この章では
- ロッキード・マーティン社のCyber Kill Chain®のさまざまな段階において、アイデンティティ・ガバナンスがどのようにデータ侵害を検知できるかを学びます
- アイデンティティ・ガバナンスが、データ侵害の防止と軽減にどのように役立つかを理解します
目次
- アイデンティティがセキュリティの中心に
- アイデンティティ・ガバナンスの力
- アイデンティティ・ガバナンスの実践
- アイデンティティ・ガバナンスとクラウド
- 戦略的ロードマップの作成
- 適切なパートナーの選択
アイデンティティ・ガバナンスに関するこれまでの議論はやや抽象的なものでした。 次に、アイデンティティ・ガバナンスが、外部および内部からの攻撃を実際にどのように阻止できるのかを見てみましょう。
データ漏えいの構造
ロッキード・マーティン社のCyber Kill Chain®は、複雑なサイバー攻撃を、段階的に分解する便利な方法を提供しています。 オリジナルのモデルには7つのフェーズが含まれていますが、 アイデンティティ・ガバナンスの視点から、ここでは4つの主要なフェーズに重点を置きます: つまり、偵察、侵入、攻撃、および引き出しです。
ロッキード・マーティン社のウェブサイトで、Intrusion Kill Chainの論文の原文を読むことができます。 同論文が発表されて以来、専門家が多くの最新情報や改訂を提案してきました。 Network World誌の記事にも事例があります: 「サイバーキルチェーン」がアップグレードを必要とする理由。 SailPoint の最高技術責任者であるDarran Rolls氏は、アイデンティティ・ガバナンス向けに調整されたモデルについて次の白書で述べています: データ漏えいの構造。
偵察
偵察の段階において、攻撃者は、組織のネットワーク内で足掛かりを得られる可能性のある脆弱性を探します。 彼らは、デフォルトの管理ユーザー名やパスワードを使用した、Webに接続されたサーバーや、既知の脆弱性を抱えたソフトウェアパッケージなど、技術的な弱点を悪用します。 偵察には、ソーシャルエンジニアリング攻撃で使用できる情報の調査も含まれます: 従業員やビジネスパートナーの電子メールアドレスを検索したり、フィッシングやスピアフィッシング攻撃を行うためにソーシャルメディアサイトを徹底的に調べ、マネージャーや役員に関する情報を見つけたりします。1
侵入
侵入段階において、攻撃者は、発見した弱点を悪用してネットワークに侵入します。 侵入には、デフォルトの認証情報を使用してサーバーにアクセスしたり、従業員のノートパソコンやモバイルデバイスにマルウェアファイルを仕掛けたり、貴重なデータを見つけるために組織のシステムをスキャンするなどの戦術が含まれます。
攻撃
攻撃の段階において、攻撃者は、ネットワーク内での自分の位置を確保し、認証情報を取得して、価値の高いターゲットに到達します。 以下は考えられる典型的な一連のアクションです:
- マルウェアを使用して、デバイスにハッキングツールをダウンロードおよびインストールする
- ネットワーク上のサーバーを見つけてテストし、デフォルトのアカウント名とパスワードがあるかどうかを確認する
- ハッキングされたサーバーでマルウェアを使用し、ActiveDirectoryや組織で使用されているアプリケーションのパスワードに対してブルートフォース攻撃を仕掛ける
- 孤立アカウントを見つけて、その認証情報を取得する
- システム管理者および広範なアクセス権を持つ他のユーザーのアカウントから認証情報を取得する(権限昇格)
- 主要なシステム、アプリケーション、データベース、およびドキュメントリポジトリにアクセスできる新しい管理アカウントを作成する
引き出し
引き出しの段階において、攻撃者は、見つけ出した機密データとファイルをエクスポートします。
アイデンティティ・ガバナンスがデータ侵害を防ぐ方法
アイデンティティ・ガバナンスは、私たちの攻撃モデルの各フェーズで攻撃を早期に検出し、ハッカーの進行を妨げ、さらには侵害の発生を防ぐことで、影響の軽減に役立ちます。 図3-1は、アイデンティティ・ガバナンス機能が各フェーズでどのように機能するかを示しています。
偵察
優れたアイデンティティ・ガバナンスツールと優れた慣行は、Webに接続されたサーバー上の、デフォルトの管理ユーザー名やパスワードを検出して変更し、偵察段階で攻撃者が発見する主要なタイプの弱点を排除します。
