継続的認証の詳細
ServiceNowの継続的認証 (CA) を使用すると、保護されているリソースにユーザーがアクセスした場合に、ユーザーを再検証して認証できます。
ServiceNow の継続認証は、最初のログイン時だけでなく、ユーザーのセッション全体を通じてユーザーの本人確認を行うように設計されたセキュリティメカニズムです。CA は、ServiceNow のゼロトラストアクセスセキュリティアーキテクチャに基づいて構築されており、最初の認証プロセスの後でも、ユーザーが主張する人物のままであることを保証することでセキュリティを強化することを目的としています。
CA は、次のゼロトラストアクセスの原則に基づいて機能しています。
- 明示的に検証する:場所に関係なく、ネットワーク内のユーザー、デバイス、またはシステムに対する暗黙的な信頼はありません。すべてのユーザーとデバイスは、場所や過去のアクセスに関係なく、明示的に認証および認可される必要があります。
- 最小特権アクセスを使用する:特定のタスクを実行するために必要な最小限のアクセス権または権限のみを付与し、侵害されたアカウントまたはシステムによる潜在的な損害を制限します。
- 侵害を想定する:防止だけに頼るのではなく、侵害を想定し、プロアクティブな検出、封じ込め、対応に重点を置きます。
CA は、ユーザーがアクセスしているデータとユーザーが実行しているアクティビティに基づいて、ステップアップ認証または再認証を適用する機能を提供します。アドミニストレーターは、テーブルまたはデータクラスレベルでセキュリティポリシーを作成するためにこれを選択します。
ユーザーが個人識別可能情報 (PII) や機密データにアクセスしようとするたびに、ログインセッション内でステップアップ認証 (MFA) または再認証 (SSO - SAML、または OIDC) を適用できます。
注:
ライセンスが必要な CA を選択するには、Zero Trust - Continuous Authentication (
com.snc.zero_trust_continuous_authentication) をインストールする必要があります。メリット
CA を使用するメリットには次のようなものがあります。
- セキュリティの強化:ユーザーの本人確認を継続的に行うことで、システムは潜在的なセキュリティの脅威をより迅速に検出して対応できます。
- アカウント乗っ取りのリスクの軽減:攻撃者がユーザーのセッションにアクセスした場合でも、継続認証が、機密データへのアクセスの防止に役立ちます。
ユースケース
CA を使用するユースケースには次のようなものがあります。
- 各種ポリシーを使用して機密データへのアクセスを許可する前に、再認証を適用します。
- 各種ポリシーを使用して定期的な再認証またはステップアップ認証を適用します。
- IdP の MFA、IdP の SSO を含むことができる再認証を使用します。
- ServiceNow の MFA によるステップアップ認証を使用します。
CA におけるロール
CA には次のロールがあります。
- CA アドミン (ca_admin):CA ポリシーを作成、編集、および表示できます。CA のプロパティを構成し、CA のダッシュボード (メトリクス) を表示します。
- ポリシーアドミン (ca_policy_admin):CA ポリシーを作成、編集、および表示できます。
- 監査人 (ca_auditor):CA のダッシュボード (メトリクス) を表示できます。CA のポリシーとログも表示できます。
CA を構成するには、ロールを ca_admin に昇格してポリシー構成を実行する必要があります。
注:
これら 3 つのロールはすべて昇格したロールです。
CA のモジュール
CA 内の各種モジュールには次のものがあります。