アイデンティティのセキュリティリスクを特定し、修復するOkta Identity Security Posture Management
このブログはこちらの英語ブログ(2024年12月16日公開)の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。
攻撃への開かれた扉
アイデンティティを基盤とした攻撃は増加する脅威であり、すべての組織は自らの保護に責任を負っています。
ここでいう「アイデンティティセキュリティ」とは何を意味するのでしょうか? ご自宅にドアと鍵があるように、アイデンティティセキュリティはクラウドや SaaS資産を保護します。 つまり、組織の資産の外部境界線です。 アイデンティティセキュリティとは、誰が何にアクセスするかを制御し、すべての環境が組織のポリシーを満たしていることを確認することを意味します。
アイデンティティセキュリティのリスクを低減することは、組織のオンライン上の最重要資産を守るための中心的な戦略となるべきです。 調査によると、昨年の企業への攻撃の80%は、何らかの形で侵害された認証情報が関与していました。 つまり、アイデンティティは組織の新しい境界線であり、サイバーセキュリティの脅威の焦点となっているのです。
大げさな話?それとも潜在的な脅威?
アイデンティティを狙った攻撃は、内部と外部の両方から行われる可能性があります。 その理解の一助として、アイデンティティを狙ったリスクの防止の重要性を示す2つの事例をご紹介します。
外部からの攻撃:流出したパスワードによる認証
外部の攻撃者が、貴社にアクセスできるクラウドアイデンティティプロバイダー(IdP)アカウントの漏洩したパスワードを入手したと仮定します。このアカウントは古く、数年前に誤って貴社のオンプレミスのActive DirectoryからIdPに同期されたものです。クラウドIdPで使用されたことは一度もありません。貴社は責任を持って多要素認証(MFA)ポリシーを適用していました。昨年、貴社はすべてのアカウントにMFAによる認証を義務付けました。
しかし、攻撃者は流出した認証情報を使用して最初の認証ステップをパスします。すると、IdPは認証要素の登録を求めます。ユーザーは仮想番号SMS要素を登録します。これでアカウントにアクセスできるようになり、すべての特権が手に入ります。以下のストーリーでは、その結果を見ることができます。
なんとひどいことでしょう。このストーリーでは、アイデンティティセキュリティの脅威の組み合わせにより、アカウントが侵害されました。
- アカウントの乱立:単一のソースを検証することなく、複数のIdPやSaaSアプリでアカウントを管理すると、不要な古いアカウント、古いパスワード、または不要なクラウド費用が発生するリスクが高まります。アイデンティティのエントロピーが増大すると、組織内での情報漏洩リスクも高まります。
- 古いアカウント:使用されていないアカウントは、店舗で言えば放置されたドアのようなものです。そのドアは必要ないのですか?それなら壁に変えましょう。
- パスワードの衛生管理:流出したパスワードは速やかに変更する。すべてのアカウントとそれらの露出を把握し、侵害が発生した場合は認証情報の変更を要求できるようにしておくべきです。
- 認証要素の登録ポリシー:強力な認証要素を使用し、認証要素を未承認の人物が登録できないようにすべきです。
Okta Identity Security Posture Managementを使用して、これらのリスクを防止および軽減します。このブログの後半では、アイデンティティのジャングルを管理する方法について説明します。
内部攻撃:解雇された従業員
このような内部からの脅威を想像してみてください。組織内の誰かが組織を攻撃するのです。例えば、会社に損害を与えようとする解雇された従業員や、企業スパイとして報酬を得ている人物などが考えられます。さまざまな報告書によると、60~80%の組織が少なくとも1回は内部攻撃に遭っていると推定されているため、この脅威に対処することは不可欠です。
悪意のある人物が組織のアカウントにアクセスできると仮定します。その人物は、そのアカウントを使って何ができるでしょうか?そのアカウントに割り当てられたすべての操作を行うことができます。
- SSO を使用して他のアカウントに認証
- 組織のリポジトリからの読み取り
- 本番環境のS3内のデータの破損
- 顧客のPIIの漏洩
内部脅威は、外部からの攻撃と同様に、最も機密性の高いデータを漏洩させ、本番環境に損害を与える可能性があります。
そのリスクを最小限に抑えるには、最小特権ベースのアクセスポリシーを適用する必要があります。従業員は、知る必要があるもののみにアクセスすべきです。これにより、侵害が発生した場合の被害範囲を縮小できます。財務チームがGitHubにアクセスする必要はないでしょうし、研究開発チームがSalesforceにアクセスする必要もないでしょう。 グループのメンバーシップに応じてアクセス権限を割り当て、グループがアクセス権限を使用しているかどうかを追跡します(アクセス権限の期限切れを把握し、取り消すことができます)。 解雇した従業員のすべてのアカウントを無効化することも、内部からの脅威を防ぐための重要なステップです。
アイデンティティセキュリティ:新たな無法地帯?
