fbpx

分散Webアプリケーションファイアウォールによるクラウドアプリケーションの保護

概要

ITセキュリティに対する責任は、ネットワークとITインフラストラクチャから、アプリケーションとソフトウェアアーキテクチャ自体に移行しています。IT組織は、今日の進歩するセキュリティの脅威に対処するだけでなく、このシフトの結果として次のような新しい課題にも対応する必要があります。

  • 分散アプリケーションのセキュリティ
  • クラウド技術との統合
  • 大規模でダイナミックな成長
  • 複数のアプリケーションとリスクプロファイル
  • 急速に変化する脅威とL7攻撃
  • 既存のセキュリティプロセスおよびワークフローとの相互作用

Web Application Firewallは、これらの課題すべてに対処できるように設計されています。

前書き

オンラインビジネスの大幅な成長と規模の拡大に伴い、新しい製品やサービスを展開するというプレッシャーが続いています。つまり、コードの更新と変更が頻繁に行われ、ソフトウェア開発がさらに複雑になります。現代のアプリケーションは、既成のパッケージ、社内サービス、サードパーティのコンポーネントやフレームワークなどのビルディングブロックから作成され、これらすべてに個別の抜け穴や脆弱性があります。

複雑なアプリケーションは、特に開発者が期限を守り、顧客データを保護するというプレッシャーにさらされている場合、より簡単なターゲットです。アプリケーションおよびセキュリティチームは、今日の動的IT環境におけるアプリケーションの脆弱性を解決することが困難であることに気付き、アプリケーションのベンダーは、キャンペーンの締め切りや製品のリリースサイクルに対応できるほど迅速にパッチを提供できない場合があります。

アプリケーションセキュリティの終わりのない物語

毎年、何千もの新しい脆弱性がWebアプリケーションで報告されています。非常に多くの新しい脆弱性があるため、セキュリティの分析とテストが複雑なため、多くの企業がアプリケーションのセキュリティ保護、維持、強化が困難であることは不思議ではありません。

アプリケーションベンダーも同様の問題を抱えています。自社のアプリケーションでサポートされている新しい脆弱性を特定するために注意を払う必要があるだけでなく、カスタム統合プロジェクトが自社または他のアプリケーションのセキュリティも侵害するかどうかを判断する必要があります。彼らがセキュリティの抜け穴を特定して解決するには、パッチやソリューションを市場に投入するためにかなりの時間とリソースを費やす必要があります。

一部のアプリケーションの脆弱性はサードパーティのコンポーネントまたはOSモジュールのパッチですばやく解決できますが、本番システムで解決するのにロジックの欠陥やデータリークに数か月かかることも珍しくありません。一部の既製のアプリケーションは、アプリケーションベンダーの優先順位と認識されるリスクに応じて、1年以上パッチが適用されない可能性があります。

Web Application Firewall(WAF)は、既製のソリューションとサードパーティのフレームワークを含む複雑なカスタムアプリケーションの両方で、アプリケーションレベルのセキュリティのためのスケーラブルなソリューションです。これを使用して、オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を検査およびブロックしながら、送信トラフィックをフィルタリングしてクレジットカードデータをマスクし、PCI-DSSおよびHIPAAへの準拠を支援できます。発信データのフィルタリング。

クラウドアプリケーションは幅広い脅威にさらされている

セキュリティ予算は、以前はネットワークファイアウォールとウイルス対策ソリューションに焦点を当てていました。ただし、最近では、攻撃の主な標的がネットワークレイヤーからアプリケーションレイヤーに移行しました。これは、クラウドアプリケーションで使用できるオペレーティングシステムとサービスインターフェイスが強化され、プロファイルが縮小されているためです。その結果、強化されたネットワーク境界の背後にある実際のサーバーよりも、アプリケーションロジックまたはアプリケーションフレームワークをターゲットにする方がはるかに簡単になりました。多くのアプリケーションは社内で作成されますが、セキュリティが開発者の中核スキルになることはめったになく、アプリケーションのライフサイクル全体を通じてセキュリティの問題につながる可能性があります。

さらに、クラウドコンピューティングの幅広い採用により、アプリケーションがインフラストラクチャ、プラットフォーム、ソフトウェアの外部ホスティングプロバイダーを活用するにつれて、攻撃ベクトルが増加しています。包括的なパッチ管理システムを確立することは重要ですが、実際にはこのアプローチは非常に困難でコストがかかることがあります。典型的なWebアプリケーションは、オープンWebフレームワークに依存するサードパーティの開発者によってオープンソースコンポーネントに基づいて構築されています。相互運用性と開発期間の短縮は実現しますが、セキュリティの脆弱性を解決するために複雑なパッチ管理が犠牲になります。オープンソースコードの1つのコンポーネントの欠陥は、それが使用される各アプリケーション全体で使用されるインスタンスごとにパッチを適用する必要があります。動的なインフラストラクチャとアプリケーションフレームワークを備えたパブリッククラウド環境では、これを管理することが非常に困難になる可能性があります。

クラウドの複雑さ

クラウド専用に開発された大規模アプリケーションは、アクセス速度とスケーラビリティに重点を置いた設計で、非常に複雑になることがよくあります。多くのクラウドアプリケーションは、オープンAPIを介してサードパーティ開発に柔軟性を提供します。たとえば、Salesforceです。com、Googleドキュメント、Facebook、Twitterはすべて、カスタムアプリケーションからのアクセスを許可するために公開されたAPIの良い例です。これらの「サービスとして」のアプリケーションは、現在2つの方法で開発されています。(1)オンプレミスアプリケーションをクラウドに移行すること、および(2)アプリケーションをクラウドで直接開発および操作することです。

内部の企業ネットワークからパブリッククラウドインフラストラクチャに移行するアプリケーションは、保護されたソフトウェアを処理するように設計されていない外部の脅威にさらすリスクを伴います。一般的なセキュリティの脅威には、インジェクション攻撃、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなどがあります。

攻撃者にとって重要な「ホットスポット」であるパラメーターの検証、セッション管理、アクセス制御など、クラウドでのWebアプリケーションの開発には、多くのセキュリティ上の課題があります。開発者がアプリケーションセキュリティの設計経験が限られている場合、セキュリティの問題があるアプリケーションを作成する可能性が高くなります。

OWASPトップ10-Webアプリケーションのリスク管理

Open Web Application Security ProjectであるOWASPは、Webアプリケーションセキュリティの主要なオープンソースコミュニティグループであり、ビジネスポリシーからアプリケーションの脆弱性に至るまで、オンラインアプリケーションに対する最も一般的なセキュリティの課題を示す「トップ10」年次レポートを定期的に発行しています。

