ゼロスタンディング特権のユースケース

このブログはこちらの英語ブログ（2024年8月19日公開）の参考和訳です。

最小権限の原則は、情報セキュリティで最もよく知られた法則の1つですが、多くの場合、その実践は非常に困難です。この原則では、タスクを完了するために必要なリソースと許可のみへのアクセスをユーザーに付与し、それ以上の許可を付与しないことが求められます。

多くのCISOは、最小権限の原則を一般ユーザーに適用するのはそれほど難しくはないと述べていますが、特権アクセスを精査する段階になると、課題に直面することがあります。特権アクセス管理（PAM）は、特権付きロールを安全に付与するためのシートベルトのような役割を果たします。具体的に、PAMは、特権付きのリソースへのアクセスに使用されるパスワードを保護管理することで、攻撃者が管理者の認証情報にアクセスするときに発生するリスクに対処します。 

PAMには長い歴史があります。実際、物理的な金庫の中にパスワードを記載した用紙を保管していたこともあったのです。ボールトソフトウェアとサービスにより、特権アクセスに使用される認証情報へのアクセスを制限し、管理者がパスワードを「チェックアウト」する前にステップアップ認証や二重の認可などのコントロールを要求できます。PAMは、人の管理者がパスワードを使用した後に、自動的にローテーションする機能も提供できますが、これもまた実施すべき有効な対策です。

今日のPAMソリューションは、データベースやサーバーなどの特権付きのオンプレミスリソースへのアクセスを保護する上で、非常に有用です。しかし、B2B SaaSアプリで連携されていない特権アカウントなどの特権リソースにパブリックインターネット経由でアクセスできる場合は、十分な対策とならない傾向があります。ボールト機能により、認証および認可されたユーザーのみがその特権アカウントの認証情報をチェックアウトできることを保証できますが、そのパスワードが対話型のブラウザセッションからSaaSアプリに入力される場合、PAMソリューションでは、パスワードが（誤って）ユーザーのブラウザに保存されたり、マルウェアによって窃取されたりしないように保護するための対策はほぼ何も実行できません。 

過去12か月間に、パスワードボールトが管理リソースへの攻撃者によるアクセスを十分に防ぐことができなかった多くの攻撃を、Oktaは確認しています。

これらのリスクは、次の理由で発生します。

• 情報窃取マルウェアが蔓延しています。今日、インターネットで配信されている窃取された認証情報ペアとセッショントークンを「組み合わせたリスト」は驚くほど大規模になっています。これらのダンプに取り込まれた企業の認証情報の多くは、個人が所有するデバイスや一時的な契約社員のデバイス、つまりエンドポイント保護による管理の対象となるデバイスから抽出されたものです。マルウェアに感染したデバイスのブラウザから送信されたパスワードは、窃取に対して脆弱です（今日のセキュリティチームは、新型コロナウイルスのパンデミック時に急増した個人所有のデバイス使用の代償を払っていると言えるのかもしれません）。
• 攻撃者は、ネイティブアカウント、非連携アカウント、ローカルアカウントを標的にしています。シングルサインオン（SSO）や多要素認証（MFA）で保護されたユーザーアカウントの侵害が困難であることを認識しているのです。SaaSアプリケーションに直接アクセスできる非連携アカウントが攻撃の標的となるケースの増加が確認されています。非連携アカウントの認証ポリシーは、通常、SSOプロバイダーと連携しているアカウントのポリシーよりも脆弱です。注目を集めた多くの大規模攻撃で同じパターンが何度も繰り返されています。特権アカウントのパスワードまたは有効期間の長いセッショントークンが、情報窃取マルウェアによって管理されていないデバイスから抽出され、多くの場合、他の攻撃者に販売または配信されています。

次の場合に、これらのリスクを軽減できます。

• セキュリティチームが、SaaSアプリケーションへの予期しないローカルアクセスや非連携アクセスを検出するツールを利用している。
• セキュリティチームが、人のユーザーがアクセスした後、SaaSアプリケーションの認証情報を自動的にローテーションできるクラウドネイティブのPAMを使用して、認証情報を保護することができる。

