IAMの脅威に対抗するために組織が取るべき5つのステップ：Cybersecurity Dive

多くの組織が資格情報管理や認証のためにアイデンティティーアクセスマネジメントツールを使っている。しかし、これらのツールを完全に信用するのは危険だ。

[Matt Kapko，Cybersecurity Dive]

　データやシステムへのアクセスはビジネスの運営にとって欠かせない一方で、大きなリスクも伴う。ほとんどの組織はアイデンティティーアクセスマネジメントツール（以下、IAM）を使用して、資格情報管理や認証、承認を行っているが、これらのシステムは完全に信頼できるものではない。

　IAMは多くの問題を引き起こす可能性がある。ソフトウェアの脆弱（ぜいじゃく）性につながったり、サイバー犯罪者が複数のシステムやデータにアクセスしやすくなったりする可能性がある。

じゃあどうすればいい？　NSAとCISAがIAMに関するガイドラインを発表

　国家安全保障局（以下、NSA）と米国サイバーセキュリティ・社会基盤安全保障庁（以下、CISA）は2023年3月21日、IAMに関するガイドラインを発表した（注1）。同ガイドラインはシステム管理者がシステムに対する不正なアクセスを防ぐことを支援するものだ。

　ガイドラインの中で両機関は「IAMのシステムはセキュリティの基礎であると同時に、非常に複雑で正しく実装されなければ脆弱性になる。IAMのインフラストラクチャに関するセキュリティの確保は極めて重要だ」と指摘する。パスワードマネジャーやシングルサインオンサービス、多要素認証は全てIAMの一部で、2022年はさまざまな侵害が起きた。

　パスワード管理サービスのLastPassでは、数カ月にわたり攻撃が検出されず（注2）、パスワードマネジャーに保存されていた多くのデータが攻撃された。これは2022年で最も驚くべきセキュリティインシデントの一つだ。

　アクセス管理事業を営むOktaは2022年にフィッシング攻撃に遭い（注3）、「GitHub」のソースコードを盗まれた（注3）（注4）（注5）。広く使われているTwilioの認証サービスでは複数の従業員が攻撃者にだまされて認証情報を提供し、攻撃された（注6）。

　IAMによるアクセスは正当で安全に見える一方、組織が悪意のある活動を検出するのは困難だ。NSAとCISAはだガイドラインの中で「悪意のある攻撃者はリソースにアクセスし、持続的に侵害できる環境を得るためにより高いアクセス権を自らに設定する」と指摘している。

まん延するIAMの脅威に焦点を当てる

　同ガイドラインは、攻撃者がIAMのコントロールを悪用または回避するために頻繁に使用する手法への対策を共有している。

　攻撃者がIAMに対して最も頻繁に使用する手法には以下のものがある。

• 新規アカウント作成
• 元従業員のアカウント管理
• 脆弱性を悪用した認証の偽造
• 代替アクセスポイントの作成または使用
• 正規のユーザーアクセスを悪用
• システムにアクセスし、保存されているIDやパスワードの情報を悪用
• フィッシングやMFAバイパス、クレデンシャルスタッフィング、ソーシャルエンジニアリングによりパスワードを侵害

　連邦当局とワーキンググループの他のメンバーは、IAMの脅威を緩和する5つの技術として以下を挙げている。

1.アイデンティティーの管理

　ユーザーに対するポリシーを一元化し適切なアクセスを割り当てることで、業務に必要なシステムのみにアクセスできるようにする。これらに特権アクセスを管理するツールを組み合わせ、フィッシングやソーシャルエンジニアリング、内部者による脅威および持続的なアクセスを維持するために設計された不正なアカウントの作成などの影響を緩和する。

2.インフラストラクチャの強化

　全ての資産に関する目録を作成し、アクセス権を持つ者を特定する。企業環境にどのような管理体制が存在するかを見極めて持続的なセキュリティギャップを特定し、異常なアクティビティーを検出するためのネットワークトラフィックの基準を開発する。

3.アイデンティティーとシングルサインオンを一致させる

　クラウドベンダーがオンプレミスのリソースやアプリケーション、デバイス、プラットフォームなどの資産にシングルサインオンを介して接続できる能力を把握する。組織によるシングルサインオンの統合でユーザーログインの場所やデバイス、動作を確認できるかどうかを把握する。

4.多要素認証（以下、MFA）の利用

　組織のシングルサインオンソリューションとしてMFAを実装する。MFAのインフラストラクチャに対してテストおよびパッチ適用を行い、組織全体に展開されたMFAのデータを管理する。

5.IAMの監視と監査

　活動に対する基本的な期待値を設定した上でユーザーの行動を監視し、許容できる行動と疑わしい行動を把握する。これにはログインの成功や失敗、通常の勤務時間、アクセスしたシステムおよびダウンロードしたデータ量への監視が含まれる。

　ネットワーク内で横断的に移動する可能性のある攻撃者を検出するために、アプリケーションとシステムの間でアクティビティーを監視し、接続性やデータアクセスを把握する。

　NSAとCISAは「データを流出させる攻撃は少しずつ行われるため、最初の変化は小さいが、持続的な侵害があると忘れないでほしい。許容できるアクティビティーを定める際に、これらの活動を含めないように注意する必要がある」と述べる。

（注1）Identity and Access Management Recommended Best Practices for Administrators（NSA and CISA）
（注2）LastPass breach timeline: How a monthslong cyberattack unraveled（Cybersecurity Dive）
（注3）Okta entangled by Twilio phishing attack（Cybersecurity Dive）
（注4）Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）
（注5）Okta’s GitHub source code stolen, company downplays impact（Cybersecurity Dive）
（注6）Twilio employees duped by text message phishing attack（Cybersecurity Dive）

原文へのリンク