はじめに
最小権限の原則(PoLP: Principle of Least Privilege)という言葉を聞いたことはありますか?
ユーザーには本来の目的に必要な最低限の権限のみを与えることでリスクを最小限に抑える、というアクセス権限に関する基本的な考え方です。
CrowdStrikeにおいても、この原則に基づいて各CrowdStrikeユーザーに与える権限を細かく制御することができます。
ただ「ユーザーの権限制御ってどうやるの?」というのは、重要ではあるものの、正直なところ複雑でややこしいですよね。
今回は基本的な知識と考え方をなるべくわかりやすくお伝えしようと思います。
書き方を悩んでいるうちに記事が長くなってしまったので、2つの記事に分けています。
1つ目の記事(本記事)ではFalconユーザーの基本説明とロールベースの制御について、
2つ目の記事では範囲に基づくより細やかな制御について考えていきます。
Falconユーザーの基本説明
Falconユーザーの概要
Falconコンソール(CrowdStrike環境)を使用するためのユーザーです。
一般的には、システム管理者やセキュリティ担当者がCrowdStrikeを運用・管理するために使用します。
Falconユーザーの作成方法
Falconコンソールにログインし、ユーザー管理から作成します。
ユーザーを作るときは以下の情報を入力します。
- ユーザーのメールアドレス
- ユーザー名(名前・姓)
- ユーザーロール ※後述
ユーザーロールについて
ユーザーロールの概要
ユーザーを作るときにはロールを指定します。
CrowdStrikeでは、ロールに基づいてユーザーごとに各機能へのアクセス権を付与したり制限したりする、ロールベースアクセス制御(RBAC: Role-Based Access Control)を基礎としてユーザーの権限を調整します。
ユーザーロールの指定方法
先ほど紹介したユーザーの登録画面にあった「ロール」という項目に任意のユーザーロールをひとつ以上指定します。
もちろん、複数のロールを指定することも可能です。
ただ、あまりにたくさんのロールをつけてしまうと運用が複雑になりがちです。
冒頭に述べた「最小権限の原則」の考え方としても、あまり権限をゴチャつかせずシンプルに指定するほうが良いかと思います。
デフォルトロールで対応が難しい場合は、独自にカスタマイズすることも選択肢のひとつです。
デフォルトロール
デフォルトでは様々なロールが用意されており、不定期ですがまめに更新もされます。
基本的には、デフォルトロールの活用で様々な条件に柔軟に対応できると思います(環境にもより違いがあるかもしれませんが、弊社のコンソールから確認したら100以上ありました……)。
中には他のロールとの組み合わせが前提のロール(単体だとコンソールへのアクセス権がない、など)もあるので、設定時はドキュメントの確認をおすすめします。
ここでは、使用機会が高そうないくつかのロールを紹介します。
| ロール名 | 説明 | できること |
|---|---|---|
| Falcon Administrator | 管理用のロール | 主要なほぼすべての機能の操作 |
| Falcon Security Lead | 運用者用のロール | 運用に必要な機能の参照(&必要に応じて操作) |
| Endpoint Manager | Falconセンサーインストール用のロール | センサーインストールに必要な機能の操作 |
| Real Time Responder - Administrator | 遠隔操作用のロール | Falconコンソールからの遠隔操作に必要な機能の操作 |
| Falcon Console Guest | コンソールを見るだけのためのロール | コンソールやKBへのアクセス |
カスタムロール
デフォルトロールは変更できないため、デフォルトロールでしっくりくるものがない場合はカスタムロールを作成します。
カスタムロールは既存のデフォルトロールを複製してカスタマイズすることもできますし、一から作成することもできます。
まとめ
今回はユーザーロールに関する基本説明と、ベースとなるアクセス制限(RBAC)についてまとめました。
次回の記事ではRBACと組み合わせて更に細やかな制御ができる設定があるよ、というお話をしたいと思います。
ありがとうございました!
