組織がクラウドサービスや自動化プロセスの利用を拡大するにつれ、こうしたデジタル・アイデンティティと秘密情報が急増し、それが原因で重大なセキュリティリスクをもたらすようになる。NHIの重要性の理解と秘密情報の管理は、企業のデータとインフラストラクチャーを保護するために不可欠だ。
管理されていないNHIの高まる脅威
企業によるクラウドの採用は、NHIの急拡大を引き起こした。NHIには、APIキー、サービスアカウント、接続文字列、アクセストークンなどがある。人間のアイデンティティは、集約されたアイデンティティ・アクセス管理システムによって管理されているのが普通なのに対して、NHIには適切な監視がなされていないことがしばしばある。NHIは保管庫、コードリポジトリ、Wiki、あるいはSlackなどのコミュニケーションプラットフォームなど様々な場所に散乱していることが頻繁にある。それだけでなく、NHIは人間のアイデンティティの45倍にものぼる膨大な量をもち、NHIが数々のセキュリティ脆弱性をもたらすこともある。過剰な権限を与えられていながら管理の甘いNHIは、悪人たちに容易に利用され、データ漏洩をはじめとするセキュリティ事象を引き起こす。業界レポートによると、NHIが関連した機密漏洩は、セキュリティ侵害の原因の大部分を占めており、NHIおよび秘密鍵の厳重管理が緊急に必要であることを強調している。
NHIと秘密情報を包括的に管理するための必須要件
NHIと秘密情報の効果的な管理のためには、以下のような活動が有効だ。1)発見と保管管理:組織はシステム内のすべてのNHIと秘密情報を識別する必要がある。その中には、それらのアイディンティがどこで作られ、どこに保管され、どこで使用されているのかの情報が含まれる
2)関連情報の強化:それぞれのNHIには、ビジネス上の位置づけを明記し、トークンを利用するアプリケーション、アクセスされるリソース、所有する人間、許諾された権限などを詳細に記載すべきである
3)リスク分析と体制管理:セキュリティチームは統計的リスク分析を行って、設定の誤り、過剰な権限、コンプライアンス違反などを発見するべきだ。定期的な体制管理を行うことによって、NHIの保管、持ち回り、不要になった際の廃棄などを確実に行うことができる
4)検知と対応:NHIの検知と対応を可能にする高度な能力を持つことによって、組織はNHIの利用を監視し、セキュリティ侵害を示唆する異常な行動を検知することができる
5)シームレスな統合:NHIと秘密情報管理のためのソリューションは、既存の開発・運用ワークフローとシームレスに統合されなくてはならない。これによって、セキュリティ対策が生産性やイノベーションを妨げることがなくなる
