ゼロトラストでCAEPとSSFが必要な理由
このブログはこちらの英語ブログ(2024年4月24日公開)の翻訳、細谷卓によるレビューです。
脅威が進化し、組織の境界がクラウドにまで及ぶ現代のデジタル環境では、強固なセキュリティ体制を維持するには静的な防御メカニズム以上のものが求められます。そこで、「Continuous Access Evaluation Profile(CAEP:継続的アクセス評価プロファイル)」と「Shared Signals Framework(SSF:共有信号フレームワーク)」の出番となります。
先日ロンドンで開催されたGartner Identity & Access Management Summitでは、Oktaエンジニアリングのリードを務めるアプローヴァ・デシュパンデ(Apoorva Deshpande)が、OpenID FoundationのSSFワーキンググループのメンバーとともに、それらのシグナルをゼロトラストアプローチの一部として使用し、テクノロジープラットフォームやデータサイロにまたがる脅威を検出・防止するためのポリシーをOktaで作成する方法を実演しました。
これは、自社のSIEM(Security Information and Event Management)で、すでに実行しているとお考えになったのではないでしょうか?
OpenID FoundationのSSFと、SIEMシステムは、組織のサイバーセキュリティ戦略において全く異なる役割を果たしています。
SIEMシステムは、アナリストがサイバーセキュリティの脅威を検出、分析し、それに対応する上で重要な役割を果たします。アナリストは、ネットワーク、アプリケーション、デバイスのログをSIEMにストリーミングし、既知の不審なアクティビティに関する集約、相関、アラート処理を実行します。
SSFは、アプリケーション間でリスクシグナルを送信、受信、集約する方法であり、自動化されたポリシーベースのアクションの機会を創出します。SSFベースのCAEPイベントにより、アイデンティティの実務担当者は、ユーザーとセッションのリスクに関連するIdPとアプリケーション間のリスクシグナルの交換を構成できます。イベントは依然としてSIEMに記録されますが、検出制御が本格的に作動する前に、CAEPによって保護制御を作動させることができます。
SSFは、信頼できるパートナーとのリアルタイムのコンテキストを可能にし、セキュリティスタックを、ゼロトラストのセキュリティ原則を使用して広範なテクノロジーとプラットフォームにおける安全なアクセスをサポートする一貫したサービスに簡素化します。
SSFとSIEMの主な違いは以下のとおりです。
- 強化された相互運用性と統合性:SSFは、組織のITエコシステム内のさまざまなセキュリティツールやプラットフォーム間の直接的かつリアルタイムなコミュニケーションを促進し、攻撃者がサービス間を水平移動するのを阻止するために継続的なコミュニケーションを実現します。このようなシームレスな統合は、同水準の相互運用性を実現するために複雑な設定と統合作業を必要とするSIEMシステムの一元的ロギングや分析アプローチよりも、効率的な場合があります。
- 標準化されたシグナリング:異なるシステム間でセキュリティシグナルを共有し解釈する方法を標準化することで、SSFはセキュリティ対策の全体的な有効性を高めることができます。SIEMは、分析と相関の面では強力ですが、もともと異種のセキュリティソリューション間の通信プロトコルを標準化したり、合理化したりするものではありません。
- リアルタイムのアダプティブレスポンス: SSFは、検出された脅威や異常に関するシグナルを即座に共有することで、セキュリティソリューションがリアルタイムで脅威に対応できるようにします。これにより、侵害されたエンドポイントを隔離するなど、自動化された即時対応が可能になります。対照的に、SIEMは、検出とアラートには優れているものの、中央処理と分析に依存しているため、自動化されたレスポンスを実行するのが遅くなる可能性があります。
- スケーラビリティと効率性:SSFによるツール間の直接的なシグナル伝達は、SIEMシステムでも一般的な膨大なログデータの集約と処理に関連する複雑さとオーバーヘッドを削減することができます。これは、データの量と速度が従来のSIEMアーキテクチャーを圧倒したり、遅延とコストが発生する多数のコレクターとコネクターを必要としたりするような、高度にダイナミックまたはクラウドネイティブな環境で特に有利です。
- 費用対効果:新興企業や中小企業にとって、SIEMソリューションの導入と保守には、多大なリソースを集中させなければならず、専用のハードウェア、ソフトウェア、トレーニング、人員が必要です。これに対して、クラウドサービスやAPIを活用したSSFのアプローチは、セキュリティの効率と予算を最大限に活用したい組織にとって、より費用対効果の高いソリューションとなる可能性があります。
注目すべき重要な点は、SSFとSIEMは、サイバーセキュリティのエコシステムにおいて異なるニーズに対応しているということです。多くの場合、最も強固なセキュリティ体制は、SSFで、セキュリティインフラのリアルタイム応答と運用効率を強化しつつ、SIEMで、深い分析的洞察、履歴データ分析、コンプライアンスレポートを提供するという、SSFとSIEMの両方の機能を活用することで実現できます。
OktaはSSFとCAEPの相互運用性をどのように推進しているのでしょうか?
当社はアイデンティティ攻撃との戦いにおいて業界をリードするための長期的なコミットメントである「Okta Secure Identity Commitment」を発表しましたが、その柱の1つは、業界水準を向上させることであり、Oktaはセキュリティに対する協調的なアプローチを信条としています。SSFの標準化に積極的に参加し、主要なパートナーとの相互運用性を実証することで、以下のことを目指しています。
- セキュリティの有効性を高める:異なるソリューション間で強化された脅威データを共有することで、企業は脅威をより迅速かつ効果的に検知し、対応できるようになります。
- セキュリティ運用の簡素化:ベンダーのロックインを排除し、データ交換を合理化することで、セキュリティチームの複雑さと運用上のオーバーヘッドを削減します。
- イノベーションの加速化:オープンなエコシステムを促進することで、イノベーションが加速化し、より高度なセキュリティソリューションが開発されます。
アイデンティティ戦略を見直す際に考慮すべき重要ポイントは以下の通りです。。
- 初回アクセス以降のセッションにおけるユーザーリスクを、どのように評価するか?
- セキュリティスタック全体において脅威データを関連付ける際に、どのような課題があるか?
- 新たなアイデンティティの脅威に、いかに迅速かつプロアクティブに対応できるか?
- すべてに対して1つの方法で対処するのではなく、どのようにデータに適した認証方法を適用できるか、また、どのようにアダプティブ認証ワークフローを導入できるのか?
- アイデンティティエコシステムはどの程度オープンか、クローズドか?アプリケーションベンダーはCAEP/SSFをサポートしているか?
以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。