アイデンティティセキュリティは、「信頼はするが、確認はする」という格言に基づいています。すべてを管理下に置いているつもりでも、セキュリティは決して完全に密閉されたものではなく、攻撃者は攻撃の抜け穴を見つけ出します。一部のアプリケーションやアカウントは、アイデンティティセキュリティ戦略に準拠していないかもしれませんが、そのことに気づいていないかもしれません。
Okta Identity Security Posture Managementは、意図した状態と実際の状態が異なるという意外な状況を明らかにするのに役立ちます。 ポリシーに違反する使用事例を、良いもの、悪いもの、そして醜いものの3つのカテゴリーに分類します。
良い
まずは明るい面を見てみましょう。標準ポリシーに該当しないアカウントがあるかもしれません。 緊急用アカウントは、設定ミスによりテナント外でロックされた場合のみに使用されます。 このようなアカウントはポリシーに従う必要はなく、複雑で強固なパスワードとリカバリコードのみでアクセスできるようにすべきです。 また、サービスアカウントには、多少異なるポリシーが必要な場合もあります。
悪い
一方で、設定を怠ったアプリケーションに遭遇することもあります。これは、すべてのアプリケーションにアイデンティティとアクセス管理(IAM)に関する注意事項があるためです。また、従業員は人間であり、近道を試みることもあります。時には、エンジニアや管理者が、自分たちの負担を軽減するためにAWS IAMアカウントを保持するなど、システムを「だます」こともあります。これらのケースは、ルールを破る人々がいることが知られている、または知られている状況です。
酷い
次に、酷い、あるいは最悪のシナリオとして、アプリケーションが特定のURL、あるいはサイドドアを残し、SSOがあってもユーザーが直接アプリに認証できる状態になっていることがあります。 このような場合、SSOバイパスが作成され、アイデンティティ攻撃のリスクが高まります。 別のケースとしては、「オフィスIP」のIP範囲が大きすぎて、北米のすべてのサーバーにさらされている場合が考えられます。
このようなケースをすべて追跡し、認識した上で、最も重大なリスクをどのように修復するかを決定する必要があります。
IdPと最重要アプリケーションの間では、追跡と管理が必要なデータの量が膨大です。セキュリティチームがすべてのアプリケーションにアクセスできるわけではなく、また、すべてのアプリケーションを読み取れるわけではないため、組織間の摩擦が生じるのは当然です。また、各アプリケーションには、固有のデフォルト認証ポリシーがリスクをもたらすかどうか、または明示的に表示されない意外な特権があるかどうかなど、注意すべき点を確認する必要があります。
より良い方法:Okta Identity Security Posture Management
Okta Identity Security Posture Managementは、アイデンティティのセキュリティリスクを特定し、比類ない可視性、優先順位付けされた修正、アイデンティティセキュリティの継続的な検証を提供します。
Okta Identity Security Posture Managementにより、以下が可能になります。
- 実際のMFAの状況を把握:意図したとおりに機能していない既存のMFAポリシーを確認し、強力な認証要素と脆弱な認証要素の使用状況を追跡できます。
- 退職した従業員によるアクティブなアクセスを検出:当社の「部分的なオフボード」検出機能を使用して、内部脅威を回避します。
- アカウントを分類:当社のAIベースの分類機能を使用して、NHIを1か所で追跡し、サービスアカウントのセキュリティ状態を適切な処理で制御します。
- 単一の場所でアイデンティティを監視:インベントリを使用して、単一のインベントリでアカウント、グループ、アクセス、アプリケーションを確認します。クエリでフィルタリングし、単一のコンソールでさまざまなアプリケーションにわたって回答を見つけます。
Okta Identity Security Posture Managementは、インフラストラクチャに接続し、実行可能な結果に焦点を当てた、アイデンティティに重点を置いた詳細なポスチャ分析を提供するように設計されています。
ソリューションの主な機能は次のとおりです。
- シンプルな統合:Okta Identity Security Posture Managementは、クラウドプロバイダーからデータを収集します。 読み取り専用でエージェントレスの安全な統合により、各クラウドプロバイダーへの接続は数分で完了します。 固有の用語や注意事項を、統合インベントリビューでアクセス可能な共通言語の表形式に変換します。
- アカウントの分類:各アカウントの性質を分類することで、適切な分類を検出し、誤検出を回避できます。
- 人物の関連付け:アカウント間の相関関係を見つけ、同一人物としてクラスター化します。これにより、部分的な雇用終了が発生した場合に、その発見に役立ちます。
- 自動SSOパスと実際のMFA評価:SSO相関関係により、パス外認証(SSOバイパス)を見つけ出します。この機能により、各アカウントの実際のMFAステータスも表示できます。
- 問題エンジン:アイデンティティインベントリ内のすべてのデータは、当社のセキュリティ検出エンジンに送られ、最も重大なアイデンティティセキュリティの問題が検出されます。
アイデンティティはセキュリティです。次のインターネットベースの攻撃を防ぐために、今日から対策を講じることができます。Okta Identity Security Posture Managementの詳細はこちら。
以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。