たとえば、2013年7月に発行された最新の「トップ10」レポートでは、OWASPは、インジェクションの欠陥が最も高いリスクとして上昇したと述べています。高額のデータ漏洩のリスクがあるため、この種の脆弱性は顧客や企業の情報への不正なアクセスを迅速に引き起こす可能性があります。

このセキュリティの課題は、ビジネスポリシーに照らして入力を検証し、基になるアプリケーションアーキテクチャとは独立した方法でデータ漏洩の疑いがある発信データをスクリーニングできるソリューションの必要性を強調しています。

また、攻撃者が毎年新しいツールや手法を使用して、悪用される可能性のある新しいギャップや抜け穴を特定することは役に立ちません。したがって、ソリューションは、変化するリスクの優先順位に適応するのに十分な俊敏性と、何百万もの顧客とトランザクションを処理する高スループットのWebアプリケーションに対する大規模な攻撃を処理するのに十分に堅牢である必要があります。

従来のWebアプリケーションファイアウォールでは不十分な理由

Webアプリケーションファイアウォール(WAF)およびその他のセキュリティソリューションは、通常、ハードウェアアプライアンスに限定されます。専用のハードウェアボックスでは、単一のセキュリティポリシーメカニズム内で複数レベルの委任管理が許可されないため、クラウドインフラストラクチャに深刻なボトルネックが生じる可能性があります。その結果、従来のネットワークハードウェアに加えて、不要なスペースとリソースを占有する専用のWAFアプライアンス(クライアントアプリケーションごとに1つ)をラックに搭載する必要がある場合があります。その結果、セキュリティは仮想化環境の効率に対する障壁となり、このコストは顧客に転嫁されるため、より多くのアプリケーションをクラウドに移行することが難しくなります。

クラウドでは、インフラストラクチャとサービスが顧客間で共有されます。つまり、クライアントアプリケーションとビジネスユニットの多くが1セットのハードウェアアプライアンスを共有している可能性があります。各アプリケーションには、ポリシー設定、ユースケース、および管理施行要件の固有のレイヤーが必要であるため、セキュリティの維持は非常に複雑になります。たとえば、主要なエンタープライズまたはクラウドプロバイダーには、数千のクライアントアプリケーションがあり、それぞれに可変のポリシー設定があります。このような場合、アプリケーションポリシーとそれらのそれぞれのフィルター設定を管理する必要があります。

理想的な世界では、仮想およびクラウドアーキテクチャの課題に対応できるようにアプリケーションをゼロから設計し、セキュリティ対策を直接統合することで、現在のクラウドアプリケーションアーキテクチャの主要な問題を解決します。それまでは、パブリッククラウドコンピューティングの潜在的かつ経済的なモデルを最大限に活用するには、従来のWebアプリケーションファイアウォールアプライアンスの代替が必要です。

分散Web アプリケーションファイアウォールによるクラウドセキュリティ

クラウド内のWebアプリケーションのセキュリティは、スケーラブルで柔軟性があり、仮想であり、管理が容易である必要があります。以下は、ソリューションで探すべき主要な機能です。

大規模なスケーラビリティ

分散型WAFは、CPU、コンピューター、サーバーラック、およびデータセンターの境界を越えて動的に拡張でき、個別のハードウェアフォームファクターに限定されることなく、個々のアプリケーションの要求を満たすようにカスタマイズできる必要があります。リソース消費は最小限で、検出と強制のスループットに合わせてスケーリングする必要があります。クラウドにはあらゆるサイズと形状があり、アプリケーションのセキュリティプラットフォームは変化する需要に柔軟に対応できる必要があります。

クロスプラットフォームの移植性

データセンターを進化させて変換するときは、さまざまな従来のテクノロジーと仮想テクノロジーを使用するため、セキュリティ戦略は混合環境に対応する必要があります。既存のネットワークへの影響を最小限に抑えながら、既存のシステムと統合できる仮想ソフトウェアアプライアンス、プラグイン、SaaS、またはソリューションを検討してください。

分散管理と委任管理

Webベースのユーザーインターフェイスでは、セキュリティポリシーを管理するためのアクセスを管理者および顧客に委任する必要があります。構成は、保護対象の各アプリケーションに合わせて調整する必要があります。これにより、単一の中央ホストによって定義されるのではなく、アプリケーションごとにさらに細かい設定が可能になります。ルールセットの構成はシンプルで、セットアップウィザードでサポートされている必要があります。統計、ロギング、レポートは直感的で、他のシステムにシームレスに統合する必要があります。さまざまなポリシー適用スキームを効果的に管理できるように、複数管理者権限を利用可能かつ柔軟にする必要があります。あなたは、コア保護のセットを探す必要のための政策を委任する能力を個々のクライアントとアプリケーション。

検出と保護

アプリケーションの要求と応答に、ブラック、ホワイト、グレーのリストを使用して、セキュリティの強力な基盤が必要です。また、セキュリティ管理者の承認なしに新しいポリシーがアクティブ化されないように、検出専用モードで新しいルールセットをテストおよび調整できることも重要です。検出専用のルールセットが安定している場合にのみ、それをクラウドまたはデータセンター内の選択されたアプリケーションにコミットできます。これにより、セキュリティ管理者は、既存のポリシーの施行を犠牲にすることなく新しい階層化ルールセットをテストしながら、ポリシー変更の結果を予測することができます。特に大規模なクラウドアプリケーションでは、誤検知や防御の弱体化を回避することが不可欠です。

自動化された学習とルールセットの推奨事項により、セキュリティチームがポリシーを管理しやすくなり、各ルールセットのアクティブ化と非アクティブ化を完全に制御できます。このレベルの制御がないと、正当なトラフィックがブロックされ、ポリシー設定が侵害される可能性があります。

アプリケーションのシールド

動的なクラウドインフラストラクチャでアプリケーションを強化するには、プロアクティブなセキュリティ機能が不可欠です。検出は、今日のWebアプリケーションのセキュリティには十分ではありません。透過的で安全なセッション管理、URL暗号化、フォームフィールド仮想化などの機能により、アプリケーションの開発とデプロイメントの時間を節約しながら、攻撃に対する強力な抑止力が提供されます。セッション管理、URL暗号化、フォームフィールド仮想化は、アプリケーション自体ではなくebアプリケーションファイアウォールで行われるため、これらの機能は効果的です。

アプリケーションを1つの管理スキーマに統合するのに役立つ認証フレームワークも望ましいです。これにより、アプリケーションの前で認証を処理し、別のセキュリティレイヤーを追加できます。すべてのアプリケーションを専用の権限管理機能で統合することにより、ポリシーの管理を容易にすることができます。

既存のテクノロジーとの統合

ネットワークとアプリケーションのセキュリティの両方でベンダーロックインを回避します。インフラストラクチャまたはアプリケーションを拡張するソリューションは、既存のテクノロジーやビジネスプロセスとシームレスに接続する必要があります。可能な限り最高の保護を作成するには、セキュリティ技術を階層化する必要があるため、分散Webアプリケーションファイアウォールは、セキュリティインシデントおよびイベント管理システム(SIEM)と自由に通信する必要があります。