Oktaは、これらのリスクを軽減するツールを構築することを使命としています（「Okta Privileged Access」と「Identity Security Posture Management」を参照）。しかし、サイバー攻撃対策では、攻撃者の戦術や能力が進化し続けることを認識しておく必要があります。

そのため、すべての組織は、攻撃者が高度な特権アカウントを乗っ取ることに成功した場合に、影響範囲を縮小または制限する方法についても考える必要があります。 

ゼロスタンディング特権への移行（厳密にはゼロにはならない）

ゼロスタンディング特権とは、最小権限の原則を最大限に適用したものです。この用語が示しているように、理想的な状態は、アプリケーションで常時付与される管理許可があるアカウント数がゼロになることです。 

「理想」の状態と言ったのは、多くのシステムは管理特権レベルの少なくとも1つのインタラクティブなアカウント（人間が直接操作するアカウント）を持つように設計されているからです。レジリエンスを確保するためには、緊急用アカウント（個々の人の管理者に割り当てられたアカウントにアクセスできない場合に信頼して利用できる共有アカウント）を使用する必要があります。そのため、私たちが目指すべき現実的な目標は、スタンディング特権を「ほぼゼロ」に減らすことになります。高度な特権ロールが付与されるユーザーアカウントとマシンアカウントの数を減らすことが最低限の目標です。

権限を低くする機会を見つけることは、それほど大変ではありません。大規模な研究により、過剰な特権アクセスによって問題がどのような範囲で引き起こされるかが示されています。クラウド内でユーザーとマシンアカウントに付与された許可はほとんど使用されていません [pdf]。Microsoftの調査によると、Azureアプリに付与された許可のうち使用されているのは10%未満に過ぎません。

アイデンティティエコシステムに関わるすべてのユーザーが、これらの許可を絞り込むために果たすことができる役割があります。

• クラウドサービスプロバイダーは、最もセキュリティを重視するお客様が、標準でそのまま使用できるロールに付与されている特権を縮小することを支援できます。Oktaは、カスタム管理者ロールの作成に利用できるきめ細かな許可の数を増やしており、さらに多くの許可を利用できるようにする予定です。
• これらのサービスを使用するお客様は、カスタム管理者ロールを使用して、過剰な許可を持つユーザーとマシンアカウントの数を減らす必要があります。また、お客様は、Cloud Infrastructure Entitlement Management（CIEM）ソリューションのライセンスがなくても、数多くのオープンソースツールを利用して、クラウドインフラストラクチャやアプリケーションの過剰な許可を特定することを検討する必要があります。

従業員のゼロスタンディング特権のサポート

Oktaは、Okta Secure Identity Commitmentの一環として、Govern Okta Admin Rolesを最近リリースしました。これは、すべてのOkta Workforce Identity Cloudのお客様がライセンスを購入せずに無料で利用できるアドオンです。

Govern Okta Admin Rolesでは、Oktaで最も高い特権のある管理者ロールと許可をジャストインタイムベースで付与できます。この機能は、お客様がサードパーティアプリケーションのロールを管理するために使用しているのと同じツール（Okta Identity Governance）を使用して構築されています。

Okta管理者ロールへのアクセスは、二重の認可を求めるように構成し、カスタマイズ可能なワークフローをトリガーし、指定した時間が経過すると有効期限が切れるようにスケジュールできます。私のチームは最近、この機能のライブデモをRisky Businessのポッドキャスト向けに録画していますので、詳しくはポッドキャストでご確認ください。

この新しい機能を採用するために、以下の3つのステップによるアプローチを利用することを提案します。

1. 最も高い特権を持つ管理者が頻繁に使用している機能を調査します。特定のロールに割り当てられた許可の大部分が過剰であることに気付く可能性が高いでしょう。組織のロールに必要となる基本的な許可をまとめてマッピングします。
2. 標準ロールを、管理者が最も頻繁に必要とする許可のみが含まれるOktaのカスタム管理者ロールに置き換えます。
3. 高い特権が必要で使用頻度の低い許可については、アクセス要求と承認フローを構成し、JITベースで使用でき、二重の認可によって保護されるようにします。 

このブログ連載の第2部では、JITアクセスの条件に最も適したOktaの許可について説明します。

以上の内容は、原文（英語）の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。