ID とアクセス
ジャストインタイムアクセス(JIT)
別称: JIT アクセス, ジャストインタイム特権
定義
必要なタイミングと作業範囲に限定して高い権限を一時的に付与し、終了後に自動で剥奪するアクセスモデル。
ジャストインタイム(JIT)アクセスは、チケット・変更申請・ブレークグラスなどに紐づいた承認ワークフローを通じて権限をオンデマンドで付与し、常時の特権を排除します。ユーザーやワークロードは昇格を申請し、システムは理由・MFA・ピア承認などの条件を強制したうえで、限られた時間枠でのみ権限を割り当て、満了後に自動で取り消します。JIT は PAM・RBAC・ゼロトラストと自然に組み合わさり、休眠中の管理者アカウントや資格情報窃取による攻撃面を大幅に削減できます。セッション間には盗み出す価値のあるものが存在しないためです。最新の実装はクラウドロール、データベースアクセス、SSH 踏み台、Active Directory のグループ参加にまで及びます。
例
- Azure PIM が MFA と承認を経てユーザーを 1 時間だけ Global Administrator に昇格させる。
- Teleport のワークフローが本番クラスタの kubectl 管理者権限を期間限定で付与する。
関連用語
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
特権アクセス管理(PAM)
管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。
ロールベースアクセス制御(RBAC)
権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。
Zero Trust Network
Zero Trust Network — definition coming soon.
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
認可
認証済みの ID が、どのリソースに対してどの操作を、どの条件下で実行できるかを判断するプロセス。