Web Application Firewall

Web Application Firewall(WAF)は、これらのベストプラクティスをサポートするように設計された純粋なソフトウェアWebアプリケーションファイアウォールです。モジュラー構造のため、クラウドコンピューティング環境に非常に簡単にデプロイでき、アプリケーションレベルのセキュリティのためのスケーラブルなソリューションになります。オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を検査およびブロックしながら、送信トラフィックをフィルタリングしてクレジットカードデータをマスクできます。ソフトウェアは、3つのスケーラブルなコンポーネントで構成されています。

  1. 執行者
  2. 決定者
  3. 管理インターフェース

執行者

エンフォーサは小さなコンポーネントまたはプラグインであり、あらゆる種類のデバイスにインストールできます。デバイスは、Webサーバーやプロキシ(ApacheやMicrosoft IISなど)にすることも、ネットワークファイアウォールやソフトウェアロードバランサーに統合することも、アプリケーション配信コントローラー(ADC)にすることもできます。エンフォーサは、要求データと応答データをDeciderと呼ばれるコンポーネントに送信し、必要に応じて要求と応答を変更します。エンフォーサは、Webアプリケーションファイアウォールがデータを分析してポリシーを実施するためのアダプタです。

決定者

ポリシーエンジンは、エンフォーサモジュールからのデータをチェックし、各リクエストもしくはレスポンスの管理方法を決定します。独自のアーキテクチャにより、1つから多数のCPUコアまでのスケーリングが可能で、水平方向のスケーリングも可能です。決定者はソリューションの計算集中型の部分であり、決定者のワークロードはその背後にあるWebインフラストラクチャの負荷に依存します。ユーザーとアプリケーションがより多くのトラフィックを生成するにつれて、決定者はより多くのCPUリソースを要求します。

管理インターフェース

管理システムを単一のサーバーとしてデプロイするか、完全に分散化してデプロイするかを選択できます。クラスターインストールでは、すべてのクラスターノードを使用して、アプリケーションとそのポリシーを管理できます。この分散型アーキテクチャはノードの障害に対して回復力があり、セキュリティ管理者のグループが個々のアプリケーションポリシーに取り組みながら、詳細な中央監視とアラート機能を提供できます。

統合されたADCの実装

統合されたADC展開では、WAFはサーバーアプライアンス、または仮想またはクラウドインフラストラクチャのVMのいずれかに展開できます。EnforcerとDecidersは、単一のプラットフォームとして管理されるTraffic Managerパッケージ内に共存します。管理GUは、標準を介してアクセスされるトラフィックマネージャコンソールです。

PaaSとSaaSの実装

サービスとしてのソフトウェア(SaaS)は、シンクライアント(通常は標準のWebブラウザー)を介して仮想化アプリケーションへのユーザーアクセスを提供します。ユーザーにとっての利点は、プログラムを所有することの頭痛の種なしにソフトウェアにアクセスできることです。スケーリングとリソース、そしてパッチとアップグレードはすべて処理されます。SaaSアプリケーションは通常、ユーザーごと、使用ごとに課金されます。

サービスとしてのプラットフォーム(PaaS)は、カスタムデータベースを構築するための仮想データベース、ストレージ、プログラミングモデルを顧客に提供します。このサービスは、プラットフォームの背後にあるスケーラブルなリソースを提供し、顧客がアプリケーションの存続期間を通じて成長できるようにします。あらゆる規模の企業にとって効果的なソリューションであり、多くの場合、使用モデルに基づいて課金されます。

共有クラウド(PaaSおよびSaaS)環境では、ロードバランサーとWebサーバーからの多くのエンフォーサープラグインが、別々のVMに展開されたDecider サービスと通信できます。このDeciderサービスの最初のVMが使用可能なCPU リソースの80%に達すると、クラウドの別のインスタンス上の新しいVM が自動的にプロビジョニングされ、起動されてDeciderクラスターに追加されます。Deciderサービスのクラスター全体のCPU使用率が40%を下回ると、Deciserインスタンスがクラスターから自動的に削除され、リソースがクラウドに解放されます。

IaaSの実装

サービスとしてのインフラストラクチャ(IaaS)では、大規模なリソースにアクセスして、完全な仮想ネットワークを構築および管理できます。アプリケーションのワークロードは時間の経過とともに変化するので、顧客はニーズに応じて仮想リソースをコミッションおよびデコミッションできます。顧客は、幅広いインフラストラクチャコンポーネントとサービスレベルアグリーメントからアプリケーション要件を定義し、インフラストラクチャの使用コストをサービス要件に合わせて選択します。

セキュア仮想Webアプリケーションファイアウォールは、IaaSクラウドに同様にデプロイできます。各顧客は、顧客間で共有されない3つのモジュールすべてのプライベートインスタンスを持つことができます。以前と同様に、多くのインスタンスをクラスター化して、より大きなトラフィック需要に対応するためにスケールアップできます。クラウドプロバイダーは、クラウドインフラストラクチャ内で自動スケーリングを提供して、個々のアプリケーションのライフサイクルを追跡することもできます。

大規模アプリケーション

パブリッククラウドに導入された非常に大きなアプリケーションの場合、分散型アプリケーションファイアウォールは、非常に高いトラフィックレベルに動的にスケーリングし、パブリックに面するアプリケーションの変化するトランザクションの要求に対応する必要があります。たとえば、仮想Web アプリケーションファイアウォールは、Amazon WebサービスやMicrosoft Azureグローバルデータセンターでホストされているような分散型クラウドアーキテクチャにデプロイできます。

ゼロトラストワールドでの安全なアクセス

BYODおよびIoTエンドポイントの流入は、ハイブリッドITへの転換とモビリティの向上と相まって、セキュリティの専門家が侵害されたエンドポイントのリスクを制限するタスクを複雑にしました。

続きを読む

ゼロトラストアーキテクチャの検討- 米国の公共部門およびその先の将来を見据えたアプローチ

概要

サイバーセキュリティのトレンドに歩調を合わせれば、近年「信頼度ゼロ」という言葉が頻繁に増えてきていることは間違いありません。この用語は、ForresterのアナリストであるJohn Kindervagによって約20年前に初めて造られ、それから数年で一般化されましたが、ITネットワークをより安全に保護するための方法論を指します。

セキュリティの専門家は、時代遅れで効果のない城と堀のネットワークセキュリティアプローチから、最小特権アクセスとネットワークセグメンテーションに基づくモデルにシフトする必要性を認識しているため、ゼロ信頼が流行語になっています。

