詳細情報:
接続アプリケーションの他のアクセス設定の管理: プロファイルの管理
このセキュリティ設定では、定義済みの管理プロファイルを接続アプリケーションのメタデータに対応付けて、アプリケーションへのアクセスを承認された特定のユーザーコホートを定義します。
コントロール名
接続アプリケーション: 接続アプリケーションの他のアクセス設定の管理: プロファイルの管理
推奨設定
「プロファイルの管理」。
制御の概要
このセキュリティ設定では、定義済みの管理プロファイルを接続アプリケーションのメタデータに対応付けて、アプリケーションへのアクセスを承認された特定のユーザーコホートを定義します。
設定されていない場合のセキュリティリスク
接続アプリケーションのプロファイルの割り当てが無制限の場合、アプリケーションベースのデータ漏洩の半径が大幅に増加するため、詳細な制御ができません。
脅威のシナリオ
システム管理者が広範な標準ユーザープロファイルを誤って機密性の高いインテグレーションに割り当て、何千人もの権限のない従業員が標準の項目レベルセキュリティを迂回して機密データを含むビジネスクリティカルなアプリケーションにアクセスできるようにします。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
特定のプロファイルへのアクセスを制限しないと、特権が過剰なアプリケーションセッションが発生し、どのユーザーが組織データを外部エンドポイントに積極的に送信しているかの監査が複雑になります。
より高いリスク
[許可されているユーザー] ポリシーが [すべてのユーザーは自己承認可能] に設定されている場合、組織のすべてのユーザーが管理監督なしでデータアクセス権を付与できます。
低リスク
インテグレーションが機能するために必要な最小限のプロファイルのみを割り当てることで、最小権限の原則を実装している組織。
ビジネスと統合に関する考慮事項
プロファイルを制限すると、特定のビジネスユニットに合わせてアプリケーション環境が調整されますが、新しいロールやチームがプラットフォームにオンボーディングされるため、継続的な管理メンテナンスが必要になります。
推奨される修復
[接続アプリケーションの管理] ページに移動して、特定のアプリケーションを選択し、[プロファイルの管理] をクリックして、正当なビジネスアクセスに必要な関連プロファイルのみを割り当てます。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、厳格な ID 境界を適用し、インテグレーションアクセスがユーザーの職務責任と明示的に一致していることを確認するために、プロファイルベースのアプリケーションゲートを強く推奨する標準として特定します。
