クラウドID管理における「 ID管理 ベストプラクティス 」として、「対応すべきサイバーセキュリティ」「ID管理ベストプラクティス10選」について紹介します。企業はID管理ベストプラクティスを再評価することで、さらにセキュリティレベルを向上させる必要性にせまられています。
コンテンツ
「ID管理ベストプラクティス」とは
目的
IDおよびアクセス管理(IAM)のベストプラクティスでは『ネットワークユーザーに付与されるアクセス権限を明確に定義および監視し、許可されたユーザーにのみ適切にアクセス権限が付与されるようにすること』を目的としています。
ID管理ソリューションは、ゲートキーパーとして、施設に入ろうとしている人または対象に応じて、入室を許可(拒否)し、指定エリア内に存在するすべての訪問者の動きを注意深く監視します。
企業内でID管理ベストプラクティスを開始および実施することにより、サイバー犯罪者から、ビジネス上の「利益」「情報資産」を効果的に保護できます。
ID管理ベストプラクティスに投資して実施するためには、組織内の「ITインフラストラクチャ」「システム」「資産」の完全な概要を把握して、既存の潜在的脅威についてすべての要素を綿密に監視できるようにする必要があります。
構成要素
ID管理ベストプラクティスは、主に次の要素で構成されます。
・特定システムまたはネットワーク内のユーザー識別
・特定ユーザーの役割の識別
・個人に対する役割の追加/更新/削除
・個人に対する的確な権限割り当て
・ユーザーまたはグループのアクセス確立および権限割り当て
・システムまたはネットワーク全体のすべての情報セキュリティ対策
メリット
企業と顧客が高度に相互接続される現状を考えると、ID管理ソリューションへの投資は、すべての企業とって不可欠です。
データ漏洩に対する予測と準備を怠り、データ漏洩インシデントが発生してしまった場合、ID管理ベストプラクティスに投資するコストよりも、遥かに莫大な損害となる可能性があります。
ID管理ソリューションに投資しベストプラクティスを実装することで、潜在的な内部および外部のデータ侵害のリスクを軽減できます。企業はシステムを手動で監視する場合と比較して、ネットワークやシステムについて大幅に効率的に管理できます。
「ID管理ベストプラクティス」によって対応すべきサイバーセキュリティ
コロナ禍の影響によりリモートワークが普及したことは、「ID管理」と「サイバーセキュリティ」の関係において、セキュリティリスクが増大する結果となりました。
社外ネットワークに潜む脅威は、急激なリモートワーク移行の隙を突き、ランサムウェア攻撃被害が増加しました。
企業は、IDおよびアクセス管理のベストプラクティスを再評価することで、さらにセキュリティレベルを向上させる必要性にせまられています。
フィッシング攻撃
企業従業員に対するサイバーセキュリティ教育が促進されたことにより、以前より、従業員はフィッシング戦術に気付くようになってきてはいます。
しかし、サイバー攻撃者はそれを上回るように巧妙化したフィッシング攻撃を繰り返しています。
クローンフィッシング攻撃
クローンフィッシング攻撃は、巧妙化したフィッシング攻撃の1パターンです。この攻撃スタイルには、基本的なフィッシング詐欺の要素がすべて含まれています。
クローンフィッシング攻撃では、特定の要求でユーザー(組織)を装うのではなく、信頼できる組織によって以前に送信された正当な電子メールをコピーすることで、ユーザーをだまします。
攻撃者はリンク操作を使用して元の電子メールに含まれている実際のリンクを置き換え、被害者を詐欺サイトにリダイレクトして、ユーザーをだまして実際のサイトで使用する資格情報を入力させます。
BYOD(Bring Your OwnDevice)
BYOD(Bring Your OwnDevice)とは、従業員が自分の「ノートPC」「スマートフォン」「タブレット」などを使用して、「会社の電子メール」や「仕事のドキュメント」などにアクセスし、選択したデバイスで作業できるようにするポリシーを指します。
リモートワークへの移行により、強制的に加速されたBYOD環境が作り出されました。
企業は従業員が自分のデバイスで作業できるようにすることで、大幅なコスト削減を享受できますが、しかし一方で、セキュリティシステムへの負担を増大させています。