しかし、それはキャッチフレーズ以上のものです。これは、従来の境界防御に依存するだけでは、ネットワークとデータを保護するのにもはや不十分であることを示しています。インサイダーの脅威に対する認識の高まりとその現実を組み合わせると、ネットワークの城を安全に保つために堀だけに頼ることはできなくなります。

この計算は期限切れです。2019年のレポートによると、昨年のサイバー侵害による世界経済の損失は1.5兆ドルに上ります。2021年までに、これらのコストは推定6兆ドルに急増する可能性があります。しかし、リスクよりもリスクの方が大きいです。(ランサムウェアやその他の脅威ベクトルを介して)米国の公共部門の標的がサイバー犯罪サイトにますます設定されているため、ダウンタイムのリスクと、機密または運用上重要なデータ損失も考慮すべき重要な要素です。

今日のゼロトラスト時代では、ネットワークの外部と内部の両方にいる誰もがサイバーセキュリティに潜在的なリスクをもたらします。そのため、米国の公共部門の一部であるかどうかにかかわらず、すべての組織がデータとシステムを適切に保護するセーフガードを設定することが不可欠です。

ゼロトラストに向けた進化

サイバーセキュリティが企業や政府機関にとって同様に重要な優先事項となって以来数十年、私たちは情報セキュリティ戦略の必要な進化を見てきました。何年もの間、多層防御データ保護ツールがサイバー保護の原則を支配してきました。ただし、データ保護および情報セキュリティ業界は、ゼロトラストアーキテクチャを利用し、データを自己保護するという概念を模索するアプローチにますます移行しています。

境界防御が不十分であることが判明

初期の頃、情報セキュリティ業界は完全に城と堀のアプローチによって導かれるサイバー保護ソリューションを構築しました。組織とそのITスタッフが安全なファイアウォールを介してネットワーク城の周りに深い堀を掘った場合、彼らは悪意のある人物が機密情報にアクセスするのを防ぐことができると考えました。しかし、時間の経過とともに、境界セキュリティを強化する取り組みは、「もぐらたたき」のゲームになりました。サイバー攻撃が一貫違反やファイアウォール回避、IT専門家は城と堀アプローチの限界を認識しました。

内向きシフト

業界の考え方が進化するにつれて、ツールも進化しました。米国の公共部門を含む組織は、ファイアウォールをネットワーク境界内の脅威を根絶するために設計された新しいツールと組み合わせ始めました。資産全体の脆弱性を特定し、定期的なシステムアップデートとアプリケーションパッチの急増を通じてそれらの脆弱性を管理するソリューションです。同じ頃、ArcSightやSplunkなどの企業は、セキュリティ情報およびイベント管理(SIEM)と、ネットワークユーザーの行動に関する洞察を提供するログ分析製品のマーケティングを開始しました。

次のステップは、データとシステムにアクセスするユーザーが、本当の自分であることを確認することです。多要素認証(MFA)などのID /人事管理ツール、およびネットワークマイクロセグメンテーションプラクティスは、組織がより強力なネットワークセキュリティを実装し、攻撃対象を減らすのに役立ちました。

決して信頼せず、常に検証:将来を保証するゼロ・トラスト

サイバー保護の考え方とツールのこの進化の中で、ゼロトラストアーキテクチャの採用と、「決して信頼せず、常に検証する」というその創設の原則が急上昇しています。その変化を補完するものとして、データを自己保護できるようにするソリューションへの関心が高まっています。

右の図は、防御ツール/メソッドの同心円のレイヤーが、最も重要な資産であるデータにますます近づいているため、撤退中のセキュリティ態勢を示しています。この防御姿勢とは対照的に、自己保護データの概念(誰がデータにアクセスする必要があるかを理解し、自動的にアクセスできないように自分自身を保護できるデータ)は、特に次のように、ゼロトラストアーキテクチャ内で牽引力と実際のアプリケーションを獲得しています。サイバー保護業界は、革新的なデータ暗号化とアクセスモデル、さらに人工知能/機械学習を模索しています。

ゼロ・トラストと米国の公共部門

近年、米国の公共部門はゼロトラストへの関心の高まりと、政府の機密データをより安全に保護するためのアーキテクチャの有用性を示しています。その関心は具体的な方法で具体化し始めています。たとえば、2019年9月、米国国立標準技術研究所(NIST)は、タイトルの概念の定義、原則、および「コア論理コンポーネント」を検討する「ゼロトラストアーキテクチャ」というタイトルのドラフト版を発行しました。

新しいNISTの出版物に加えて、国防総省の2019年のデジタル近代化戦略は、政府機関におけるゼロトラストの重要性の高まりも示しています。このドキュメントでは、ゼロトラストを「データ侵害を阻止する目的でアーキテクチャ全体にセキュリティを組み込むサイバーセキュリティ戦略」としています。このデータ中心のセキュリティモデルは、信頼できる、または信頼できないネットワーク、デバイス、ペルソナ、またはプロセスの概念を排除し、(協調が追加された)最小特権アクセスの概念の下で認証および承認ポリシーを有効にするマルチ属性ベースの信頼レベルに移行します。

ゼロトラストコンセプトの米国の公共部門の実装が成長するにつれて、それはより全体的な意味を帯び始めています。かつてネットワークセキュリティツールのみに焦点を当てたアーキテクチャであったものが、今や企業のサイバーセキュリティの姿勢、実践、およびポリシーのより広い範囲にわたって検討、解釈、および適用され始めています。たとえば、NISTドラフトの草案では、データを囲むネットワークセグメントではなく、データ自体(およびその他の重要な企業資産)のセキュリティに特に重点が置かれています。

比較的新しいものですが、ゼロトラストについてのこのより包括的な考え方は、コンセプトの当初の目的に完全に適合しています。それは、戦術だけでなく、サイバーセキュリティ戦略に根本的な変化を起こすことです。デジタルとフィジカルの両方で、内部の多数のセキュリティエントリポイント全体で信頼を検証(および再検証)する必要がある世界で、セキュリティ専門家はこの用語の幅広い有用性を認識しているため、ゼロトラストの傘がさらに拡大する可能性があります。

ゼロトラストを導入するための5つのフレーミングステップ

いくつかの履歴、コンテキスト、およびいくつかのサイバーセキュリティ流行語が武器に含まれているので、組織のゼロトラストアーキテクチャの実装について真剣に取り組む時が来ました。これらの5つのフレーミングステップを念頭に置いて、VPN等からゼロトラストへの移行の開始をできるだけスムーズで管理しやすいものにしてください。

1.在庫を確認する

つまり、サイバーインフラストラクチャのインベントリです。これは困難に聞こえるかもしれませんが、ゼロ信頼を実装するための最初の最も重要なステップです。到達範囲を完全に理解していない場合、コンピューティング環境をどのように保護できますか?

