OAuth ポリシーの設定: 外部クライアントアプリケーション制御にアクセスするためのプロファイル/権限セットの指定

コントロール名

外部クライアントアプリケーション: OAuth ポリシーの設定: 管理者が承認したユーザーは外部クライアントアプリケーションで事前承認済み、外部クライアントアプリケーションへのアクセス用のプロファイル/権限セットの指定

推奨設定

外部クライアントアプリケーションポリシーを使用したユーザーアプリケーションアクセスの事前承認 - [管理者が承認したユーザーは事前承認済み] を選択します。

アプリケーションランチャーに表示する外部クライアントアプリケーションを設定する - [管理者が承認したユーザーは事前承認済み] を選択し、承認されたプロファイルと権限セットを指定します。

制御の概要

これらのセキュリティ設定では、割り当てられたプロファイルと権限セットで明示的な管理事前承認を要求することで、アプリケーションアクセスとアプリケーションランチャーの表示を特定のユーザーサブセットに制限します。

設定されていない場合のセキュリティリスク

システム管理者が承認した事前承認と定義済みの権限セットがない場合、機密性の高い組織ツールの監視と不正識別が減り、侵害されたアプリケーションの潜在的な爆発半径が増加します。

脅威のシナリオ

未承認のユーザーまたは侵害されたアカウントは、アプリケーションランチャーでグローバルに表示可能な機密財務ツールを特定して対象とします。プラットフォームに管理上の事前承認の制約がないため、後でデータを収集します。

推定 CVSS スコア範囲

高 (7.0 ～ 8.9)。

リスクの影響に関する考慮事項

アプリケーションアクセスを制限しないと、未管理のデータアクセスポイントの急増を促進し、悪意のある人物が内部偵察を実行して組織のソフトウェアエコシステムを悪用する可能性があります。

より高いリスク

アプリケーションが規制対象データへのアクセスを提供し、職務上の役割や検証済みの必要状況に関係なく、ワークフォース全体に表示される場合。

低リスク

正式なセキュリティレビューと特定の権限セットの割り当て後にのみユーザーにツールがプロビジョニングされる、制限的な表示モデルを会社が適用している場合。

ビジネスと統合に関する考慮事項

これらの制御を実装すると、審査済みのアプリケーションのみにアクセスできるようになりますが、ユーザーベースのプロファイルと権限セットの割り当てのライフサイクルを管理するための確立された管理プロセスが必要になります。

推奨される修復

[外部クライアントアプリケーションの OAuth ポリシー] に移動して、[管理者が承認したユーザーは事前承認済み] を選択し、承認されたプロファイルと権限セットをポリシーに明示的に追加します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Review では、アプリケーションエコシステムの一元管理を維持し、機密ビジネスツールの不正検出を防止するために、管理事前承認を強く推奨する標準として特定します。