侵入
二要素認証のおかげで、攻撃者がユーザー認証情報を取得しても、アプリケーションへのアクセスを防ぐことができます。 二要素認証製品は(第1章で説明したように)アイデンティティ・ガバナンスの範囲外ですが、アイデンティティ・ガバナンスソリューションは、それらがより効果的に機能するようにします。 例えば、アイデンティティ・ガバナンスソリューションは、 「経営幹部がネットワーク外のスマートフォンからログオンする場合は、PINと指紋の両方を要求することで認証を「強化」する」ように、認証ツールについて伝えることができます。
| 偵察 | 侵入 | 攻撃 | 引き出し | |
|---|---|---|---|---|
可視性とインベントリ
|
||||
強力な認証
|
||||
パスワード管理
|
||||
ライフサイクル管理
|
||||
アクセス要求管理
|
||||
データアクセスガバナンス
|
||||
統合されたアイデンティティ・アウェア・セキュリティ
|
図: アイデンティティ・ガバナンス機能がキルチェーン上のアクティビティにマッピングされる方法。
アイデンティティ・ガバナンスソリューションは、アイデンティティとポリシーデータをSIEMおよびセキュリティ分析製品にフィードし、疑わしいアクセス要求を検出およびブロックできるようにします。 この連携により、例えば、カスタマーサービス担当者の認証情報を使用している人物が、エンジニアリング設計のデータベースにアクセスしようとした場合や、テキサスに拠点を置く営業マネージャーが、モルドバからログオンしようとしていると思われる場合に、アラートが生成される可能性があります。
攻撃
アイデンティティ・ガバナンスソリューションは、複雑な攻撃における攻撃段階で、攻撃者が横方向に移動することを防ぐ上で、大きな役割を果たすことができます。
1つの方法は、デフォルトのユーザ名とパスワード、および脆弱なパスワードを検出し、強力なパスワードポリシーの実施を支援することです。 これらの方法なら、一般的なパスワードのリストや辞書、そしてブルートフォース攻撃を使用してパスワードを解読することが、攻撃者にとってはるかに困難になります。 これにより、ネットワーク内で攻撃範囲を拡大する攻撃者の能力が低下します。 また、ユーザーにパスワードの変更を義務付ければ、攻撃者がダークウェブで侵害したり購入したパスワードの使用期間を短くできます。
アイデンティティ・ガバナンスソリューションは、既存の孤立アカウントを識別し、従業員や請負業者が組織を離れるとすぐにアクセスを取り消すことで、新しいアカウントの作成を防ぐことができます。
認証プロセスと分析により、無関係な権限を削除することができ、侵害を受けたアカウントの潜在的な影響を減らすことが可能になります。 これは、1人のシステム管理者が侵害を受けても、攻撃者がデータセンター内のすべてのシステムに直接アクセスできないようにするため、特権ユーザにとっては特に重要です。
アイデンティティ・ガバナンスソリューションは、孤立アカウントからのログオンの試みがあったり、あるユーザーが新しい管理アカウントの作成を突然開始したり、新しいアカウントの作成やパスワードの変更などのアクティビティが異様に急増した場合など、異常が発生した際にフラグを立てることで、進行中の攻撃を検出することもできます。
引き出し
アイデンティティ・ガバナンスソリューションは、攻撃者がデータを盗み出そうとしているかどうかを、SIEM、ネットワークモニタリング、およびセキュリティ分析製品が評価する上でも役立ちます(例:特定の職務または拠点の人が、普段とは違って大量のファイルをエクスポートしたり、頻繁にファイルをエクスポートしていることを特定するなど)。
IDを安全かつ効果的に管理する
第1章では、ハッカーが正当な認証情報を頻繁に悪用していることを示すVerizonのレポートの統計に言及しました。 アイデンティティ・ガバナンスは、ユーザーアクセスにおける最も一般的な脆弱性を排除することで、このリスクを軽減できます。
権限のクリープの停止
アイデンティティ・ガバナンスは、以下の慣行によって引き起こされる権限のクリープを防ぐことができます:
- 「念のため」、必要以上の権限をユーザーに与える
- ユーザーが職務を変更した際に権限の取り消しを怠る
