昨今、オンプレとパブリッククラウドのそれぞれの利点を活かした、ハイブリッド環境の導入が急速に進んでいます。 クラウド導入率が高まり、全侵害のほぼ半数がクラウドに発生源があることから、今後も導入が広がるハイブリッド環境をどのように防御するかが、ビジネスリーダーにとって最優先事項となっています。
ハイブリッド環境の防御における重要なポイントの 1 つは、ID とアクセス制御の効果的な管理です。 ID とアクセスは、ユーザーアクセスを認証して許可するために、フレームワークと制御を提供します。これらを理解することは、ハイブリッド環境で安全な環境を確立する上で重要な要素となります。
リソースがオンプレミスとクラウドに分散しているハイブリッド環境では、 ID の管理が、セキュリティチームにとって大きな課題になることがあります。 本ブログでは、セキュリティチームとビジネスリーダーが、ID とアクセス制御のベストプラクティスと、より高度な脅威検知とインシデント対応機能で、どのようにハイブリッド環境で堅牢なセキュリティを確保するべきか解説します。
クラウドセキュリティにおけるIDとアクセス管理を理解する
IDとアクセスには、組織のデータ基盤内のリソースへのユーザーアクセスを認証承認するために使用されるプロセスが存在するため、ID とアクセスの制御はサイバー攻撃との戦いにおいて不可欠です。制御を強化することで、組織は不正アクセスを防止し、侵害やクラウドに対するランサムウェア攻撃へのリスク軽減が可能となる堅牢なセキュリティフレームワークを確立することができます。ID とアクセス制御により、認証され許可された個人のみが機密情報、システム、リソースにアクセスできるようになります。これにより、組織は最小権限の原則を適用し、ユーザーのアクセスを特定の役割に必要な領域へ限定するという制限をかけることが可能となります。 ユーザー権限に対して細かい制御を維持することは、セキュリティチームが攻撃対象領域を減らし、内部関係者による攻撃、データ侵害、権限昇格を伴う攻撃から保護できることを意味します。デジタル基盤に関しては、組織はオンプレミス、パブリッククラウド、ハイブリッド クラウド環境におけるあらゆる面を考慮する必要があります。
- オンプレミス とは、組織が直接所有し管理する基盤です
- パブリッククラウドでは、サードパーティのクラウドサービスプロバイダー(CSP)がインターネット経由で提供するリソースとサービスを利用します
- ハイブリッド環境は、オンプレミスとパブリッククラウドの両方のコンポーネントを組み合わせて、組織が両方の利点を活用できるようにします
オンプレミスでは、組織が全てのコントロールとカスタマイズ権限を持っていますが、多額の先行投資と継続的なメンテナンスが必要です。 パブリッククラウドは拡張性、柔軟性、費用対効果が魅力的ですが、データプライバシーとコンプライアンスに関する懸念が生じる可能性があります。 ハイブリッド環境は、組織が既存の投資を生かしつつ、特定のワークロードに対してパブリッククラウドの拡張性と柔軟性を利用できるため、バランスをとることが可能で、多くの組織にて広く普及しています。 組織が基盤のセキュリティについて十分な情報に基づいた意思決定を行うには、これらの違いを理解することが重要です。
ハイブリッド環境の ID とアクセス制御の主要コンポーネント
ハイブリッド環境を保護するには、ID とアクセス制御を効果的に管理することが重要です。 そして、堅牢なセキュリティフレームワークを確立するには、いくつかの主要なコンポーネントを考慮する必要があります。
ID 管理システム
ID 管理システムは、ハイブリッド環境でのユーザー ID とアクセス権の管理において極めて重要な役割を果たします。これらのシステムは ID 管理への一元的なアプローチを提供し、組織がユーザーのプロビジョン、認証、デプロビジョンのプロセスを合理化できるようにします。 統合 ID 管理システムを導入すると、組織はパスワードポリシーを適用、そして多要素認証(MFA)を実装し、ハイブリッド環境全体でユーザーライフサイクルイベントを効率的に管理できるようになります。
一元化された ID 管理により、ハイブリッド環境全体で一貫したアクセス制御ポリシーが確保され、不正アクセスやクレデンシャル情報の漏洩のリスクが軽減されます。 また、ユーザー ID管理が簡素化され、セキュリティチームによるユーザーのアクセス権限の可視性と制御力が向上します。 統合 ID 管理システムを導入している組織は、より高いレベルのセキュリティを実現し、ユーザー管理プロセスを合理化することで、業界における固有の規制を確実に遵守できるようになります。
