Microsoft Entra Permissions Management 用語集
この用語集では、Microsoft Entra Permissions Management でよく使用されるいくつかのクラウド用語の一覧を示します。 これらの用語は、Permissions Management ユーザーがクラウド固有の用語とクラウドの一般的な用語をナビゲートするのに役立ちます。
一般的に使用される頭字語と用語
| 期間 | 定義 |
|---|---|
| ACL | アクセス制御リスト。 ファイルまたはリソースのリストのことで、それらのリソースにアクセスしたり、それらのファイルを変更したりするためのアクセス許可を持っているユーザーまたはグループに関する情報が含まれています。 |
| ARN | Azure リソース通知 |
| 認可システム | CIEM では、認可*システム*として AWS* アカウント*、Azure サブスクリプション*、GCP プロジェクト*がサポート*されます |
| 認可*システム*のタイプ* | ID、リソースにアクセス許可を割り当てることによって承認を提供するシステム。 CIEM では、認可*システム*のタイプ*として AWS*、Azure、GCP がサポート*されます |
| クラウドのセキュリティ | クラウド コンピューティング プラットフォームにオンラインで格納されているデータを盗難、漏えい、削除から保護するサイバーセキュリティの一種。 ファイアウォール、侵入テスト、難読化、トークン化、仮想プライベート ネットワーク (VPN)、パブリック インターネット接続の回避が含まれます。 |
| クラウド ストレージ | データがリモートで維持、管理、バックアップされるサービス モデル。 ネットワーク上のユーザーが使用できます。 |
| CIAM | クラウド インフラストラクチャ アクセス管理 |
| CIEM | クラウド インフラストラクチャ エンタイトルメント管理。 クラウド上で最小特権を強制的に適用する次世代のソリューション。 クラウド環境で ID アクセス管理を管理する際のクラウドネイティブのセキュリティの課題に対処します。 |
| CIS | クラウド インフラストラクチャ セキュリティ |
| CWP | クラウド ワークロード保護。 最新のエンタープライズ環境におけるワークロードの固有の保護要件を対象とする、ワークロード中心のセキュリティ ソリューション。 |
| CNAPP | クラウドネイティブ アプリケーション保護。 クラウド セキュリティ態勢管理 (CSPM)、クラウド ワークロード保護 (CWP)、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM)、およびクラウド アプリケーション セキュリティ ブローカー (CASB) を集約したもの。 クラウドネイティブ アプリケーションのライフサイクル全体をカバーする統合セキュリティ アプローチ。 |
| CSPM | クラウド セキュリティ態勢管理。 エンタープライズ クラウド環境でのコンプライアンス違反や構成の誤りのリスクに対処します。 また、クラウド ガバナンスとコンプライアンスのベスト プラクティス セキュリティ設定からの逸脱を識別するために、リソース レベルにも焦点を当てます。 |
| CWPP | クラウド ワークロード保護プラットフォーム |
| データ コレクター | データ収集*構成*を格納する仮想エンティティ* |
| Delete タスク | ユーザーがリソースを完全に削除できるリスクの高いタスク。 |
| ED | Enterprise* ディレクトリ* |
| Entitlement | さまざまなインフラストラクチャ システムおよびビジネス アプリケーションにおける各種形式のユーザー アクセス許可を表す抽象属性。 |
| エンタイトルメント管理 | きめ細かいアクセス エンタイトルメント (つまり、承認、特権、アクセス権、アクセス許可、規則) を付与、解決、適用、取り消し、管理するテクノロジ。 その目的は、構造化/非構造化データ、デバイス、サービスに対して IT アクセス ポリシーを実行することです。 これは、さまざまなテクノロジによって提供され、多くの場合、プラットフォーム、アプリケーション、ネットワーク コンポーネント、デバイス間で異なります。 |
| 危険度の高いアクセス許可 | データ漏洩、サービスの中断や低下、またはセキュリティ態勢の変化を引き起こす可能性があるアクセス許可。 |