企業全体の環境におけるネットワーク、システム、デバイス、およびユーザーの包括的なインベントリを作成します。ユーザーとデバイスがネットワークで果たす役割のタイプと、ユーザーがアクセスする必要があるデータの種類を、最小特権のアクセス原則を指針として使用して決定します。

2.増分変更に焦点を合わせる

ゼロトラストを実装することは、完全に一歩先を行くものではなく、総入れ替えの作業です。ゼロからコンピューティング環境を構築する場合(その場合、ゼロトラストの原則は最初からガイドする必要があります)を除いて、包括的なゼロトラストアーキテクチャを一気に展開することは期待できません。完全な移行が実現するまで、ゼロ信頼の原則をレガシーの原則と組み合わせる必要があります。

この移行を容易にするために、まずゼロトラストツールが既存のセットアップをどのように補完できるかを決定します。次に、管理可能な増分変更を開始します。企業のレイアウトに最適なものをテストしてから、スケールアップします。

3.ゼロトラストは万能のフレームワークではないことを忘れない

ゼロトラストアーキテクチャに移行した他の人のアドバイスを求めてください。ここアクロニスSCSでは、私たち自身の経験とその前線での闘いを喜んでお話しするだけでなく、私たちが役立つリソースになれるかどうか私たちに連絡することをお勧めします。(この記事の「結論」で、アプローチの詳細をご覧いただけます。)

ただし、最終的には、1つの組織の特定のコンピューティング環境で何が機能するかが、自分の環境に適していない可能性があることを覚えておくことが重要です。組織は、固有の環境内でセキュリティと実用性のバランスをとる必要があります。そのバランスは、保護する必要のあるデータのタイプ、ボリューム、機密性によって異なります。

4.戦術を戦略に変える

アドホックゼロトラストツールを導入することが一つです。もう一つは、体系化ゼロ信頼考え方をして、企業全体の体系的なプラクティスを実装することです。

ITポリシーを作成し、必要に応じて書き換えて、ゼロ信頼の目標を強化します。これには高水準の賛同が必要かもしれませんが、ゼロトラストアーキテクチャと今日のサイバーセキュリティ時代におけるその必要性についてのパブリックディスカッションの増加は、リーダーシップとの会話を容易にするはずです。

5.「ヒューマンファイアウォール」にその役割を任せる

ゼロトラストアプローチの2つの最も重要な原則は、(1)誰も信頼しないこと、(2)すべてを検証することです。ゼロトラストを正しく実装すれば、人為的な侵害の影響と到達を最小限に抑えることができますが、それは、サイバー攻撃、データ損失、または侵害からシステムと情報を安全に保つために人が果たす主な役割を書き留めるべきではないということです。2019年の調査では、データ漏えいのほぼ3分の1がスピアフィッシングの手口であり、人為的なエラーは5分の1以上の侵害に因果関係があるとしています。

したがって、ゼロトラストアーキテクチャを採用する場合は、すべての従業員がサイバーセキュリティ体制に積極的に参加できるようにする必要もあります。従業員全体にセキュリティの文化を浸透させるトレーニングと情報セッションを開催します。各従業員に、ファイアウォール、サイバーフィット、警戒、回復力を強化します。肝心なことは?ゼロトラストアーキテクチャの実装は、チームの努力である場合、成功する可能性が高くなります。

ゼロ・トラスト・イン・プラクティス–実生活の例

アクロニスSCSは、米国の公共セクターに対応する中規模のアメリカのサイバー保護およびエッジデータセキュリティ企業として、幅広い最小特権アクセスアプローチの主要コンポーネントとしてゼロトラストアーキテクチャを採用することを選択しました。このモデルは、オフィスやデータセンターからネットワーク、アプリケーション、エンドポイント、電子メール、クラウドインフラストラクチャに至るまで、企業全体に実装されています。

公共部門のお客様固有のセキュリティの考慮事項を知っているため、米国市民のみを雇用し、アリゾナ州スコッツデールにあるオフィスに入るすべての人にバッジアクセスを要求し、多数の物理的および生体認証による保護を使用して、データセンターを高NIST基準を超えて保護します。ゼロトラストフレームワーク内では、パロアルトネットワークスの次世代ファイアウォールとセグメント化されたネットワークを活用しています。また、FireEye Email Threat Preventionを使用してマルウェアの侵入を防止し、電子メールのセキュリティを真剣に考え、クラウドに多要素認証(MFA)、証明書ベースのVPNなどを適用します。

ゼロトラストモデルの「決して信頼せず、常に検証する」という概念の私たちのアプリケーションは、内部のセキュリティアプローチを超えています。また、製品開発ライフサイクル全体を通じてこの原則を適用します。私たちのプロセスは、設計によって保護された哲学に根ざしています。つまり、自社の環境内ですべての製品コードを自分たちでコンパイルし、IronNet やnVisium などのサードパーティ企業にコードのレビューを依頼しています。

つまり、ネットワークセキュリティ、内部セキュリティ、製品開発アプローチのいずれにおいても、「常に検証する」という概念を採用することは全体論的です。

私たちの組織に最高の内部セキュリティ標準を適用するプロセスは、必ずしも簡単ではありませんでした。組織にとって、すべてが順調に進んでいるわけではないからです。たとえば、私たちが使用している一部のクラウドサービスは、MFAを自動的にサポートしていません。しかし、私たちはこの対策が私たち自身のサイバー保護にとって重要であることを知っているので、別の認証方法でMFAを実行することを選択します。それが余分な思考と時間を必要とするときでさえ、私たちが奉仕する人々の信頼と信頼を維持するためには、余計な努力をすることが重要です。

どのように支援できるかを検討する

最初から始めている場合でも、組織のサイバーアーキテクチャにゼロトラストの原則をすでに実装していて、さらに追加したい場合でも、Acronis SCSが役立ちます。

どの企業にも固有の内部セキュリティのニーズがあります。そのため、あなたのアプローチはおそらく私たちのものとは異なります。しかし、私たちの経験は、顧客、インフラストラクチャ、およびミッションに基づいて組織の固有のサイバーセキュリティニーズを分析する際に、ゼロトラストの旅に光を当てることができます。

幸いなことに、ポリシーと手順を調整することは、必ずしもホイールを再発明する必要はありません。どのような組織にとっても、このプロセスを円滑にするツールがあります。たとえば、アクティブなランサムウェア防止機能を含むバックアップおよびリカバリソリューション(Acronis SCS Backup 12.5や今後の強化されたバックアップ製品など)を使用すると、使いやすい公証とデジタル化を行いながら、不要でコストのかかるデータ侵害から組織を保護できます。認証ソリューションは、悪意のある人物によるデータの改ざんを防ぐことができます。