- 1人だけが要求しているにもかかわらず、同じ職務内の全員に新しいアクセス許可を与える(つまり、1回限りのアクセス要求を例外としてではなく、標準として扱っている)
- 特定の拠点の、特定のアプリケーションまたはサーバーのみを担当しているにもかかわらず、IT管理者およびその他の特権ユーザーに、あらゆる地域の、あらゆる種類のアプリケーションおよびサーバーへのアクセスを許可する
権限の数を減らせば、内部関係者が不正を犯したり、サイバー犯罪者やハッカーがデータセンター内を横方向に移動したりする機会が制限されます。
ユーザーが職務を変更したり、組織を離れたときに、孤立アカウントを取り消せる(または少なくともフラグを立てられる)よう、プロビジョニングシステムを構成しましょう。 アカウントとユーザーを分析すれば、同様の職務や責任を持つ他のユーザーよりも多くの権限を有している外れ値を検出することができます。 また、異なる部署や異なる拠点を比較して、他よりも高い割合で権限を付与しているグループを明らかにすることもできます。
職務分離やその他のポリシー違反の特定
職務の分離やその他のポリシー違反は、検出が非常に難しい場合があります。 アイデンティティ・ガバナンスソリューションは、以下のような判断の難しい違反を見つける上で役立ちます:
- 複数のアプリケーションにわたるアクティビティ
- 多くのアカウントグループまたは職務に属することにより、通常と異なる権限の組み合わせを蓄積しているユーザー
- ネスト化されたグループを通じて取得されたアクセス権(例:営業マネージャーは「企業マネージャー」および「営業部門メンバー」のアクセス権を自動的に取得するなど)
臨時の内部関係者の管理
請負業者、仮想チームのプロジェクト作業者、サプライヤー、およびその他の種類のビジネスパートナーなど、 組織が臨時の内部関係者に付与するアクセス権の件数は増加しています。
残念ながら多くの場合、こうしたグループへのアクセスは、計画的に管理されていません。 ITプレスは、契約が終了してから数か月後・数年後に内部システムにアクセスした請負業者や、大企業のネットワークに侵入する手段として、サプライヤーやビジネスパートナーを利用する攻撃者の報告で溢れています。
アイデンティティ・ガバナンスソリューションは、様々な階級における臨時の内部関係者に適したアクセス許可をモデル化するのに役立ちます。また、承認および監視されたプロセスを通じて、アカウントの付与と取り消しを実施することもできます。
さらに、アイデンティティ・ガバナンスソリューションは、60日または90日ごとに請負業者の強制アクセスレビューを実施し、請負業者が業務を終了した際に再認証を義務付け、アクセスが完全に取り消されるようにすることができます。
特権ユーザーの監視
特権ユーザー、特にIT管理者は、ユーザーアカウントの作成やシステム構成の変更など、非常に幅広い権限を持っています。 アイデンティティ・ガバナンスソリューションは、これらのアクションを監視し、特権ユーザーが自分の立場を悪用していることや、彼らの認証情報が盗まれて攻撃の一部として使用されていることを示すフラグを立てることができます。
監査とリスクモデリングによるセキュリティの強化
また、アイデンティティ・ガバナンスの監査とリスクモデリングは、データ侵害を防止し、規制への継続的なコンプライアンスを確保する上でも役割を果たせることに留意する必要があります。 アイデンティティ・ガバナンスの監査とリスクモデリングで以下のことが可能になります:
- 帯域外(許可されたプロセス外)で実行されたアクションにフラグを立てる
- アカウント作成の増加、パスワードの変更、特権アカウントの使用など、悪意のあるアクティビティを示している可能性があるアクティビティの傾向と急増を特定する
- アクセスが最も多いユーザーなど、リスクが最も高い分野を明らかにして、より集中的に監視できるようにする
- 権限の要求、承認、認証のプロセスや、職務とポリシーのモデル化プロセスを強化することで、攻撃者や不正を犯す内部関係者によって悪用される可能性のある弱点を排除する
- 効果的な調査を行っている典型的な攻撃者の事例については、以下を参照してください: オマハのScoularCo社 スピアフィッシング攻撃で1,700万ドルを失う。
You might also be interested in:
SailPointがどのようにあなたの組織に役立てるかをご覧ください。
*必須フィールド