認証前のアイデンティティポスチャを強化するためのツール
このブログはこちらの英語ブログ(2024年8月19日公開)の参考和訳です。
現在のセキュリティリーダーは、認証前、認証中、認証後の攻撃がもたらす脅威を緩和するため、多要素認証(MFA)やシングルサインオン(SSO)にとどまらない、アイデンティティを活用したサイバーセキュリティの包括的なアプローチを採用する必要があります。
このアプローチは、認証前のプロセスから始まり、潜在的な脆弱性を検出し、適切なアクセスを判断できる強力なアイデンティティポスチャを必要とします。
要するに、個別のポイントソリューションで認証のライフサイクル全体を管理しても、成果は得られません。管理の分散やアプリ/システム間の統合不足は、情報のサイロ化を招き、脆弱性を悪化させ、組織のセキュリティポスチャを弱めます。セキュリティリーダーは単にアイデンティティツールの統合を目指すだけでなく、より優れた可視性、制御レベルの向上、ワークロードの効率化を実現する統一されたアイデンティティアプローチを採用する必要があります。
Oktaによるアイデンティティの統合
Oktaは、アイデンティティのあらゆる側面を一元化し、緊密に統合することで、ポスチャ、アクセス、ガバナンス、特権アクセス全体でアイデンティティセキュリティを向上させます。既存のアイデンティティプロバイダー(IdP)、SaaS、オンプレミスアプリにシームレスに接続することで、認証前のセキュリティのユースケースに対応し、組織のアイデンティティセキュリティポスチャを包括的かつ直感的に把握できるようにします。
これにより、組織の全体的なアイデンティティセキュリティポスチャの完全な可視化が実現します。
その仕組みを以下で解説します。
強力なリスク管理は、リスクがどこから来ているのか、どのような脆弱性を悪用する可能性があるのかを十分に認識することから始まります。Oktaは、セキュリティに悪影響を及ぼす可能性のある技術スタック全体のアイデンティティの設定ミスを検出するタスクを簡素化・強化します。たとえば、SaaSアプリケーション、特権付きアカウント、オンプレミスリソース全体で、スタンディング許可/エンタイトルメント、管理者アカウント、SSO/MFA設定ミスなどを検出します。
|
Okta Identity Security Posture Management (ISPM) |
|
|
目的 |
認証情報の窃取や悪用など、アイデンティティベースの脅威に対するプロアクティブな認証前の防御 |
|
機能 |
業界の脅威インテリジェンスを収集して分析し、組織のアイデンティティポスチャを可能な限り包括的に把握するための洞察をセキュリティリーダーに提供 |
|
仕組み |
迅速で簡単な統合:ISPMは、組織のアイデンティティ攻撃対象領域の完全なスナップショットを作成するため、アイデンティティプロバイダーやアプリケーション(クラウドとオンプレミスの両方)とシームレスに統合します。 統合された単一のビュー:ISPMのダッシュボードは、アイデンティティ関連のすべての問題をリスクカテゴリ別(MFAの範囲、過剰な特権、アイデンティティの無秩序な増加、パスワードハイジーンなど)に分類します。このレベルで問題を整理することにより、修復を迅速化し、最も差し迫った問題をセキュリティリーダーに警告します。 詳細な情報を簡素化:ISPMのアイデンティティ/アクセスグラフ機能は、各ユーザーに関する情報(アクセス経路や権限のパス、アイデンティティリスクなど)をわかりやすいグラフに変換し、リーダーが明確に把握できるようにします。 |
このように組織の役割、リソース、設定ミスを可視化することで、セキュリティリーダーは、最小特権の標準の一貫した適用を確保するための、適切なセキュアバイデザインのアクセス制御とポリシーを構築できます。
Oktaは、セキュリティリーダーが組織のシステム、アプリケーション、リソース全体にわたって最小特権アクセスを決定して維持できるよう支援します。その方法を紹介します。
- 可視性の向上:中核となるアイデンティティ情報の一元化されたリポジトリから、SaaSアプリケーション、特権アカウント、オンプレミスリソースへのユーザーアクセスレベルの詳細な概要を取得します。
- 一貫性のある(そして強力な)アクセスポリシー:Oktaのポリシーは、組織の攻撃対象領域を最小限に抑える最小特権のポスチャを構築することを目標とし、セキュリティリーダーが組織固有の状況に応じた強力な認証を定義するのに役立ちます。
- 継続的な監視:Okta Access Reviewsにより、管理者は、ユーザーが適切なリソースに対して適切なレベルの権限を適切な時間にわたって持っていることを継続的に確認できます。また、Oktaは、共有される多様なサードパーティシグナルに基づいてアイデンティティリスクを継続的に監視し、セキュリティリーダーがリスクを包括的かつリアルタイムで理解できるようにします。
- 安全で効率的な自動化:管理者は、特にリスクの高い状況(Universal Logout、許可の削除など)における対応の自動化により、対応プロセスを合理化できます。
統合アイデンティティの効果
断片化されたアイデンティティソリューションは、セキュリティを損ない、サイバー攻撃の最悪の影響を受ける可能性があるため、組織のアイデンティティポスチャを評価し、適切なアクセスを判断するという重要な機能を任せるには十分ではありません。Oktaは、アイデンティティセキュリティのあらゆる側面を統合し、認証前のセキュリティポスチャの各要素がリスクを事前に軽減するように設定されていることを保証します。
|
Oktaでアイデンティティを統合する前 |
Oktaでアイデンティティを統合した後 |
|
十分に統合されていない断片化されたポイントソリューションによって情報がサイロ化するため、組織のアイデンティティポスチャを包括的に明確化できず、攻撃者が悪用可能なセキュリティギャップが生じます。 |
組織の攻撃対象領域とアイデンティティポスチャを統一的に把握できるので、深刻な脆弱性につながる設定ミスを防ぎ、セキュリティリーダーは組織が直面している最も深刻なアイデンティティ関連の脅威に即座に対処できます。 |
|
アイデンティティ関連のリスクに関するデータが限られているため、組織がリスクをリアルタイムで理解し、対応する能力が阻害されます。 |
コンテキストに合わせて対応する機能が、すべてのユーザーアカウントを従業員のライフサイクルで必要な特権、活動、ステージにリンクすることで、脅威を軽減し、一貫したコンプライアンスを確保します。 |
|
アクセスポリシーの決定が断片化されるため、最小特権アクセスの標準に一貫して準拠することが困難または不可能になり、アイデンティティポスチャが弱まり、組織が不必要なリスクにさらされます。 |
一元化されたポリシー管理(高度な自動化と継続的なリスク監視を活用)により、技術スタック全体で最小特権アクセスを維持できます。 |
脅威からの防御に関するその他のステージの詳細については、認証と認証後のセキュリティに対する統一されたアプローチに関するブログをご覧ください。
以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。