結論:バズワードを行動に変える

ゼロトラストはもはや単なる流行語や理論ではありません。国防総省の兵器システムの資料を提供するママアンドポップビジネスからアメリカの地方自治体や最大の連邦政府機関まで、あらゆる規模の組織にとって深刻な行動を呼びかけています。

ゼロトラストセキュリティモデルの維持

この記事では、Active Cypher がActive Cypher File Fortress(ACFF)を使用してゼロ信頼セキュリティモデルを実装する方法について説明します。このドキュメントでは、独自の実装を想像できるように、ACFFを十分に理解することを目的としています。ACFF 製品とアクティブサイファー(AC)ゼロトラストセキュリティモデルのこの説明が、ACFF とゼロトラストセキュリティモデルの採用を検討する際の貴重な情報と説明になることを願っています。

続きを読む

妥協のないIDおよびアクセス管理(IAM)

I.ワープスピードでつまずく:今日の企業の肖像

ITとビジネスの幹部には、本質的に矛盾しているように見える2つの戦略的指令が課せられます。彼らは最高のレベルのセキュリティとリスク管理を提供すると同時に、ビジネスとその人々が高速で摩擦のない速度で業務を遂行できるようにする必要があります。

アプリケーションごとのID管理は負担です

あらゆる規模の企業は、クラウド、オンプレミス、およびモバイルアプリケーションの急速に成長しているモザイクへの安全なアクセスを効果的に提供するという課題に直面しています。部門のシャドウIT組織が購入したエンタープライズITグループによって認可されているかどうかに関係なく、個別にプロビジョニングされたアプリケーションは、複数の運用上の悪影響を伴う大きな管理負担をもたらします。

  • 手動でのオンおよびオフボーディングによって時間とお金が浪費され、パスワードを失ってしまった。
  • 脆弱で覚えやすいパスワード、および資格情報がすぐに取り消されない元従業員によるシステムアクセスによるセキュリティリスク。
  • 誰がどのアプリケーションにどこからアクセスしたかを把握できない。

その結果、企業やユーザーは、安全なスピードでの運用を妨げるさまざまな障害に直面しています。せいぜい、アプリケーションへのアクセスを要求するユーザーは、十分な速度でアクセスできない、またはまったくアクセスできないと不便です。最悪の場合、今日のITフットプリントは大きく多孔性であるため、アプリケーションがエンタープライズ環境にセキュリティの脆弱性をもたらすと、企業はヘッドラインを作るデータ侵害に直面します。

さらに、オンプレミスポートフォリオを持つ企業は、ハイブリッドクラウド/オンプレミスソフトウェア環境により、さらに複雑になります。良いニュースは、クラウドベースのIDおよびアクセス管理(IAM)の最新バージョンが登場し、毎日の仕事に使用する何千ものアプリケーションに簡単かつ安全にアクセスできるようになったことです。

スピード、セキュリティ、整合性を実現

実際、IAMは、CIOの3つの主要なテクノロジー要件の交差点にあり、アプリケーションへの投資全体の価値を最大化しながら、新しいレベルの整合性、セキュリティ、優れた運用を推進します。IAMイニシアチブの内部賛同を得るために、Forrester は包括的な課題の戦術的本質を提示することを推奨しています。

IAMをビジネスの俊敏性に促進します。従業員は、ヘルプデスクが適切なレベルのアプリケーションへのアクセスを許可するか、パスワードをリセットするのを待つ時間を費やします。彼らはまた、20の異なるアプリケーションに対して20の異なるパスワードを覚えておく必要があり、アプリケーションへのログインとログアウトに時間を費やすとき、彼らは自分の仕事に集中していません。IAMプロセスを自動化すると、従業員の生産性が向上し、フラストレーションが軽減され、仕事に集中できるようになります。顧客に快適なIAMエクスペリエンスを提供しないと、顧客が船を飛び越えて別の場所に行くことに直接つながる可能性があります。

このホワイトペーパーでは、アプリケーションへのアクセスがビジネスの俊敏性にどのように影響するかを探り、企業がシステムリスクを削減しながら、最大速度で運用し、洞察とガバナンスを獲得できるIDaaSの新しいID管理ソリューションについて説明します。

II.アプリケーションポートフォリオの再考:新しいレバレッジ、新しいリスク

ハイブリッドクラウド/オンプレミスソフトウェア環境は、エンタープライズコンピューティングの主流であり、ソフトウェアリソースとビジネスの整合性を担当するIT組織と、専門のクラウドアプリケーションへの高速アクセスを望む部門との間の妥協点を表しています。ただし、分散コンピューティングに対する止められない勢いは、大きなエンタープライズアプリケーションポートフォリオをますます複雑化し、管理されずに公開するため、非常に問題があります。

スピードと完全性のバランスを打つ

具体的には、エンタープライズアプリケーションポートフォリオの止められない成長と流動により、コンプライアンス、アクセス、コスト、使用状況のパラメーターを完全に理解することはほぼ不可能になっています。しかし、アプリケーションは組織の生産性の生命線です。IT組織は、セキュリティ、ユーティリティ、およびエンタープライズガイドラインへの準拠を評価しながら、人気のあるアプリの使用を一時停止する余裕はありません。さらに悪いことに、多くのアプリケーションは部門によって支払われるため、ITは企業環境への導入をほとんど制御できません。

これらのアプリケーションのジレンマにより、企業は必要なアプリケーションへの高速でスムーズなアクセスをユーザーに許可することを目的とした速度と、セキュリティ、制御、コンプライアンス、およびガバナンスとこれらのリソースの整合と見なすことができる整合性のどちらかを選択することを企業に強いています。以下の図は、関連するトレードオフを特徴づけ、速度と整合性を妥協することなく共同で追求できる機会を強調しています。

問題:スピードと誠実さの間の強い選択

  • 業務外の象限:この象限の企業は最悪の位置にあり、整合性が非常に低く、速度が遅いため、セキュリティインシデントや、より革新的な企業が通過するリスクに脅かされています。
  • 封鎖の象限:ここの企業は非常に高いレベルの整合性を持っていますが、厳しいソリューションと規制の束縛によってビジネスが妨げられ、ビジネスソリューションを迅速に採用できず、最適な速度で実行できません。
  • シャドウITの象限:ここの企業は非常に高速で稼働していますが、重要なチェックとバランスが欠落しているため、大きなリスクがあります。これは、ITが完全に機能しているシャドウITであり、組織は可視性がゼロに妨げられており、重大なセキュリティの脆弱性を露呈しています。
  • エンタープライズアイデンティティ管理の新しいモデルという「魔法の」象限:IDaaS は、速度と整合性の両方を組み合わせたID管理の新しいモデルの導入に成功しました。今日、何千もの企業がIDaaS を使用して安全なアクセスを維持しながら、ビジネスの速度をすでに実現しています。

