ピンボール戦車少女

LAC WATCH

セキュリティとITの最新情報(bao)

RSS

株式会社ラック
ラックピープル | 

Okta Identity Governanceで実現するBoxアクセス権限の最小化

シェアボタンを表示

ゼロトラストセキュリティでは「最小権(quan)(quan)限の原則」に基づいて、リソースに対して業(ye)務遂行のために最低限のアクセス権(quan)(quan)のみを付与します。

アイデンティティ管理(li)製品において、最小権限はアプリケーション単位(wei)で設計することがほとんどです。それだけでなくデータ領域、例えばファイルサーバーやクラウドストレージのアクセス権に対しても、最小権限の原(yuan)則に基(ji)づくべきです。

今回(hui)は、Boxの権限を最小化しつつ、申請・承認より業務遂行させるまでを、Okta Identity Governanceを用いて実装(zhuang)します。

Okta Identity Governanceとは?

アイデンティティ管(guan)理は、アイデンティティを中(zhong)心にパスワードなどの本人確認(ren)要(yao)素であるクレデンシャルと、属性(xing)値をアプリケーションへプロビジョニングします。アイデンティティを管(guan)理することに加え、IDを適切に「統制(zhi)」するガバナンスの考え方も必要(yao)です。この「アイデンティティのガバナンスと管(guan)理」を行う製品を「Identity Governance & Administration(以下、IGA)」と呼(hu)びます。

アイデンティティ管理のリーダーである「Okta」は、IGA製品を提供しており、同社のIGA製品は、Light IGAに位置付けられると言えます。

※ IGAによくあるニーズを実現する、4~6程度の機能だけをサポートするもの。

Boxとは?

Boxは、日本国内(nei)で約(yue)15,000社(2023年6月現在)が利用するクラウドサービスです。多くの企業(ye)がファイルを保存し、会社や自宅(zhai)からロケーションを問わずアクセスし、社内(nei)外でコラボレーションしあって利用しています。

Boxは非常に高いセキュリティ投資をしている企(qi)業で、強みは、なんと言ってもその高いセキュリティ性です。

また、Boxでは、7種類(lei)のアクセス権限を指定することができます。SharePoint/OneDriveにおける権限レベルは編集と閲覧の2段階(jie)のみであり、Boxでは細やかに設(she)定可能であることがわかります。

Boxの権限付与における課題

決(jue)してBoxに限(xian)ったことではありませんが、非構造化データ(ファイル)を管(guan)理する仕組みでは、権限(xian)付与において広めにアクセス権を設定(ding)してしまうことが多くあります。セキュリティは業務遂行できることが前提(ti)、利(li)益がでなくてはセキュリティと言えません。しかし、不用(yong)意なアクセス権付与は、会社にとってのリスクです。

Boxアクセス権限の最小化を実装

今回、実(shi)装(zhuang)を試すのは、下記5項目です。

  1. 通常は閲覧のみ(プレビューアー)の権限とする
  2. 利用者は編集権限を申請
  3. 承認者は申請を承認
  4. 利用者は業務を行う(ファイルを編集する)
  5. 一定時間がたったら、閲覧のみ(プレビューアー)の権限に変更

前提事項

当記事では、OktaとBoxはすでに認証連(lian)携(xie)されていて、Okta Lifecycle ManagementとBoxもAPI連(lian)携(xie)されていることを前提としています。

シナリオ

教(jiao)育部では、全社(she)向けの教(jiao)育コンテンツをBox上で配信しています。誤ってコンテンツを削(xue)除・更(geng)新(xin)しないよう、教(jiao)育部の社(she)員(yuan)でも、閲覧(lan)権限で利(li)用しています。

全社向けの教育コンテンツを配信する「教育部 全社共通」フォルダは社員の状況に応じて権限レベルを設定する。役職者は共同所有者、編集担当者は編集者、閲覧のみの社員はプレビューアーの権限レベルにする。

一(yi)時的に、全社共有フォルダに編集者権(quan)限を付与し、コンテンツを更新、追(zhui)加し、一(yi)定時間を過ぎると、権(quan)限を閲覧に戻(li)します。

Oktaの設定

Oktaとの認証連携(xie)およびプロビジョニング設定(ding)を行った上で、今(jin)回はOktaのグループを、Boxに同期するという設定(ding)をしました。

編集(ji)者(zhe)用のグループを「Box_Education_ShareAll_Editor」、閲覧者(zhe)用のグループを「Box_Education_ShareAll_Viewer」としています。

編集者用のグループを「Box_Education_ShareAll_Editor」、閲覧者用のグループを「Box_Education_ShareAll_Viewer」とする

Boxの設定

シナリオに書いたとおりのフォルダ構(gou)成を作り、「教育部(bu) 全社共(gong)有(you)」フォルダに、「Box_Education_ShareAll_Viewer」は「プレビューアー」、「Box_Education_ShareAll_Editor」には「編(bian)集者」の権(quan)限を付けます。

