このブログは2021年に掲載されたものです。.
アイデンティティ・セキュリティは認証から始まる。自分が誰であるかを証明することは、組織のセキュリティを実施するための最初のステップであるが、最後のステップにはほど遠い。あまりに多くの組織にとって、認証の後に何が起こるかは大きな盲点である。アクセスはプロビジョニングされる。アカウントは権限を蓄積する。人々は役割を変更したり、退職したりする。そして、誰が、いつ、何に、なぜアクセスすべきかについて、明確で継続的な理解がなければ、ギャップは静かに広がっていく。.
パンデミックはリモートワークを3倍近く増加させ、アクセス要求の大幅な急増につながった。その規模は、ギャップを無視することを難しくした。. ハッカーは、すでに使用されていないVPNアカウントを使ってコロニアル・パイプラインのネットワークに侵入した。. 巧妙な悪用ではなかった。アクセス・ガバナンスの失敗であり、まさにアイデンティティ・ガバナンスと管理(IGA)を防ぐために特別に設計されている。ハイブリッド・ワークがデフォルトになるにつれ、認証後のセキュリティを正しくすることは、もはやオプションではなくなった。.
ハイブリッド・ワークは、人々が働く場所を変えただけではない。組織が守るべきものが変わったのだ。従業員がホームネットワークやコーヒーショップ、共有ワークスペースから企業のリソースにアクセスするようになると、従来のセキュリティ境界は意味をなさなくなる。もはや「この人はネットワーク内にいるのか?“この人が、今、このコンテキストから、このリソースにアクセスすべきか?”ということだ。このシフトは、境界ベースのセキュリティが扱うように設計されていなかった一連の課題をもたらす。.
アクセス・スプロール
パンデミック(世界的大流行)の最中、一夜にしてリモートワークが急増し、それに伴って新たなアクセス要求が殺到した。社員は、VPN、SaaSアプリケーション、クラウドリソース、コラボレーションツールを必要とし、多くの場合、一度にすべてを必要としました。セキュリティ・チームは、ビジネスを継続させるために、アクセスのプロビジョニングを迅速に行った。しかし、迅速にプロビジョニングされたアクセスが慎重にレビューされることはほとんどない。その結果、エンタイトルメントのドリフトが発生する。ユーザー アキュミュレイト セキュリティ・チームがもはや完全に見ることができないシステム全体にわたって、彼らがもはや必要としない許可を与える。.
孤児口座と休眠口座
ドアが開けっ放しになっていても、攻撃者は侵入する必要はない。休眠アカウント、つまり従業員が退職したり役割を変えたりした後もずっと存在する認証情報は、まさにその種の開かれたドアである。コロニアル・パイプラインの情報漏えいは、よく知られている例だ。攻撃者は、もはや使用されていないVPNアカウントを通じてアクセスした。高度な悪用ではなかった。アクセス・ガバナンスの失敗だった。そして、これはユニークとは言い難い。.
第三者および請負業者のアクセス
ハイブリッド・ワークフォースが孤立して運用されることはほとんどない。ベンダー、請負業者、パートナーは、業務を遂行するために社内システムへのアクセスを定期的に必要とする。このアクセス権は通常、必要に応じて付与され、見直されることはほとんどありません。組織は、通常のプロビジョニングとレビューのサイクルから外れたサードパーティ認証情報のロングテールを抱えることになり、まさにゼロトラストが排除するために設計された暗黙の信頼を生み出すことになる。.
横移動のリスク
攻撃者が有効なクレデンシャルを1セット手に入れたら、本当の問題はどこまで行けるかである。アクセス境界が脆弱な環境では、その答えはしばしば「非常に遠い」ということになります。正規のアクセスを使ってネットワークに深く侵入する横方向の移動は、企業侵入で最もよく見られるパターンの1つです。最善の防御は、事後的な検知の改善ではありません。侵害されたアカウントでさえ、本来触れるはずのないシステムに到達できないようにすることだ。.
視認性のギャップ
見えないものを管理することはできない。ハイブリッド環境では、ID データが一箇所に存在することはほとんどない。従業員は、オンプレミス・システム、クラウド・アプリケーション、SaaSツール、インフラ・プラットフォームに対して、多くの場合、異なるディレクトリやアクセス制御を通じて認証を行います。誰が何にアクセスできるかの統一されたビューがなければ、セキュリティ・チームは不完全な情報でアクセスに関する決定を下すことになり、アクセス・レビューは信頼できるコントロールではなく、最善の推測になってしまいます。.