III.ID管理の新しいモデル

IDaaSは、企業が最大速度で運用できるようにする新しいクラスのソリューションを提供すると同時に、洞察とガバナンスを提供し、リスクを軽減する整合性を提供します。この新しいクラスのID管理は、リアルタイムで4つの主要な企業要件を満たします。

  • シングルサインオン(SSO)を超えて、サードパーティのアプリケーション、認証ソリューション、カスタム統合と簡単に統合できるクラウドベースのディレクトリに拡張します。
  • 従業員、請負業者、パートナー、顧客など、企業データに触れるすべてのタイプのユーザーにユニバーサルリーチを確立します。
  • 導入と使用を容易にするために、ITユーザーとビジネスユーザーに超便利を提供します。
  • すべてのユーザー、デバイス、アプリケーションにわたってビジネスの整合性を確保し、全体的、効率的、安全で準拠したアクセス制御を提供します。

これらの機能は、ID管理分野の革新者としてIDaaS業界の認識を得ています。Forresterは、「Forrester Wave™:B2E Cloud IAM、2015年第2四半期」で次のように述べています。

IDaaSは、モビリティサポートの拡張を計画している認証のソートリーダーです。ソリューションは、このForrester Waveで評価された他のソリューションよりもはるかに複雑ではありません。ユーザーディレクトリの構成と統合、アクセス管理ポリシーの管理、およびポータルからのエンドユーザーセルフサービスに対する卓越したサポートがあります。

IDaaSソリューションの強力なシンプルさは、洗練されたコンセプト、6つの主要な要素を統合するIDコントロールプレーンに基づいています。

  1. オンボーディングとエンゲージメント
  2. オフボーディングと失効
  3. ガバナンスとコンプライアンス
  4. 分析
  5. コンテンツ検索
  6. アプリの展開

アイデンティティ管理ソリューションの新しいクラス

最高の完全性とセキュリティ-運用速度- アプリへの投資を最大化

アイデンティティコントロールプレーン

このコンセプトにより、IDaaSはアイデンティティ管理を戦術的な根拠から引き上げます。IDコントロールプレーンは、以前はスタンドアロン機能であったIDおよびアプリケーション管理の6ダースの重要な要素を統合し、同時にセキュリティとコンプライアンスに見合ったスピードと俊敏性を実現し、企業がIDをすべてのIT決定に組み込むことを可能にします。

重要なことに、IDaaSソリューションは、ID プロバイダー(ユーザー)とサービスプロバイダー(会社)の間で認証および承認情報を交換するためのオープン標準のデータ形式であるSecurity Assertion Markup Language(SAML)をサポートしています。2001年の発売以来、2005年にバージョン2.0にアップデートされて以来、SAMLは事実上の業界標準になり、アプリケーションプロバイダーに認められ、顧客から指定されています。

IDaaSは、当初からSAMLの採用を主導してきましたa 。これは、顧客のニーズと好みに合わせたポジションです。Pandora Internet Radio などの多くのIDaaSユーザーは、SAMLをサポートしない新しいクラウドアプリケーションを購入しません。重要なアプリがSAMLをサポートしていない場合、IDaaSはソフトウェアベンダーを支援し、samltool.com などのリソースでSAMLを有効にします。

IV.IDaaSの経済的事例

Forresterは、IDaaSを使用して18か月の経験を持つ既存の顧客にインタビューし、IDaaSに関連する利点、コスト、リスクをよりよく理解しました。インタビューした顧客は匿名を希望しました。3年間で計算された結果は非常に良好です。分析によると、リスク調整後のROIは356%であり、3年間で584,557ドルの利益と128,710ドルのコストがあり、正味現在価値(NPV)は456,387ドルに相当します。

IDaaSに関連する利点:

  • ユーザーの生産性の向上:クラウドベースのシステムおよびアプリケーションへの高速アクセス— $ 566,092。
  • パスワードリセットの減少に関連するサービスデスクの労力の削減—$4,029。
  • IDaaSのコネクタを使用した新しいシステムとのより迅速な統合— $ 14,436。

Forresterが述べた調査では、「コストと利益のリスク調整済みROIと正味現在価値(NPV)は依然として説得力のあるビジネスケースを示しているため、プロジェクトを脅かすリスクがあったため、投資が成功する可能性が高いという確信が高まっています。考慮に入れて定量化します。リスク調整後の数値は、リスクを考慮した期待値を表すため、「現実的な」期待値と見なす必要があります。」この調査から、読者はIDaaSの導入がITリソースを解放して他のタスクを実行するなどの追加のメリットにつながることをさらに推定できます。

V. 今日のハイブリッド環境で妥協のない運用

クラウドアプリケーションとオンプレミスアプリケーションが混在するハイブリッドソフトウェア環境は、今日の企業では標準となっています。IDaaSの最近の新しい仮想LDAPサービスの導入により、SAMLおよびWS-Trustを介したフェデレーションをサポートするアプリケーションを超えて、同社のアプリケーションの適用範囲が拡大しました。新しいLDAPサービスは、EAP-TTLS などの強力な認証方法を含む完全なRADIUSプロトコルのクラウドベースのサポートと組み合わせて、この分野でのIDaaSの提供をさらに強化します。

エンタープライズアプリケーションの「ロングテール」

CAやOracleのような従来のオンプレミスのIDおよびアクセス管理ソリューションは、組織が現在使用している最新のクラウドアプリケーションの使いやすさと互換性がありません。これらのアプリケーションをレガシーIAM製品と統合するには、数日から数週間かかることがあります。

労働集約型の統合は、すべての従業員が使用するアプリケーションには正当化できますが、比較的少数のユーザーが組織全体で使用する何百ものアプリケーションの「ロングテール」には適していません。

これらのアプリケーションは、レガシーIAM統合から除外される傾向があり、セキュリティの脆弱性と、ユーザーを混乱させ、生産性を浪費するバラバラなアプリケーションアクセスエクスペリエンスを生み出します。高いヘルプデスクのコスト、低生産性、弱い規制遵守と重大なセキュリティ露出が直接結果です。

ネイティブクラウドソリューションの利点

IDaaSのようなネイティブクラウドID管理ソリューションには、明確な利点があります。オンプレミスのIAMソリューションは、その複雑さ、独自の性質、高レベルのカスタマイズ作業、遅い統合で知られていますが、IDaaSは、シンプルさ、スケーラビリティ、俊敏性、標準ベースの統合、コラボレーション、およびスピードと同義です。

5,000を超えるアプリケーションがすでにIDaaSと事前に統合されており、標準ベースのインターフェイスを介して新しいアプリケーションをすばやく追加できます。IDaaSを使用すると、IT組織はすべてのエンタープライズアプリケーションにID管理を簡単に適用して、速度、セキュリティ、および整合性を劇的に向上させることができます。企業は、生産性の向上、ヘルプデスクコストの削減、規制遵守の強化、セキュリティ体制の向上など、現代の企業のすべての最優先事項をすばやく実現できます。

