ID管理解説

【クラウドID管理解説】クラウドID管理の「 セキュリティ概要 」

ID管理のセキュリティ「概要」として、
「ID管理におけるセキュリティの重要性」「ID管理ソリューションに求められるセキュリティ要素」「ID管理実装時のセキュリティに関する課題」「ID管理セキュリティ確保のための施策例」について紹介します。

ID管理におけるセキュリティの重要性

リモートアクセスユーザーの増加

サイバー空間におけるセキュリティ重要性意識の高まりにより、ID管理市場も大きな変化を遂げています。

これまで以上に多くのユーザーがリモートでさまざまなアプリケーションにアクセスしているため、リモート接続の「スタッフ」「パートナー」「顧客」のアクセス権に関する詳細な制御が重要となっています。

「シングルサインオン(SSO)ソリューション」や「多要素認証(MFA)ソリューション」などに対するセキュリティ要求も高まっています。

ID管理ソリューションは企業存続に不可欠なセキュリティ基盤

これらのID管理基盤に対して適切なコストを掛け続けない場合は、企業の存続に影響を与えかねないリスクに直結します。

主なリスク

・データ窃盗
・知的財産盗難
・サービスダウンタイム発生
・顧客からの信頼や評判の低下
・インシデント対応コスト発生
・GDPRなどのコンプライアンス規制による高額の罰金発生 など

従来型ID管理ソリューションではセキュリティ不十分

従来型の潜在的セキュリティリスク

従来型ID管理ソリューションには、多くの潜在的セキュリティリスクが存在しています。

多くの従来型ソリューションでは、ゼロトラストセキュリティモデルの基本原則として、「適切なユーザーおよび適切なアクセス権による継続的検証適用」を保証します。

しかし、IDアクセスの「提供」「接続」「制御」のみに焦点を当てたID管理は、「IDセキュリティの始まりの部分のみを管理しているソリューション」ということになります。

広範かつ厳格なセキュリティ確保が必要

ID管理セキュリティは、「初期認証とアクセス制御」を超えて、「可視性確保」「公開設定」「クレデンシャル(ユーザー認証情報)管理」「特権ID管理」「疑わしいアクティビティ検出」など、IDライフサイクルにおいて、最初から最後の詳細部分にまで、広範かつ厳格なセキュリティ確保が求められます。

ID管理ソリューションの高度化

ID管理ソリューションには、さまざまな新しいセキュリティ管理機能が求められているため、多くのID管理ソリューションのセキュリティ機能は高度化を続けています。

■セキュリティリスク探知機能
・エンドポイントに保存されているクレデンシャル(ユーザー認証情報)
・「Active Directory」(AD)の構成不備
・クラウドエンタイトルメントのオーバープロビジョニングに関する重要な洞察 など

■高度な監視機能
・「EDR」(Endpoint Detection and Response)
・「XDR」(Extended Detection and Response)
・「NDR」(Network Detection and Response) など

ID管理ソリューションに求められるセキュリティ要素

一般的な標準機能

優れたID管理ソリューションには、標準機能として多くの機能が搭載されています。

・適応認証機能
・コンテキスト認証機能
・シングルサインオン機能
・多要素認証機能
・IDプロトコルサポート—SAML、OAuth、OIDC
・アクセスポリシー管理機能
・セッション管理機能
・ロギングおよびレポート機能
・クラウドアクセスセキュリティブローカー機能
・エンドポイントセキュリティ機能
・アプリケーション+セキュリティ製品の統合機能—Webアクセスファイアウォール など

可視化機能

クラウドを含むITインフラストラクチャ全体において、「どのユーザーが何にアクセスできるのか?」「そのアクセスにより何を実行できるのか?」について、組織との関係性が適切かどうかを確認し、セキュリティと非セキュリティのスコープを把握できる可視化機能も重要です。

オンボーディング(オフボーディング)自動管理機能

ID管理ソリューションの中には、「ユーザーのオンボーディングとオフボーディング」において、時間経過による変化に対応して、ユーザーアクセス権限を自動設定する機能を提供するソリューションもあります。

この自動管理機能が正しく動作すると、「監査ログ欠落」「特権クリープ」「特権昇格攻撃」「一般的なIDやパスワードの混乱」などの発生を低減できます。

ID管理実装時のセキュリティに関する課題

主導的管理者の設定

企業内にID管理システムを展開する場合、「組織内の誰が、IDおよびアクセスポリシーの開発/制定/実施において主導的な役割を果たすのか?」を決定しておく必要があります。

