V8: 認可
管理目標
認可は、許可されたコンシューマ (ユーザ、サーバ、その他のクライアント) にのみアクセスを付与することを確保します。最小権限の原則 (POLP) を適用するために、検証対象のアプリケーションが以下の上位要件を満たさなければなりません。
意思決定要因や環境コンテキストを含む認可ルールを文書化している。
コンシューマは定義された権限によって許可されたリソースにのみアクセスできる必要がある。
V8.1 認可ドキュメント
包括的な認可ドキュメントは、セキュリティ上の決定が一貫して適用され、監査可能であり、組織のポリシーに準拠していることを確保するために不可欠であり、開発者、管理者、テスト担当者にとってセキュリティ要件が明確で実行可能であることで、認可されていないアクセスのリスクを軽減します。
1.4.7
[追加] 認可ドキュメントは、コンシューマのパーミッションとリソース属性に基づいて、機能レベルとデータ固有のアクセスを制限するためのルールを定義している。
1
v5.0.be-1.4.7
1.4.8
[追加] 認可ドキュメントは、コンシューマのパーミッションとリソース属性に基づいて、フィールドレベルのアクセスを制限するためのルールを定義している。
2
v5.0.be-1.4.8
1.4.6
[追加] 認可ドキュメントは、認証と認可に関連するものも含め、セキュリティ上の決定をするために、コンシューマの環境属性とコンテキスト属性 (時間帯、位置情報、IP アドレス、デバイスなど) の変更を組み込むコントロールを定義している。これらの変更は、コンシューマが新しいセッションを開始しようとするとき、または既存のセッション中の両方で検出される必要がある。
3
v5.0.be-1.4.6
1.4.9
[追加] 認可ドキュメントは、機能レベル、データ固有、フィールドレベルの認可に加えて、意思決定における環境要因とコンテキスト要因を考慮している。
3
v5.0.be-1.4.9
V8.2 一般的な認可設計
機能、データ、フィールドレベルできめ細かい認可を導入することで、コンシューマは明示的に許可されたものだけにアクセスできるようになります。
4.1.3
[修正, 4.1.2 をカバー] アプリケーションは機能レベルのアクセスが明示的なパーミッションを持つコンシューマに制限されることを確保している。
1
v5.0.be-4.1.3
4.1.6
[修正, 4.2.1 から移動, 13.1.4 をカバー] アプリケーションは、安全でない直接オブジェクト参照 (IDOR) と壊れたオブジェクトレベル認可 (BOLA) を軽減するために、データ固有のアクセスが特定のデータ項目に対する明示的なパーミッションを持つコンシューマに制限されることを確保している。
1
v5.0.be-4.1.6
4.1.7
[追加] アプリケーションは、壊れたオブジェクトプロパティレベル認可 (BOPLA) を軽減するために、フィールドレベルのアクセスが特定のフィールドに対する明示的なパーミッションを持つコンシューマに制限されることを確保している。
2
v5.0.be-4.1.7
4.1.8
[追加] コンシューマの環境属性とコンテキスト属性 (時間帯、位置情報、IP アドレス、デバイスなど) に基づく認証と認可の決定に関する適用型セキュリティコントロールは、認可ドキュメントに定義されているとおりに実装されている。
3
v5.0.be-4.1.8
V8.3 操作レベルの認可
特に動的な環境では、認可されていないアクションを防ぐために、アプリケーションのアーキテクチャの適切な層で認可の変更を即座に適用することが重要です。
4.2.3
[修正, 4.1.1 から移動, 1.4.1, 14.5.2 をカバー] アプリケーションは信頼できるサービス層で認可ルールを適用し、クライアントサイド JavaScript など、信頼できないコンシューマが操作できるコントロールに依存していない。
1
v5.0.be-4.2.3
4.2.4
[追加] 認可の決定が行われた値の変更は即座に適用されている。変更を即座に適用できない場合 (自己完結型トークンのデータに依存している場合など)、コンシューマがもはや実行できないはずのアクションを実行したときに警告を発し、その変更を元に戻すための緩和コントロールが必要である。これによって情報漏洩を緩和できないことに注意する。
3
v5.0.be-4.2.4
4.2.5
[追加] オブジェクトへのアクセスは、発信主体 (コンシューマなど) のパーミッションに基づいており、代理で動作する仲介者やサービスのパーミッションではない。たとえば、コンシューマが認証のために自己完結型トークンを使用して Web サービスを呼び出し、それからそのサービスが別のサービスにデータをリクエストする場合、二番目のサービスは、最初のサービスからのマシン間トークンではなく、コンシューマのトークンを使用してパーミッションを決定すべきである。
3
v5.0.be-4.2.5
V8.4 他の認可の考慮
特に管理インタフェースやマルチテナント環境では、認可をさらに考慮することで、認可されていないアクセスの防止に役立ちます。
4.3.4
[追加] マルチテナントアプリケーションはクロステナントコントロールを使用して、コンシューマ操作が、インタラクションするパーミッションを持たないテナントに決して影響を与えないようにしている。
2
v5.0.be-4.3.4
4.3.1
[修正, レベル L1 > L3] 管理インタフェースへのアクセスは、継続的なコンシューマアイデンティティ検証、デバイスセキュリティ態勢評価、コンテキストリスク分析など、複数レイヤのセキュリティを組み込んでおり、ネットワークの場所や信頼できるエンドポイントが、認可されていないアクセスの可能性を減らすことはあるものの、認可の唯一の要素にはならないようにしている。
3
v5.0.be-4.3.1
参考情報
詳しくは以下の情報を参照してください。
Last updated
Was this helpful?