認証メカニズム
認証メカニズムは、ハイブリッド環境のリソースへアクセスするゲートを守る「守衛」の役割を果たしています。 組織は、セキュリティ強化のために、適切な認証方法を慎重に見極めた上で実装へ移る必要があります。 パスワードなどの従来の方法は今でもよく使用されていますが、もはやそれだけでは十分な保護とは見なされません。 デジタル証明書、生体認証、トークンベースの認証などの高度な技術が、より強力なセキュリティ対策を提供します。
ハイブリッド環境で最も効果的な認証メカニズムの 1 つは、多要素認証(MFA)です。 MFAでは、ユーザーは身元を確認するために複数の証拠を提供しなければなりません。 ユーザーが知っていること(パスワードなど)を、ユーザーが所有しているもの(物理トークンなど)またはユーザー自身(生体認証)と組み合わせることで、ハイブリットクラウドで展開されるセキュリティ体制が大幅に向上します。 たとえ 1 つの要素が侵害されたとしても、追加の認証により、不正アクセスに対する追加防御が提供されます。
ハイブリッド環境により強力な認証メカニズムを実装することで、承認されたユーザーのみがリソースにアクセスできるようになり、クレデンシャル情報の盗難や不正なアカウントアクセスのリスクが最小限に抑えられます。 認証メカニズムの実装を考えられている組織へは、セキュリティ要件に沿った認証方法を選択し、使いやすさと保護の適切なバランスを取ることを推奨します。
役割ベースのアクセス制御(RBAC)
ロールベースのアクセス制御(RBAC)は、ハイブリッド環境でのアクセス管理を簡素化するために広く採用されている認証モデルです。 RBAC は、組織内の特定の個人ではなく、事前定義された役割に権限を関連付けます。 このアプローチでは、セキュリティチームはリーダーと協力して、職務責任に基づいた権限を割り当て承認します。 これにより、ユーザーは割り当てられた役割に必要なリソースのみにアクセスが供与されます。
ハイブリッド環境の保護という点では、RBAC はさまざまなプラットフォーム間で一貫したアクセス制御ポリシーを維持するのに役立ち、ユーザー権限管理を簡素化します。 RBAC を実装することで、エラーや見落としの可能性が高く、管理が困難である各ユーザーに個別の権限を割り当てる方法ではなく、役割レベルでアクセスを管理することで、諸経費削減へと繋がります。 細分化された制御は、ハイブリッド環境を展開する上で全体的なセキュリティ体制を脅かす 2 つの問題である、過剰な権限と不正アクセスのリスクを軽減するように設計されています。
IDの脅威検知とインシデント対応 (ITDR)
デジタル IDの数が急激に増加する中、ここぞという機会を狙う攻撃者は、この拡大する領域をサイバー攻撃の主な標的として捉えています。 IDを主とするサイバー脅威の急増により、IDアクセス管理(IAM)、特権アクセス管理 (PAM)、IDガバナンス管理 (IGA) などの従来型ID管理方法だけでは難しい状況となりつつあります。今の時代これらのソリューションだけでは、デジタル ID とマシン ID 両方を標的とした高度化し続けるサイバー脅威から組織を守るには不十分なのです。
増大するリスクに対処し企業を保護するために、現在多くの組織はID脅威の検知と対応 (ITDR) 戦略の組み合わせに注目しています。 ITDRを従来の ID 管理ツールと併用することで、高度なサイバー脅威に対する防御の強化及びリスク軽減を実現させ、セキュリティ体制の強化に繋がります。
ハイブリッド環境におけるIDとアクセス制御の管理
ハイブリッド環境で IDとアクセス制御を管理するには、先回りしたアプローチが必要です。 下記にて、セキュリティチームがビジネスクリティカルなリソースとデータを保護するための堅牢なフレームワークを築くためのベストプラクティスをご紹介します。
最小特権の原則(PoLP)を確立する
最小特権の原則(PoLP)は、ハイブリッド環境など、すべての IT 環境へ適用される基本的なセキュリティ原則です。 この規則では、ユーザーへは職務を遂行するために必要な最小限のアクセス権のみを付与することと規定されています。 PoLP を適用すると、ユーザーは個々で必要なリソース以外にはアクセスできなくなり、不正アクセスや特権の誤用のリスクが軽減されます。