| リスクの高いタスク | ユーザーがデータ漏えい、サービスの中断、またはサービスの低下を引き起こす可能性があるタスク。 |
| ハイブリッド クラウド | クラウド ハイブリッドと呼ばれることもあります。 オンプレミスのデータ センター (プライベート クラウド) とパブリック クラウドを組み合わせたコンピューティング環境。 これにより、データとアプリケーションを相互に共有できます。 |
| ハイブリッド クラウド ストレージ | 組織のデータを格納するために使用されるプライベートまたはパブリック クラウド。 |
| ICM | インシデント ケース管理 |
| IDS | 侵入検出サービス |
| ID | ID は、人間の ID (ユーザー) またはワークロード ID です。 ワークロード ID には、クラウドごとに異なる名前と種類があります。 AWS: ラムダ関数 (サーバーレス関数)、ロール、リソース。 Azure: Azure 関数 (サーバーレス関数)、サービス プリンシパル。 GCP: クラウド関数 (サーバーレス関数)、サービス アカウント。 |
| ID 分析 | 基本的な監視と修復、休止および孤立したアカウントの検出と削除、および特権アカウントの検出が含まれます。 |
| ID ライフサイクル管理 | 1 つ以上の ID ライフ サイクル パターンを使用して、デジタル ID、それと組織の関係、および作成から最終的なアーカイブまでのプロセス全体にわたるその属性を管理します。 |
| IGA | ID ガバナンスと管理。 ID 管理とアクセス ガバナンスの操作を実行するテクノロジ ソリューション。 IGA には、ID ライフサイクル管理に必要なツール、テクノロジ、レポート、コンプライアンス アクティビティが含まれます。 これには、アカウントの作成と終了からユーザー プロビジョニング、アクセス認定、およびエンタープライズ パスワード管理まで、すべての操作が含まれます。 これは、権限のあるソース機能からの自動化されたワークフローとデータ、セルフサービス ユーザー プロビジョニング、IT ガバナンス、およびパスワード管理を調べます。 |
| 非アクティブなグループ | 非アクティブなグループには、過去 90 日間、現在の環境 (つまり、AWS アカウント) で付与されているアクセス許可を使用していないメンバーが含まれています。 |
| 非アクティブな ID | 非アクティブな ID では、過去 90 日間、現在の環境 (つまり AWS アカウント) で付与されているアクセス許可が使用されていません。 |
| ITSM | 情報技術セキュリティ管理。 IT 運用組織 (インフラストラクチャおよび運用マネージャー) が、運用環境のサポートを向上させることができるツール。 品質の高い IT サービスの管理と提供に関連するタスクとワークフローを促進します。 |
| JEP | 十分なアクセス許可* |
| JIT | ジャスト イン タイム アクセスは、最小特権の原則を適用して、ユーザーと人間以外の ID に最小レベルの特権が付与されるようにする方法と見なすことができます。 また、特権アクティビティが、組織の ID およびアクセス管理 (IAM)、IT サービス管理 (ITSM)、および Privileged Access Management (PAM) ポリシーに従って、そのエンタイトルメントとワークフローを使用して実行されるようにします。 JIT アクセス戦略を使用すると、組織は特権アクティビティの完全な監査証跡を維持して、誰がまたは何がどのシステムに対するアクセス権を取得したか、また、それらが何をいつどのくらいの期間実行したかを容易に特定できます。 |
| 最小特権 | ユーザーがタスクの完了に必要な特定のツールに対するアクセス権のみ取得するようにします。 |
| マルチテナント | ソフトウェアの単一のインスタンスとそのサポート インフラストラクチャが、複数の顧客にサービスを提供します。 各顧客は、ソフトウェア アプリケーションを共有し、単一のデータベースも共有します。 |
| OIDC | OpenID Connect。 ユーザーが保護された HTTPS エンドポイントにアクセスしようとしたときにユーザー ID を確認する認証プロトコル。 OIDC は、OAuth で以前に実装されたアイデアを革新的に発展させたものです。 |