さまざまな種類のデバイスを追跡し厳格に管理することは困難であり、多くのデータ漏洩インシデントなどが報告されています。
課題①デバイス紛失
デバイス紛失は、BYODセキュリティにおいて最大の脅威となる可能性があります。
悪意のある人物にデバイスが渡った場合、簡単に侵入され、ID管理関連情報がマイニングされる危険があります。
課題②マルウェア感染
マルウェアはPCに感染することは知られてきましたが、スマートフォン(タブレット)に感染するマルウェアが存在していることは、まだそれほど認知されていません。
スパイ目的で作成されている可能性があるアプリをインストールすることに注意を払わない従業員も数多くいます。
また、サポートが終了した古いモバイルOSを利用し続けることも、大きなリスクとなります。
課題③安全ではないネットワークへの接続
従業員が無料Wi-Fiを使用して仕事にログインすると、企業データが危険にさらされます。
空港やカフェなどの公共スペースにあるような無料Wi-Fiには、トラップが仕掛けられている場合があるため、安全ではないインターネットネットワークと認識すべきです。
攻撃者は、従業員デバイスと企業システムの間で送受信されるトラフィックを傍受し、それを分析して企業システムに侵入するリスクがあります。
クラウド脆弱性
レガシーデータセンターに関連する多様性とコストのために、企業は機密データをレガシーデータセンターからクラウドに急速にシフトしています。
『企業のワークロードの83%がクラウド上に存在している』というデータもあります。
しかし「クラウドならば安全」ということはなく、クラウドにも脆弱性課題があります。
クラウドセキュリティ脆弱性の例
・アカウント乗っ取り
・DDoS攻撃
・安全ではないインターフェース(API)
・悪意のある内部脅威
・構成の誤り
・サプライチェーンリスク など
IoT脆弱性
IoTの採用により、企業は相互接続されたテクノロジーへの依存度を高めています。
その結果、攻撃者はIoTインフラストラクチャの脆弱性を悪用し、DDoSやランサムウェアなどのセキュリティ脅威が一般的になりつつあります。
電子医療記録
病院や医療施設が患者の記録をデジタル化することで、電子医療記録は急速にサイバー犯罪者の大きな標的になりつつあります。
攻撃者はセキュリティ防御の複数の欠陥を突いて医療情報を奪取します。
プライバシー情報の根幹とも言える医療記録情報が盗まれ悪用されることは、非常に大きな脅威となります。
ID管理ベストプラクティス10選
ID管理ソリューションの有効性を最大化するために活用できる「10のベストプラクティス」を紹介します。
①ゴールを明確にする
ID管理システム構築の発端
ID管理ソリューションの選定開始は、通常、組織の問題点発覚がきっかけとなります。
・ITエコシステムの複雑さが増している
・過度の「アクセス要求」「パスワードリセット要求」による負荷増大
・コンプライアンス監査での違反発覚
・過剰なユーザー権限が発見される など
しかし、重大インシデントが発生する前に「データ侵害が組織に影響を与える危険性」に対するアクションを開始できるのは幸運でもあります。
ゴールの明確化
ID管理システム構築における最初のステップは、「最終的にどこに行きたいのか?」という目標を明確にイメージすることです。
各種テクノロジーソフトウェアは、特定の問題セットに応じて、作業プロセスの自動化や高速化に役立ちますが、企業が直面しているすべての問題を解決できるわけではありません。
企業の理想的なプロセスを掘り下げて学んだルールとポリシーを実装することによってのみ、ID管理ソリューションは望ましい最終結果に到達できます。
②スモールスタート
ID管理システムの最初の実装時に、大規模システムの一部である小規模システムから開始すると、タイムラインを短く集中させることができ、短期的成果も獲得できます。
このような「短いスプリント」のプロジェクトサイクルは、「追加モジュール統合」や「ID管理システムの拡張統合」などの、将来の作業を支援します。
ID管理システムは、最初の実装が完了した後も、組織とともに進化し成長し続ける必要があります。
③統合可視性を高める
監視対象は複雑な巨大システム