ハイブリッド環境に PoLP を実装するには、組織は定期的なアクセスレビューを実施してユーザーの権限を審査し、現在の役割と責任に適合しているかを確認する必要があります。 また、必要なときに限られた時間だけ権限を付与し、その後取り消すジャストインタイム(JIT)アクセスの実装を検討するのも手です。
継続的な監視と監査を実行する
継続的な監視と監査は、ハイブリッド環境で ID とアクセス制御のセキュリティを維持するために欠かすことはできません。 ユーザーアクティビティの監視は、潜在的なセキュリティインシデントをリアルタイムで検知そして対応し、脅威の特定と軽減に必要な時間を短縮するための第一歩です。
継続的な監視には、ID管理システム、認証システム、アクセス制御メカニズムなどのさまざまなソースからのセキュリティログとイベントの収集と分析などがあります。 これにより、セキュリティアナリストは、異常なログインパターンや不正アクセスの試みなど、ハイブリッド 環境内の異常な動作を特定し、適切な措置を迅速に講じることができます。
監視に加え、IDとアクセス制御の有効性を評価し、それらが規制要件に準拠していることを確認するには、定期的な監査が不可欠です。 監査には、ユーザー権限、アクセスログ、システム構成を見直し、脆弱性や矛盾を特定などがあります。徹底された監査ポリシーを導入することで、組織がセキュリティの欠陥を特定して対処し、業界標準とコンプライアンス規制への順守を実証が可能となります。
より高度なエンドポイント保護と ITDR を組み合わせる
絶え間なく変化の起きている脅威ランドスケープの中で、エンドポイントの検知と対応(EDR)や拡張型検知と対応(XDR)などの高度なセキュリティソリューションを補完する、ID脅威の検出と対応(ITDR)が著しい存在感を見せ始めています。 ITDR は、認証情報、特権、クラウド権限と、それらを管理するシステムを保護し、セキュリティ領域における大きな穴を埋めることに重点を置いています。 ITDR を実装することで、次のことが可能になります。
- クラウド環境の保護
クラウド基盤では権限が無秩序に広がり、管理すべき多数のアプリケーション、コンテナ、サーバーでチームが圧倒される可能性があります。 ITDR ソリューションは、保護領域をクラウド環境に拡張し、攻撃の機会を狙う攻撃者を引き付ける可能性のある危険な権限を可視化します。 - IDを軸とする攻撃の検知と防止
ITDR は、ID ベクトルをターゲットとした攻撃を積極的に探索し、資格情報の盗難、特権悪用の兆候、アクティブダイレクトリ(AD)とその他のシステム上の悪意のあるアクティビティを迅速に特定します。 - 攻撃ライフサイクルの阻止
ITDR ソリューションは、保護レイヤーとして事前に設定されたおとりを展開します。これにより攻撃者の進路を変更させ、攻撃されたシステムを自動的に隔離することで、他のネットワークへの横移動を食い止めます。 - 永続的なサイバーレジリエンスの構築
ITDR は、攻撃プロセスに関する重要なテレメトリを収集するフォレンジックデータ収集においてその価値を証明します。 収集された脅威インテリジェンスにより、技術チームは脆弱なポリシーとプロセスを強化し、長期的なサイバーレジリエンスの強化が可能となります。
まとめ
ハイブリッド環境は、その独特の複雑さと攻撃対象領域の拡大により、サイバー攻撃の標的となることが少なくありません。 潜在的な構成ミス、弱い認証メカニズム、異なるプラットフォーム間の同期の問題を悪用して、攻撃者にとって儲かる攻撃ベクトルとしてハイブリッド環境の注目度が増しています。
世界中の様々な産業に影響を与える容赦ない ID ベースの脅威に直面し、ビジネスリーダー達は、より積極的なアプローチでリスクを軽減する取り組みを強化しています。 ID とアクセスの保護に重点を置くことで、組織は不正アクセスの試みに対してハイブリッド環境の展開を強化し、認証情報への侵害リスクを最小限に抑え、基盤における信頼とセキュリティの土台を確立することができます。
SentinelOne は、ITDRと横移動の検出における豊富な経験を持つ、ITDR分野の主要プレーヤーです。 ハイブリッド環境を保護できる製品についてもっと知りたい方、デモをご希望の方は、お気軽にこちらよりお問い合わせください。