IDリポジトリビュー

一般的な企業では、多くの「シャドーIT」や「SaaSアプリケーション」が混在しているため、すべてのIDステータスを正確に把握することは困難になっています。

すべてのIDリポジトリを統合的に把握できる「IDリポジトリビュー」を作成し、ID管理範囲を切り分け、すべてのIDステータスを確実に把握しながら運用する必要があります。

最小特権の原則

「最小特権の原則」とは「ユーザーアクセス権を作業実行するための必要最小限アクセス許可に制限する」というコンピュータセキュリティにおける重要な概念です。

最小特権の原則を適用することで、「アプリケーション」「システム」「プロセス」「デバイス」などに関するアクセス権について、許可されたアクティビティを実行するために必要なアクセス許可のみに制限でき、セキュリティを高められるという基本的な考え方を表しています。

特権アクセス管理

スーパーユーザーアカウント(システム管理者など)に付与される特権アクセスの管理は、最悪の場合、システム群が保持する全データを失ってしまう大きなリスクがあるために、ID管理セキュリティにおいて、特に重要な管理対象となります。

ID管理セキュリティ確保のための施策例

概要

あらゆる分野のあらゆる規模の組織において、ID管理は「人間(ユーザー)」「デバイス」「アプリケーション」が複雑に絡み合って機能するため、「セキュリティ管理」および「プライバシー管理」が適切に実装されている必要があります。

①ユーザー

各認証方法の機能性および整合性を維持する必要性

ID管理ソリューションは、「ユーザーID+パスワード」によるシンプルな認証方式でスタートして、「ワンタイムパスワード認証」「多要素認証」「顔認識などの生体認証」などへと進化してきました。

さまざまな認証方式が利用される状態において、各認証方法の機能性および整合性を維持する必要があります。

生体認証の定期的更新

「顔」「静脈」などの「身体的特徴」を利用する認証の場合、身体的変化が発生する可能性に備えて、定期的に更新する必要があります。

「タイピングリズム」などの「行動的特徴」を含む生体認証についても、行動的変化を考慮して、定期的に更新する必要があります。

確実なID停止(削除)

人間が存在しなくなった場合のID停止(削除)を確実にすることが重要です。

亡くなった個人のIDを盗んで詐欺行為を実行するケースが増加してきています。

このようなケースを防ぐために、企業は「リアルタイム動画による本人生存確認」や「アクティビティが一定期間なくなった場合の自動ID停止機能」などにより、確実なID停止管理が必要です。

②デバイス

デバイス自体の信用性「Root of Trust」

「Root of Trust」とは、デバイスのセキュリティ信頼性を確保するための仕組みです。
・設計レベルで安全
・暗号化キーによる安全なブートプロセス
・マルウェア攻撃の影響を受けないようにするための仕組み など

ID管理セキュリティを高めるためには、安全性の高いデバイス選定についても考慮に入れる必要があります。

安全な標準ベーストークンの使用

潜在的セキュリティリスクを軽減し、デバイス整合性を確保するために、「安全な標準ベーストークン」が有効とされています。

「ハードコードされたID+パスワード」や「数千もの個別の公開鍵インフラストラクチャ証明書」などは、セキュリティリスクとなる可能性があります。

③アプリケーション

悪意のあるコードによる不正なバインディング対策

ユーザーが最初の認証後にアプリケーションにアクセスすると、シームレスUXを確保するために事前定義された期間であれば、「Cookie」などを使用して、再認証なしでセッションを確立できます。

しかし、この仕組みを悪用する不正なバインディングが増加しており、アプリケーションセキュリティでの大きなリスクとなっています。

「悪意のあるコード」の場合、「ソフトウェアベースのキーを制限付きアクセスに保持」や「エンドユーザーによる物理アクセスを必要とするハードウェア認証機能を使用」などにより、エンドポイントの侵害によるセッションハイジャックを防げます。

ハッキングAPI対策

企業はAPIを使用してサービスを接続することでデータを交換します。

「不適切に記述されたAPI」もしくは「ハッキングされたAPI」は、データ侵害の主な原因となります。

「提供しているAPIに不具合はないか?」や「利用しているAPIはハッキングされていないか?」などのチェック実施が必要です。

日本企業向けクラウドID管理サービス「Keyspider」とは?

Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。

「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。


参考元サイト