| 過剰にプロビジョニングされたアクティブな ID | 過剰にプロビジョニングされたアクティブな ID では、現在の環境で付与されているすべてのアクセス許可が使用されているわけではありません。 |
| PAM | 特権アクセス管理。 次の機能の 1 つ以上を提供するツールです: 複数のシステムおよびアプリケーションで特権アカウントを検出、管理、制御する。共有アクセスや緊急アクセスなど、特権アカウントへのアクセスを制御する。管理、サービス、アプリケーションの各アカウントの資格情報 (パスワード、キーなど) をランダム化、管理、および保管する。資格情報の漏洩を防ぐための特権アクセスのシングル サインオン (SSO)。特権コマンド、アクション、タスクの制御、フィルター処理、調整。アプリケーション、サービス、およびデバイスに対する資格情報の管理と仲介を行い、情報漏洩を防ぐ。特権アクセス、セッション、アクションの監視、記録、監査、および分析。 |
| PASM | 特権アカウントは、その資格情報を保管することによって保護されます。 その後、これらのアカウントへのアクセスは、人間のユーザー、サービス、およびアプリケーションに対して仲介されます。 特権セッション管理 (PSM) 機能によって、可能な資格情報の挿入とセッションの完全な記録によりセッションが確立されます。 特権アカウントのパスワードおよびその他の資格情報は、定義可能な間隔で、または特定のイベントが発生したときに、アクティブに管理および変更されます。 また、PASM ソリューションによって、アプリケーション間パスワード管理 (AAPM) と、VPN が必要ない IT スタッフおよびサード パーティ向けのゼロインストール対応のリモート特権アクセス機能も提供できます。 |
| PEDM | 管理対象システム上で、ホスト ベースのエージェントによって、ログインしているユーザーに対して特定の特権が付与されます。 PEDM ツールによって、ホスト ベースのコマンド コントロール (フィルター処理)、アプリケーションの許可、拒否、および分離の各コントロール、および/または特権の昇格が提供されます。 後者は、より高いレベルの特権で特定のコマンドを実行できるようにするという形で行われます。 PEDM ツールは、カーネルまたはプロセスのレベルで実際のオペレーティング システムで実行されます。 プロトコル フィルターを使用したコマンド コントロールは、この定義から明らかに除外されます。これは、コントロール ポイントの信頼性が低いためです。 また、PEDM ツールによって、ファイル整合性の監視機能も提供されます。 |
| アクセス許可 | 権限と特権。 ID を使用してリソースに対して実行できるアクション。 ネットワーク上のファイルへのアクセス権を定義するユーザーまたはネットワーク管理者によって指定される詳細。 リソースに付加されるアクセス制御は、それにアクセスできる ID、およびその方法を指示します。 アクセス許可は ID にアタッチされており、特定のアクションを実行する機能です。 |
| POD | オンデマンドのアクセス許可。 アクセス許可の一時的な昇格を可能にし、ID が要求ごとに時間に基づいてリソースにアクセスできるようにする JIT アクセスの種類。 |
| アクセス許可クリープ インデックス (PCI) | リスクの高い特権へのアクセス権を持つユーザーが発生させるリスクを表す 0 から 100 の数値。 PCI は、リスクの高い特権に対するアクセス権を持っているが、それを積極的には使用していないユーザーに関する関数です。 |
| ポリシーとロールの管理 | アクセス権の自動割り当てと削除を管理するルールを維持します。 アクセス要求、承認プロセス、依存関係、アクセス権間の非互換性などで選択する際の、アクセス権の可視性を提供します。 ロールは、ポリシー管理のための一般的な手段です。 |
| 特権 | ネットワークまたはコンピューターに変更を加える権限。 ユーザーとアカウントの両方が特権を保有でき、両者はそれぞれ異なるレベルの特権を持つことができます。 |
| 特権アカウント | サーバー、ファイアウォール、またはその他の管理アカウントへのログイン資格情報。 多くの場合、管理者アカウントと呼ばれます。 実際のユーザー名とパスワードで構成されます。これら 2 つが組み合わされてアカウントが構成されます。 特権アカウントは、通常のアカウントよりも多くのことを実行できます。 |
