ぼしません。ポリシーを有効にするには、ユーザーがセッションからログアウトする必要があります。
- ユーザーが信頼できるネットワークにあり、後でセッション内で VPN に切り替えた場合 (場所またはネットワークの変更)、セッションアクセスは影響を及ぼしません。
- セッションアクセスはログイン時に適用されます。セッション中にリスクパラメーターが変更されても、アクセスが制限されることはありません。たとえば、ユーザーがセッションの確立後に企業ネットワークから信頼できないネットワークに切り替えても、ユーザーがログアウトして再度ログインしない限り、アクセスが低下することはありません。
ユースケース
Zero Trust アクセスのユースケースの一部を次に示します。
- セッションに関連するリスクに基づいて権限を削減します。例:信頼できるネットワークの外部からログインする履行者ロールのユーザーが、セッションの要求者ロールのみを持つように構成できます。
- ユーザーが信頼できないデバイスを使用している場合は、ユーザーセッションの IDP 応答に基づいてアクセスを削減します。詳細については、「セッションアクセスに対する IDP 属性の設定」を参照してください。
このロールの降格により、ユーザーがセッションで他の既存の権限を持たないことが保証されます。ユーザーが信頼できるネットワークからログインすると、既存のすべての権限がセッションにアサインされます。
複数の IP 条件と複数のロールまたはグループのアサインをポリシーの一部として定義できます。
Zero Trust Access - Mobile
適応認証ポリシー内の Zero Trust Access - Session Access ポリシーを使用すると、モバイルにおける特定のセッションのロールまたは権限を減らすことができます。
Zero Trust Access - Session Access Mobile は、システムプロパティテーブルで glide.authenticate.session_access.mobile.enabled を有効にすると有効にできます。
IDP 属性で Zero Trust Access - Session Access Mobile を使用するには、glide.authenticate.session_access.mobile.refresh_token_interval フィールドを設定します。これにより、アドミニストレーターはリフレッシュトークンに基づいてセッションアクセスを効果的に制御できます。
詳細については、「Configure Zero Trust Access for mobile」を参照してください。