システムやネットワークの領域は非常に複雑になる場合があり、膨大な数の「サーバ」「ポータル」「データベース」「アプリケーション」「ユーザー」などが存在しています。
これらすべてが同時に稼働し、それぞれのタスクが実行されるため、すべてのコンポーネントを監視することは困難です。
これに加えて、すべてのネットワークユーザーを適切に監視し、資格のあるディレクトリやファイルにのみにアクセスを許可する責任があります。
統合可視性
作業規模を考慮すると「統合可視性」が重要となります。
・「ID管理」と「サインオンポリシー」の両方を一元化
・調和のとれた監査済ユーザーエクスペリエンスを提供
・割り当てられたすべてのネットワークマネージャーの統合可視性を高める など
④ゼロトラストセキュリティアプローチ
ゼロトラストセキュリティアプローチとは
ゼロトラストは、ID管理ランドスケープに該当するネットワークセキュリティモデルです。
ゼロトラストの哲学は『すべてのユーザーとアプリケーションは、ネットワークの内外を問わず、信頼されるべきではない』という考え方にあります。
「ユーザーが正しいパスワードを入力できた」という理由だけで、そのユーザーに対して全幅の信頼を与えてはいけません。
企業は情報資産を守るために、これまで以上に、すべてのユーザーを疑い続けるスタンスが必要です。
検証レイヤーの追加実装
企業システムは「多くのスタッフが企業ネットワークの外部で作業」「複数のデバイスとアプリケーションを使用」「オンプレミスとSaaSアプリケーションが混在」など、企業ネットワークの内外が複雑に絡み合う状態になっています。
複数のポートやプラットフォームを介してアクセスされる場合に、システムまたはネットワークがユーザーアクセス権限をさらに検証できるようにする手段を実装する必要があります。
セキュリティ障壁である検証レイヤーの追加により、サイバー犯罪者による不正侵入を防げる可能性を高めることができます。
⑤最小特権原則の実装
「最小特権の原則」とは、『ユーザーに必要最小限のアクセス権限のみを割り当てる』という考え方です。
「ロールベースアクセス制御」や「アクセス領域の最小化」は、内部および外部のデータ侵害のリスクを軽減する効果的な方法です。
「ユーザーおよびグループのIDセキュリティ強化」「ビジネスプロセスの定義および強化」「サイバーセキュリティ全体の可視性向上」などに役立ちます。
⑥オンボーディング(オフボーディング)プロセスの自動化
「オンボーディングプロセス」と「オフボーディング」を自動化することにより、ITチームは、「一般的に共有されているディレクトリ」や「特定用途で使用するためのディレクトリ」などについて、新入社員が受け取る必要のあるアクセス権限の明確なフレームワークを作成して実装できます。
このベストプラクティスは「すべてのユーザーに社内情報ネットワーク全体へのアクセスを提供する」「ユーザーの部門異動時に即座に権限変更ができる」「組織内からのデータ悪用を適切に制御できる」などの有用性があります。
ITチームは管理負荷を低減できるようになり、セキュリティ脅威の防止にさらに専念できます。
⑦多要素認証
脆弱なパスワードセキュリティ
パスワードによる保護は、個人情報や企業情報の保全のためには脆弱すぎることが何度も示されています。
「弱くて推測しやすいパスワード設定」「パスワード共有」「すべてのデバイスで同じパスワードを使用する」などのセキュリティに対する知見や意識が低いスタッフの存在が、ハッカーによるデータ侵害を引き起こしています。
多要素認証によるセキュリティレイヤーの追加
企業が実行できるID管理ベストプラクティスとして「多要素認証システムの使用」があります。
多要素認証は、ユーザーがシステムに資格情報を入力する時に、二重に安全であることを保証する追加の検証方法です。
多要素認証などのアクセス管理ツールを実装することにより、アプリケーションやデバイスへのログオン時、セキュリティの追加レイヤーを作成できます。
機密情報が保存されているディレクトリへのアクセス要求ページに、より堅牢なレイヤーを追加することで、潜在的なサイバーセキュリティ攻撃を阻止できる可能性を高めることができます。
多要素認証の例
・追加パスコード認証—チャレンジ/レスポンス方式、SMSメッセージングシステム
・バイオメトリクス認証—顔認識、指紋認識
・セキュリティトークン認証
・セキュリティカード認証 など