| 特権エスカレーション | 特権エスカレーションを使用する ID では、付与されているアクセス許可の数を増やすことができます。 これにより、AWS アカウントまたは GCP プロジェクトの完全な管理制御を取得することができます。 |
| パブリック クラウド | パブリック インターネット経由でサード パーティ プロバイダーによって提供されるコンピューティング サービスで、それらを使用または購入したいすべての人が利用できるようになっています。 これらは無料またはオンデマンドで販売され、お客様は使用した CPU サイクル、ストレージ、または帯域幅について、使用量に基づく料金を支払うだけで済みます。 |
| リソース | コンピューティング機能を使用するすべてのエンティティは、アクションを実行するためにユーザーおよびサービスからアクセスできます。 |
| ロール | 特定のアクセス許可を持つ IAM ID。 ロールは、1 人のユーザーに一意に関連付けられるのではなく、それを必要とするすべての人が引き受けることができることを目的としています。 ロールには、関連するパスワードやアクセス キーなど、標準の長期的な資格情報がありません。 |
| SCIM | クロスドメイン ID 管理システム |
| SIEM | セキュリティ情報イベント管理 セキュリティ イベントや、その他の各種イベントおよびコンテキスト データ ソースの収集と分析 (ほぼリアルタイムと履歴の両方) によって、脅威の検出、コンプライアンスおよびセキュリティ インシデントの管理をサポートするテクノロジ。 中核となる機能は、広範なログ イベントの収集と管理、異種のソースにまたがるログ イベントやその他のデータの分析機能、および運用機能 (インシデント管理、ダッシュボード、レポートなど) です。 |
| SOAR | セキュリティ オーケストレーション、オートメーション、および応答 (SOAR) 組織がさまざまなソースから (ほとんどの場合、セキュリティ情報イベント管理 [SIEM] システムから) 入力を取得し、プロセスと手順に適合するワークフローを適用できるようにするテクノロジ。 これらのワークフローは、他のテクノロジとの統合によって調整し、必要な結果を実現して可視性を向上させるために自動化できます。 その他の機能として、ケースとインシデントの管理機能、脅威インテリジェンス、ダッシュボード、レポートを管理する機能、および各種機能にまたがって適用できる分析などがあります。 SOAR ツールは、人間とプロセスの効率と一貫性を向上させるために、機械による支援を人間のアナリストに提供することによって、脅威の検出と対応などのセキュリティ操作のアクティビティを大幅に向上させます。 |
| スーパー ユーザー/スーパー ID | システムまたはアプリケーションの構成の作成、ユーザーの追加または削除、データの削除を行うために使用できる、IT システム管理者が使用する強力なアカウント。 スーパー ユーザーと ID には、現在の環境内 (つまり、AWS アカウント) のすべてのアクションとリソースに対するアクセス許可が付与されます。 |
| テナント | 特定の既定の場所に格納されているサービスと組織データの専用インスタンス。 |
| UUID | ユニバーサル一意識別子。 コンピューター システムの情報に使用される 128 ビットのラベル。 グローバル一意識別子 (GUID) という用語も使用されます。 |
| 使用されたアクセス許可 | 過去 90 日間に ID で使用されたアクセス許可の数。 |
| ゼロ トラスト セキュリティ | 明示的な検証、違反の想定、および最小特権アクセスの 3 つの基本原則。 |
| ZTNA | ゼロ トラスト ネットワーク アクセス。 アプリケーションまたは一連のアプリケーションの周囲に ID またはコンテキスト ベースの論理的なアクセス境界を作成する製品またはサービス。 アプリケーションは検出されないように隠されます。また、アクセスは、トラスト ブローカーを介して一連の名前付きエンティティに制限されます。 ブローカーは、アクセスを許可する前に、指定された参加者の ID、コンテキスト、およびポリシーの準拠を確認し、ネットワーク内の他の場所への侵入拡大を禁止します。 これにより、アプリケーション資産がパブリックの可視性から除外され、攻撃可能な領域が大幅に減少します。 |
次の手順
- Permissions Management の概要については、「Microsoft Entra Permissions Management とは」を参照してください。