セキュリティとプライバシーのバランス
ハイブリッド環境でセキュリティを正しく確保することは、アクセスを制限するだけでなく、アクセスを可能にすることを意味する。アイデンティティ・ガバナンスのゴールは、すべてをロックダウンすることではなく、本来あるべきことを行っている人たちに摩擦を生じさせることなく、適切な人たちが適切なアクセスを行えるようにすることである。そのバランスを取るには、単に制限を厳しくするだけでなく、ポリシー、自動化、ガバナンスを連携させる必要がある。.
成熟した ID ガバナンス・プログラムは、アクセスの付与、監視、および取り消しの方法に直接セキュリ ティを組み込むことによって、これらの課題に対処する。コア・コンポーネントには以下が含まれる:
- アイデンティティ・ガバナンスと管理(IGA)。. 基盤となるレイヤー。IGAは、誰が何にアクセスすべきかを定義し、プロビジョニングとデプロビジョニングを自動化し、すべてのアクセス決定の監査可能な記録を作成する。.
- 役割ベースのアクセス制御(RBAC)。. 個人の交渉ではなく、職務機能に基づいて権限を割り当てる。RBACは、侵害されたアカウントの爆発半径を制限し、アクセスレビューを大幅に高速化します。.
- 継続的なアクセスレビュー. 定期的な証明書により、現在の資格が現在の職責に合致しているかどうかを検証することで、特権の不履行が負債となる前に発見する。.
- デプロビジョニングの自動化。. 従業員が退職したり、役割を変更したり、オフラインになったりすると、即座にアクセス権が剥奪されるため、コロニアル・パイプラインの情報漏えいを可能にした休眠アカウントのリスクが排除される。.
- 異常検知と行動分析。. ログイン自体が正当なものであったとしても、クレデンシャルの漏洩や内部の脅威を示す可能性のある異常なアクセスパターンを特定する。.
- ゼロ・トラスト・ネットワーク・アクセス(ZTNA)。. ネットワークロケーションに基づく暗黙の信頼を、あらゆるリソースへのアクセスを許可する前に、アイデンティティ、デバイスの健全性、およびコンテキストを継続的に検証することに置き換える。.
成熟したアイデンティティ・ガバナンスおよび管理(IGA)プログラムの構築は、認証後のギャップを理解し、それを解消することから始まる。IGA は、セキュリティを確保しながら生産性を維持するために今日の企業が必要とする認証後のセキュリティを提供する。.
つまり、ハイブリッド業務が要求する規模で、アクセス決定を自動化し、異常を明らかにし、IDプレーンを制御するツールをセキュリティチームに提供することである。.
実際には、次のようになる:
- ペンテスターが企業ネットワーク内にアクセスし、横方向に移動できるようになると何が起こるか、またIGAがそのような動きをどのように制限できるかを理解する。.
- ユーザー中心のアイデンティティがまだ可能性があるかどうか、そしてそれがIGAとどのように整合するかを評価する。.
- ロールベースのアクセス制御を使用して、ユーザー、システム、アプリケーション、およびデータを、ビジネスを減速させることなく保護するのに十分な精度で認証する。.
RSA ID Plusは、クラウド、ハイブリッド、オンプレミス構成など、さまざまな環境でユーザーをサポートできます。. ソリューションの詳細 いただくか、 今すぐID Plusの無料トライアルを開始する.
IGAは、組織がデジタルIDを管理し、システムやデータへのアクセスを制御するために使用する一連のポリシー、プロセス、およびツールである。IGAは、認証にとどまらず、ユーザがネットワーク内に入ったら実際に何をすることが許可されるかを管理する。.
信頼ゼロ IGAは、どのようなユーザーやデバイスも本質的に信頼できないと仮定している。IGAは、最小特権アクセスを強制し、アクセスレビューを自動化し、与えられたIDが与えられたリソースへのアクセスをまだ持つべきかどうかを継続的に評価することによって、これを運用する。.
ハイブリッド・ワークは、組織が管理しなければならないアクセス要求、リモート・エントリ・ポイント、およびエンタイトルメントの組み合わせの数を劇的に増加させる。IGAなしでは、この複雑さが、休眠アカウント、過剰にプロビジョニングされたロール、未レビューのサードパーティアクセスなど、攻撃者が悪用できるギャップを生み出す。.
ラテラルムーブメントとは、攻撃者が侵害された1つのアカウントを使用してネットワークに深く侵入することです。IGAは、厳格なアクセス境界を実施することによってこれを制限し、たとえ1つのアカウントが侵害されたとしても、攻撃者がそのアカウントの許可された範囲外のシステムやデータにアクセスできないようにする。.