⑧高リスクシステムの特定と管理
高リスク(レガシー)システムが存在しているリスク
エンタープライズ企業や中小企業では、安全性とセキュリティの更新が行われなくなったレガシーシステムを引き続き利用しています。
これらのパッチが適用されていないレガシーシステムを使用して保存されている機密情報には、サイバー犯罪者がレガシーの抜け穴を使用してネットワークに侵入しアクセスする危険性があります。
ITセキュリティを管轄するITチームは、稼働しているすべてのシステムのリストを作成することで、セキュリティ状況を確認し、潜在的なセキュリティ脅威を洗い出しておく必要があります。
危険性が判明したレガシーシステムに対しては、セキュリティが維持されている代替可能システムへの移行を検討しなければいけません。
レガシーシステム監視強化によるリスク低減
レガシーシステムの応急手当的セキュリティ強化方法として、レガシーシステムに対する監視強化でリスクを低減する方法があります。
レガシーシステムへの「ログイン画面」や「入出力ポート」などに、セキュリティレイヤーを追加することで、ある程度のセキュリティ向上を図れます。
クラウド移行によるリスク低減
歴史的に、企業はセキュリティ脅威を恐れて、オンプレミスからクラウドへの移行について消極的でした。
しかし、クラウドサービスプロバイダーは、セキュリティに関して多大な人的リソースやコストを投入することで、オンプレミスでは対応できない豊富なセキュリティ機能を提供するようになりました。
昨今において、セキュリティレベルが最高水準に達していないオンプレミスサーバを利用し続けることは、クラウドベースよりもリスクが高い状況になってきています。
レガシーシステムを廃止しクラウドサービスへ切り替えることで、「パッチ管理」「セグメンテーション」「暗号化」「統合」などのアクセス要件を通じてセキュリティを強化できます。
⑨孤立アカウントの監視と破棄
サイバー犯罪者が狙うエントリポイント
サイバー犯罪者は、企業内ネットワークにアクセスするために悪用できる脆弱なエントリポイントを執拗に探しています。
認識されている弱点の1つとして「孤立(休止状態)アカウント」があります。
孤立アカウントは監視対象としての重要度が低めとなっている場合が多く、サイバー犯罪者に利用されると、企業情報を盗み出すための金鉱になります。
アカウントの非アクティブ化
ユーザーの「退社」や「グループ会社への異動」などによって発生する孤立アカウントは、対応する処理と同時に、非アクティブ化を実施し、孤立アカウントが存在し続けることがないように対応する必要があります。
⑩企業要件に合致するソリューションの選択
すべての企業には「経営規模」「従業員人数」「ユーザーアクセス要件」「ビジネス目標」などに応じて、さまざまなITセキュリティニーズがあります。また、時間の経過により、ニーズは変化し続けます。
そのタイミングのニーズに適合するようにID管理ソリューションを選定し、ニーズの変化に合わせて、セキュリティポリシーを変更し、ID管理ソリューションのカスタマイズを継続していく必要があります。
そのため、ID管理ソリューションの初期導入の際には、「セキュリティ強度」と共に「十分な拡張性」にも留意が必要です。
日本企業向けクラウドID管理サービス「Keyspider」とは?
Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。
「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。
参考元サイト
- →blog.rsisecurity.com →IDENTITY AND ACCESS MANAGEMENT BEST PRACTICES
- →sailpoint.com →7 Best Practices for Identity Access Management
- →loginradius.com →9 Identity and Access Management Best Practices for 2021
- →varonis.com →The Complete Guide to Phishing Attacks
- →nightfall.ai →3 BYOD Security Risks and Challenges