Manoj Srivastava(マノジ・スリバスタバ)氏はBlackpointのチーフテクノロジー&プロダクトオフィサーであり、テクノロジー、プロダクト管理、プロダクトマーケティングを統括している。
サイバーセキュリティ業界は、エンドポイントやシステムが攻撃を受けた際の検知と迅速な対応において、ますます進化している。しかし、検知と対応(xDR)の能力がよりスマートに、より速く、より自動化されていく中でも、攻撃対象領域の中で依然として脆弱なままの部分がある:それは人間だ。
人に焦点を当てたITスタックの層である「アイデンティティ」は、従業員による企業ポリシー違反や攻撃者による認証情報の窃取など、人間に関連する脆弱性を保護するための技術とプロセスを含む。これらは新しい脅威ではない。サイバー攻撃者は常に、システムよりも人間をより攻撃しやすい標的と見なしてきた。しかし複数の理由により、アイデンティティの攻撃対象領域はますます拡大し、複雑化し、保護が難しくなっている。
コロナ禍、リモートワークの傾向、そしてITスタックの多くの部分でクラウドアプリケーションへの依存度が高まったことで、アイデンティティ層は拡大した。しかし、脆弱性はビジネスの自然な進化からも生じる可能性がある—新しい国に拠点を開設する、合併を経験する、スタートアップから本格的な企業へと成長するなど。これらの変化により、誰が企業リソースにアクセスし、それらを使って何をしているかを監視することが難しくなる。問題は、これに対して何ができるかだ。
エンドポイントに使用している広範で自動化された検知・対応機能を、人間の攻撃対象領域にも拡張する必要がある。サイバー防御がデバイスやアプリケーションだけでなく、人間自身の行動も監視しやすくする必要がある。
脅威の内側
人を標的とする脅威は数多くある:フィッシング、ビジネスメール詐欺、本物そっくりの偽ログインページなど。そしてそれらは非常に検出が難しい。例えば、攻撃者が盗んだ認証情報を使ってデータベースにアクセスした場合、通常はアラームが作動しない。有効な認証情報でログインすることに何か異常があるだろうか?このような攻撃は最も成功率が高い傾向にある。ベライゾンのデータ侵害調査レポートによると、2024年の侵害の68%で人的要素が関与していた。
多くの組織は、自らの行動、あるいは行動の欠如により、アイデンティティ層の脆弱性を抱えている。これらには以下が含まれる:
• 孤立したアカウント、従業員が会社を去った後も企業ネットワークやクラウドアプリケーションの認証情報がアクティブなままになっている状態
• 過剰な特権アクセス、ユーザーが自分の仕事に直接関係のないシステムへのアクセス権を持っている状態。これは、可能な限り迅速に作業する少数のユーザーから、より多くの内部統制を必要とする大規模な組織へと進化するスタートアップにとって一般的な問題だ。
• シャドーIT、従業員が企業に承認または管理されていないツールをインストールし、新たな潜在的攻撃経路を作り出す状態
共通点が見えてきただろうか?これらの脆弱性はテクノロジーに関連しているが、最終的には人間の決定と行動に関するものであり、テクノロジーだけでは解決できない。これらの脅威を軽減する唯一の方法は、適切なポリシーと手順を整備することだ。
アイデンティティを保護するには、ユーザーが誰であるか、そして何が「通常の」行動を構成するかを慎重に考える必要がある。そうすれば、テクノロジーを使用して逸脱を検出できる。しかし、従業員のオフボーディング時に常にアカウントを閉鎖する、あるいは職務遂行に必要な最小限のレベルにユーザーアクセスを制限する「最小権限」の原則を適用するなど、適切なプロセスを定義する作業を行っていなければ、テクノロジーは役に立たない。
アイデンティティの保護
適切なポリシーを定義したら、クラウドアイデンティティとエンタイトルメント管理(CIEM)やIT検知・対応(ITDR)プラットフォームなどのテクノロジーを使用してそれらを実施できる。これらやその他のツールは、異常な行動を検出するための詳細なルールを定義するフレームワークを提供する。例えば、従業員や顧客がいない地域、あるいはサイバー攻撃が一般的に発生する地域からのアクセスをブロックするブラックリストを作成できる。または、あるシステムにログインした後すぐに別のシステムに横方向に移動するユーザーなど、不審な行動パターンに対するアラームを設定することもできる。
異なるツールはアイデンティティ攻撃対象領域の異なる部分に焦点を当てているが、それらは同じ基本的な質問をする:適切な人々がアクセス権を持っているか?彼らは適切なレベルのアクセス権を持っているか?彼らは何にアクセスしており、その行動は不審か?これらの質問に答える唯一の方法は、コンテキストを追加することだ。
行動をコンテキスト化し、脅威を評価するために必要なアイデンティティの3つの基本要素は次のとおりだ:
• ユーザーは誰か?長年のアクセス制御はユーザー認証情報を認証し、アクセス権限を確認するが、盗まれた有効な認証情報を使用する攻撃者を検出することはできない。代わりに、各ユーザーのビジネスにおける役割を考慮する必要がある。例えば、CFOからの異常なログインは、CFOがアクセスできる情報の機密性を考慮すると、マーケティング担当者からのログインとは異なる扱いをすべきだ。同様に、そのマーケティング担当者がgitリポジトリにログインしてデータのダウンロードを開始した場合、それはアカウントが乗っ取られた可能性を示している。
• ユーザーはどこにいるか?アクセス要求は企業オフィスから来ているのか?従業員の自宅から?保護されていないWi-Fi接続を使用したカフェから?
• 彼らは何にアクセスしているか?そしてその行動は彼らの役割と場所に合致しているか?
コンテキスト要素を無数の方法で組み合わせて、ポリシーを定義し実施できるはずだ。実際、このようなコンテキストを適用することは、ユーザーが有効な認証情報を使用している場合でも、より詳細な調査が必要かどうかを検出する唯一の信頼できる方法だ。
プラットフォームの構築
アイデンティティ層を保護する方法は知っている。しかし、実際にそれを実行することは、あらゆる規模の組織にとって依然として課題となっている。問題は、アイデンティティがITスタックの一部分に存在するのではなく、すべてのシステムの一部であることだ。したがって、攻撃対象領域を保護するには、複数のアプリケーションやデータストアに分散したコンテキストデータを収集し適用する能力が必要だ。プラットフォームベースのアプローチが必要なのだ。
以前の記事で論じたように、最も重要な新興サイバーセキュリティトレンドは、セキュリティを攻撃対象領域の一部に焦点を当てた個別のツールの集合として扱うことから、よりホリスティックなアプローチへの移行だ。統合プラットフォームを使用することで、組織はxDR、CIEM、エクスポージャー管理などの様々なサイバーセキュリティツールセットを組み合わせ、継続的に情報を共有できる。このモデルはサイバーセキュリティの複数の側面を強化するが、アイデンティティを保護するためには不可欠だ。通常のユーザー行動とビジネスに対する実際の脅威を区別するために必要なすべてのコンテキストを、それが存在する可能性のあるすべての異なる場所から取得する唯一の方法なのだ。
