BeyondTrustの最高セキュリティアドバイザーであるMorey J. Haber氏は、25年以上のIT業界経験を持つアイデンティティおよび技術エバンジェリストである。
「衝突」という言葉は破壊と混乱を連想させる。ネットワーク通信に適用されると、IP衝突は同一ネットワーク上の2つのデバイスに同じTCP/IPアドレスが割り当てられ、パケットが正しい資産に転送できなくなる場合に発生する。通信は本質的に破綻する。
衝突がアイデンティティに適用される場合、2人の個人またはマシンが、自身のアイデンティティに関連する矛盾するアカウントを持ち、認証レポートのエラー、メールの不適切な転送や受信、最悪の場合、アカウントが類似しており誤ったものが選択、プロビジョニング、またはワークフローに誤って含まれたために機密情報が漏洩するという事態が発生する。
ほとんどの組織が取り組むべき課題は、アイデンティティ衝突をいかに事前に回避するか、そしてより重要なことに、なぜそれが発生するのかを理解することである。
アイデンティティ衝突が発生する理由
まず、最も単純な形式のアイデンティティ衝突から始めよう:組織内に同じ名前と姓を持つ2人の人物がいる場合だ。組織が成長するにつれ、従業員やビジネスパートナーが増えるほど、この可能性は高まる。そして、明らかな推論として、JohnやSmithのような一般的な名前ではさらに頻繁に発生する。
これが発生し、企業のアイデンティティアカウントの命名規則がイニシャルと名前に基づいている場合、2人の人物の名前が似ていても、アカウントの衝突が発生する可能性がある。例えば、John SmithとJane Smithは、メールアドレスが名前の頭文字と姓で構成されている場合(例:jsmith@company.com)、技術的に同じメールアドレスになる可能性がある。これは2つの固有のアイデンティティに基づく基本的なアカウント衝突を表している。
では、アイデンティティに関してこれはどのように発生するのか?前述したように、2人(またはそれ以上)の人物が同じ名前を持つことがある。何らかの方法で2人を区別するメールアカウントを作成する必要があるが、アプリケーション内で人間が読める形式で表示される場合、John Smithが複数回表示される可能性がある。これがアイデンティティ衝突である。
区別を提供する最も一般的な方法は、ミドルネームのイニシャル、役職、地理的位置、部署、あるいは管理者など、アイデンティティに関するより多くの情報を含めることだ。ソーシャルメディアを利用していて人を探している場合、単純な検索でJohn Smithのページが何ページも表示されるというジレンマを経験したことがあるだろう。
正しい人物を見つけるには、検索パラメータを絞り込む必要がある。企業環境では、アプリケーションやアドレス帳に基づいて必ずしもそれが可能ではなく、単純なミスがアイデンティティ衝突につながる可能性がある。
類似したアイデンティティが運用リスクを生み出す方法
この問題を経験した組織にとって、アイデンティティ衝突を回避し、すべてのアイデンティティが他と競合しない固有のアカウントを持つことを保証するためのいくつかの単純なポリシーと手順がある。
以下を検討してみよう:
明確で区別しやすい命名規則を使用する。
略語、イニシャル、部分的な名前に基づくメールやアカウントの命名規則を使用すると、人々の名前が完全に一致しない場合でも、アカウント衝突の可能性が高まる。新しい環境を構築する場合、あるいは古い環境を刷新する場合は、アカウントにフルネーム(ミドルネームのイニシャルを含む)を使用するか、名前を難読化し、より複雑なパターンに基づいて個人に固有のアカウント名を割り当てることを検討すべきだ。
重複を防ぐために共有アカウントを排除する。
実名に基づいて重複するアカウントとアイデンティティの割り当てが発生する可能性のある共有アカウントを避ける。例えば、企業内に2人のJohn Smithという名前のデータベース管理者がいる場合、両者がアクセスのために同じ共有アカウントを使用していると、フォレンジック調査において環境に混乱をもたらす可能性がある。
従業員間でアカウント名を再利用しない。
これを重複アカウントの問題と考える人もいるかもしれないが、ある従業員が組織を去った後、別の従業員が入社した際に同じアカウント名を再利用すると、問題が悪化する可能性がある。John Smithが組織を去り、その後別のJohn Smithが雇用された場合(そしてjsmith@company.comが新しいメールアドレスとして割り当てられた場合)、以前のJohn Smithのすべてのメール、通信、勧誘が新しい従業員に届くことになる。したがって、古いアイデンティティのアカウントを新しいアイデンティティに再利用しないこと。
衝突を検出し軽減するためのアイデンティティセキュリティツールを使用する。
競合する可能性のあるアイデンティティとアカウントの関係を作成、マッピング、および証明レポートを実行できるアイデンティティセキュリティソリューションの使用を検討する。これらのソリューションの主な目的は、すべてのアカウントを適切なアイデンティティにマッピングし、不適切な使用、アクセス、またはアカウントの類似性によって発生する可能性のあるセキュリティリスク、衝突、または影響範囲を特定することである。
従業員にアイデンティティ衝突を認識し回避するよう訓練する。
サイバーセキュリティにおけるすべての問題と脅威には、リスクを最小限に抑えるための適切なトレーニングが必要である。アイデンティティ衝突も例外ではない。サイバーセキュリティトレーニングには、内部、外部、および重複が存在する可能性がある場合のアイデンティティ衝突の回避方法を含めるべきだ。アイデンティティ衝突の最も一般的な攻撃ベクトルは、名前が類似している、十分に近い、またはチームの別のメンバーや外部の組織からなりすましたフィッシングキャンペーンである。
例えば、john.smith@company.comとjohn.smith@company.comは同じではない。これを基本的なサイバーセキュリティトレーニングと考える人もいるかもしれないが、なりすましメールアドレスが頻繁に使用され、アドレス帳に追加され、転送や返信で誤って使用されたり、環境内で広がり、脅威として識別されるのではなく通常のものとなった場合、アイデンティティ衝突が発生する可能性がある。
アイデンティティ衝突:避けられないが防止可能
アイデンティティ衝突は新しいものではない。その変種はサイバーセキュリティコミュニティ全体でさまざまな名前を持っている。重複アカウント、なりすましメールアドレス、さらにはアイデンティティアカウント関係の欠陥も、それぞれ固有のリスクに基づいて特定できる。しかし、2人の人物が名前、関連するアカウント、類似したアカウント、またはなりすましアカウントによって混同される可能性がある場合、アイデンティティ衝突が発生する可能性がある。
既存の環境でこの競合を回避することは難しい場合があるが、問題を認識することが解決の半分である。2人のユーザーが同時に同じメールアドレスを持つことがないのと同様に、ビジネスモデルに基づいてこれらを回避するためのポリシーを開発することが重要である。それは単に起こるべきではないのだ。
