Okta Identity Security Posture ManagementとOkta Workflowsを使って、ローカルアカウントの自動検出と修復
このブログはこちらの英語ブログ(2024年10月14日公開)の機械翻訳です。
Okta Identity Security Posture ManagementとOkta Workflowsを使って、セキュリティチーム向けのソリューション例をご紹介します。
ここで説明する内容は、次の2段階のプロセスに基づいています。
- Okta Identity Security Posture Managementがローカルアカウントを検出し、それらのリスクを相関させ、最も重要なものから優先的に修正します。
- Okta Workflowsが柔軟な事前設定済みのテンプレートとコネクタを使用して自動修正を可能にします。
優先順位付けが重要
セキュリティチームは、毎日複数のツールから何千ものアラートが送られてきて、対応に追われています。ITチームは、セキュリティ上の問題による設定ミスによって作成されたチケットの対応に追われ、本来の業務に支障をきたすリスクにさらされています。
アラートには、その対応による影響、実行可能性、ビジネス上の摩擦リスクがそれぞれ異なります。セキュリティチームは、手動プロセスに頼らざるを得ないことが多々あり、対応が遅れ、リスクが排除される前に攻撃者が侵入してしまう可能性があります。
さらに、下流アプリの問題を調査し、修正するために必要な専門知識や権限が不足しているため、生産性がさらに低下し、時間とリソースが無駄になります。そのため、検出された問題すべてについて、セキュリティチームは優先順位を効果的に決定し、最も重大で対処可能な脆弱性を最初に解決する必要があります。
実例
「Entra ID のローカルアカウントが未使用で、多要素認証(MFA)も設定されておらず、パスワードが古い管理者」という、現実によくある例を考えてみましょう。 ローカルアカウントのうち、未使用の特権ユーザーアカウントで多要素認証(MFA)も設定されておらず、パスワードが古いアカウントは、最も対処が必要であり、リスクも高く、組織を脆弱にする可能性が最も高いものです。
なぜでしょうか? これらについて、さらに詳しく見てみましょう。
- 最も対処しやすい:使用されていないアカウントは、業務への影響を最小限に抑えながら無効化することができます。
- 最もリスクが高い:管理者権限を持つ特権アカウントは、深刻な被害を引き起こす可能性があり、悪用されやすいです。
- 最も脆弱:MFAが設定されておらず、古いパスワードが設定されているアカウントは、攻撃者にとって明確な攻撃経路となります。
対処方法は非常に単純で、2つの選択肢があります。
- リスクの高いユーザーに焦点を当て、ローカルアカウントを直ちに無効にし、特権アクセス権限を削除し、パスワードをリセットすることでリスクを軽減します。
- アクセスを再開すべきかどうかを検討するアクセスレビューキャンペーンを実施するなど、よりシステム的なアプローチを取るか、ローカルアカウントをOktaフェデレーションユーザーアカウントに置き換え、MFAを適用します。
では、Oktaプラットフォームを使用して、このようなアプローチを架空の導入事例でどのように実装できるかを見てみましょう。
導入事例:Okta Identity Security Posture ManagementとOkta Workflowsによる自動検出と修復
架空の事例:ACME社
ACME社の従業員であるAliは、アプリケーション管理者としての役割を持つMicrosoft Entra IDのローカルアカウントを作成しました。3か月前に新しい役割に異動した後、Aliのアカウントは使用されず、脆弱な状態のまま放置されていました。
- シングルサインオンが適用されていない:Aliのアカウントでは、Okta FastPassのようなパスワードレスの方法を利用せず、ユーザー名とパスワードによるログインが許可されていました。
- 中央セキュリティポリシーの欠如:AliのアカウントにはMFAが要求されていませんでした。
- 古い認証情報:パスワードは何ヶ月も更新されていませんでした。
- 特権アクセス:Aliの管理者権限により、機密性の高いユーザーデータにアクセスできるアプリケーションを作成することができました。
これは、アイデンティティセキュリティの観点からは理想的な状況とは言えません。
攻撃者の視点
潜在的な攻撃者は、Aliの管理者権限を利用して、悪意のあるアプリケーションを作成したり、機密データにアクセスしたり、他のユーザーアカウントを侵害したりすることで、Aliのローカルアカウントを悪用し、組織のセキュリティを著しく危険にさらす可能性があります。
ACMEのアイデンティティセキュリティ対策の強化
ACMEのセキュリティチームは、Okta Identity Security Posture Managementを導入しました。Microsoft Entra IDとの統合により、Aliのローカルユーザーアカウント([email protected])を含むアイデンティティインベントリを継続的に更新できるようになりました。また、チームはOkta Identity Security Posture ManagementとOktaコアプラットフォームを構成し、Webhookを使用したOkta Workflows経由で接続するようにしました。
このソリューションは、Aliのアクセス、権限、セキュリティポスチャを関連付け、次のことを確認します。
- このアカウントはローカルアカウントでAliに属している。
- このアカウントは使用されていない。
- MFAはセットアップされていない。
- パスワードは期限切れで流出したパスワードリストに含まれている。
- このアカウントは管理者権限を持っている。
検出されると、「未使用、MFAなし、古いパスワードの管理者」というタイトルのアラートがトリガーされます。
- 「ローカルユーザーの修復」というラベルの付いたイベントフックが自動ワークフローを有効にします。このワークフローは、Entra IDのアリのアカウントを自動的に無効にします。
- これにより、問題が解決され、潜在的なリスクが軽減されます。
このシンプルな例は、Okta Identity Security Posture Managementがリスクの高いユーザーを特定し、優先的に修正を行う能力があることを示しています。また、このソリューションの実行可能な側面と、Okta Platformとの深い統合も示しています。自動修正は、Oktaアプリケーションに限定されるものではありません。当社のカスタマーは、Webhookを使用して独自のソリューションと統合できます。
Okta Secure Identity Commitmentによる取り組み
Okta Identity Security Posture Managementを使用してリスクを検知および相関させ、Okta Workflowsと組み合わせることで自動的な修復を行うことで、セキュリティチームはリスクを効果的かつ迅速に軽減できます。
Okta Identity Security Posture Managementは、アイデンティティ攻撃対策をリードするOkta の長期計画である Okta Secure Identity Commitment の一環です。 当社は、変化し続ける今日の脅威環境においてアイデンティティを保護するために必要な製品とサービスをお客様に提供しています。
私たちは、お客様のアイデンティティセキュリティのポスチャ管理を支援いたします。Okta Identity Security Posture Managementが、お客様のアイデンティティセキュリティ対策と侵害リスクの低減にどのように役立つかについては、担当のプロダクトマネージャーまでお問い合わせください。
以上の内容は、原文(英語)の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。