「Box_Education_ShareAll_Viewer」は「プレビューアー」、「Box_Education_ShareAll_Editor」には「編集者」の権限を付ける

Okta Identity Governanceの設定

Okta Identity Governanceの「Access Requests」で、下(xia)記のようなフローを作成します。今回は、4つのプロセスを設定しました。

①閲(yue)覧者(zhe)権限しか持(chi)っていないユーザーが、申請を行(xing)い、上長(chang)が承認をしたら、②編集(ji)者(zhe)グループに追加し、③一(yi)定(ding)時間待ち、④編集(ji)者(zhe)グループから削除するという4つのプロセスです。

1申請と承認、2承認されたら「編集者」グループに追加、3一定時間次の処理を待つ(今回は8時間)、4「編集者」グループから削除

この4つの設定を見ていきます。

①申請と承認

1-1 承認タスク、1-2 部門長に割り当て

②承(cheng)認されたら、「編集者(zhe)」グループに追加(jia)

2-1 Oktaのグループに追加、2-2 申請者を編集者グループに追加

③一(yi)定時間(今回は8時間)、次(ci)の処理を待機

3-1 一定時間、次の処理を待機(今回は8時間)

④一定時間後に、「編集者」グループから削除

4-1 Oktaのグループから削除、4-2 申請者を編集グループから削除

ユーザー側の動作

実際の申(shen)請(qing)者(zhe)、承認者(zhe)、申(shen)請(qing)者(zhe)で権限が変更(geng)されていることを確(que)認していきます。

プレビューアーであることを確認

Boxで、権限が「閲覧(lan)」の状態であることを確(que)認(ren)します。該(gai)当フォルダの共有設定で確(que)認(ren)できます。

共有設定で権限が「閲覧」の状態であることを確認

編集者権限付与申請

Oktaポータルにアクセスし、[Okta Access Requests]をクリックします。

Oktaポータルにアクセスし、[Okta Access Requests]をクリック

[Request access]をクリックします。

[Request access]をクリック

[Submit new request]をクリックします。

[Submit new request]をクリック

申請完了です。

申請したタスクがあることを確認

編集者権限付与承認

承(cheng)認者に、通知が届きます。メールに含まれる[Approve]をクリックします。

メールに含まれる[Approve]をクリック

メールのリンクをクリックすると、承認完了(le)します。

メールのリンクをクリックすると承認完了

編集者権限確認

Boxで編集者権限(xian)が割り当てられていることを確(que)認します。

共有設定で編集者権限が割り当てられていることを確認

申請(qing)から承認まで、1分で完(wan)了(le)できます。

一定時間後に閲覧のみの権限に変更されることを確認

一(yi)定時間(今回は8時間)後に、閲(yue)覧のみの権限に変更されます。

一定時間経過すると、閲覧のみの権限に変更される(今回は8時間)

さいごに

Boxの権(quan)限(xian)付与、そして権(quan)限(xian)の削除を、Okta Identity Governanceを用いて実(shi)装しました。

ほとんどクリックだけで設定(ding)できており、なんと「30分」で完了できました。IGAは非常に難しい製品という印象(xiang)がありますが、Okta Identity Governanceで、IGAが浸透していくのではないかと期待しています。特(te)にBoxのようなファイルを扱うSaaSとは相性がよく、データガバナンスにも効果的であるのは間違(wei)いありません。

実際の現場では、業(ye)務(wu)が複雑になっており、このように簡単にはいかないかもしれません。しかし、権限が大(da)きく付与されていることは、企業(ye)として大(da)きなリスクです。もちろん、ネットワーク系の製品(pin)を用いて、通信でファイルの中身を確認して、対(dui)処する方法も考えられます。しかし、アイデンティティとデータの2項目でガバナンスを効(xiao)かせることは、最もベーシックな対(dui)応です。

30分で設定完了と簡(jian)単で、コードを一切書かずに実(shi)装できてしまうことは、エンジニアという立場からすると、寂しさも感(gan)じています。しかし、業(ye)務課題、ビジネス課題を解決するのがエンジニアの仕事であることも再認識しました。

当(dang)記事が、みなさまの業務改善、セキュリティ、データガバナンスを考えるきっかけになれば幸いです。

プロフィール

稲毛 正嗣

稲毛 正嗣
キャリアはクリエイティブでスタート。事業会社の情シス、ITコンサルを経て、2017年ラック入社。現在は、アイデンティティとデータのカテゴリで活動中。
趣味はF1観戦、レゴ、Active Directoryのスキーマを見ること。Oktaを担当しつつも、自宅はMicrosoft Entra ID(旧Azure AD)とIntuneで構成。

この記事は役(yi)に立ちましたか?

はい いいえ