リモートワークのセキュリティと生産性のリスク

前書き

新型コロナウイルス(Covid-19)の危機により、グローバルビジネスは、前例のないさまざまな方法で業務を変更することを余儀なくされました。パンデミックの蔓延を乗り越えて阻止するために、世界中の組織は、従業員が自宅の境界から仕事と生産性を維持しなければならないという厳格なリモートワークポリシーを採用しています。これは、さまざまな社会的および個人的な重大な課題をもたらしますが、その変化はまた、事業運営の維持に重大な課題をもたらしました。そして残念なことに、この変化がどのくらい続くのか、そして最初の危機が回避された後にそれがどのような影響を与えるのかについての洞察はほとんどありません。

多くの組織は、従業員が完全にリモートでいる準備ができていません。彼らにはプロセスがなく、テクノロジーもありません。最も重要なのは、従業員が企業のアプリケーションやデータに安全にアクセスできるようにするための適切なセキュリティ対策がないことです。そして残念なことに、突然の変化により、企業はセキュリティを危険にさらさないようにするために必要な適切なテクノロジーを実装するための迅速な決定を行わなければなりません。

適切なセキュリティ対策を確実にしながら、チームがリモートでの作業にシームレスに移行するための最も効果的な方法の1つは、IDおよびアクセス管理(IAM)ソリューションを実装することです。IAMソリューションを使用すると、組織は、あらゆるデバイスの任意の場所から安全、シームレス、スケーラブルな方法でテクノロジーに接続できるようになるため、変化してもビジネスの生産性は維持されます。

この電子書籍では、IAMソリューションの実装がリモートワーカーの成功に不可欠である主な理由について説明します。

リスク1:従業員はアプリケーションへの簡単で安全なアクセスを必要としています

変更時にビジネスと従業員の生産性を維持するための最も重要な要素の1つは、ビジネスに不可欠なアプリケーションの可用性です。従業員は、複数のパスワードを覚えたり、複数のアプリケーションを追跡したりすることなく、リモート作業にシームレスに移行する必要があります。アクセスに関する戦略とプロセスがなければ、最終的に多くの生産性が失われる可能性があります。すべての従業員が、保護されていないネットワーク上の自宅から各アプリケーションにログインしようとしていると想像してみてください。これはセキュリティに影響を与えるだけでなく、従業員がビジネスを実行するために必要なものにアクセスするためにスクランブルをかけるため、生産性も妨げます。

IDおよびアクセス管理ソリューションは、重要なビジネスアプリケーションすべてにアクセスできる単一の安全なパスワードを備えた単一のポータルを提供します。シングルサインオン(SSO)を使用すると、ユーザーはWebアプリケーションにアクセスするために1セットの資格情報を入力するだけで済みます。さらに、プロビジョニングにより、IT部門は離れた場所から従業員のオンボードおよびオフボードをすばやく行うことができます。

リスク2:企業データの管理を失うリスク

従業員がリモートの場所や安全でない接続からログインすると、リモートアクセスのほとんどの方法がセキュリティの脅威に対して脆弱になるため、企業データの制御を失うリスクがあります。あなたはもはや企業の内部ネットワークのカバー下になく、セキュリティレビューを実装することができず、従業員が管理されていないデバイスからアプリケーションにアクセスしている可能性があります。そして残念なことに、非常に多くの企業は100%リモートの労働力に備えていないため、組織はアクセスポリシーを変更し、IPアドレスのホワイトリストを削除し、VPNがない場合に直接アクセスを許可する場合があります。

リモートの労働力は非常に脆弱である可能性があるため、弱いセキュリティ態勢とパンデミックに対する人々の不安と恐怖の両方を利用しようとする多数のCovid-19サイバー攻撃が見られます。悪意のあるリンクをクリックするか、刺激小切手のデポジットのために財務情報へのアクセスを提供するように受信者に促す偽の電子メールフィッシング攻撃が確認されています。また、データや情報を盗むスパイウェアを含む偽のCovid-19情報Webサイトも見られます。そして、これが続くことを期待しています。

IAMソリューションを実装することで、さまざまな方法でリモートワーカーを保護できます。ワーカーは1セットの資格情報を維持して、アプリケーションにアクセスしたり、RADIUSエンドポイントを使用してVPNに接続したりできます。さらに、機械学習機能を活用する多要素認証(MFA)を実装することで、危険な動作やログインを自動的に検出できます。場所、デバイス、アプリケーションへのアクセス、時間帯などの一般的なユーザー行動のさまざまなプロファイルを生成し、認識されたリスクに基づいてさまざまな認証要素を適用するリスクスコアを提供します。したがって、SmartFactorが悪意のあるログイン試行を検出した場合、ユーザーにさまざまな認証要素を要求したり、アクセスを完全に遮断したりできます。尚、VPNを既に社内ネットワークにつないでいる場合、IAMを導入する事でゼロトラストを実現できます。ゼロトラストを実現する一つの手段として検討するのもありでしょう。

リスク3:従業員はクラウドアプリケーションとオンプレミスアプリケーションの両方にアクセスする必要があります

多くの組織には、クラウドに存在するアプリケーションとオンプレミスに存在するアプリケーションがあります。そして歴史的に、これらの環境へのアクセスは、しばしば別々に管理されます。従業員が重要なオンプレミスアプリケーションにアクセスできない場合、生産性の損失、収益の損失、および顧客サービスへの影響という非常に深刻なリスクを負うことになります。

ハイブリッド環境で動作できるソリューションがないと、管理の複雑さ、生産性の低下、コストの増加、セキュリティの脆弱性などの影響を受けます。クラウドとオンプレミスアプリケーションの間のギャップを埋めるために、すべてのディレクトリ、ユーザー、および認証ポリシーの管理の中心点になります。

組織がMicrosoftリモートデスクトップゲートウェイ(RDG)サーバーまたはリモートデスクトップWeb (RDWeb)を使用してオンプレミスのWindowsサーバーまたはデスクトップにアクセスする場合はどうなりますか?

リスク4:リモートでのオンボーディングとオフボーディングは時間がかかり、労働集約的です

手動のユーザー管理はエラーが発生しやすく、非常に手間がかかります。ここで、ITチームが従業員をリモートで100%プロビジョニングする必要があると想像してください。アクセスプロビジョニングには通常、ユーザーアカウントの作成、パスワード管理、アプリケーションプロビジョニングなど、さまざまなアクティビティが含まれます。多くの組織では、これらすべてが新入社員のコンピューターで手動で行われるか、IT部門がその一部を行い、ユーザーが残りの作業を完了します。そして、従業員が手放されてアクセスを遮断する必要がある場合はどうでしょうか?100%リモート環境にいる場合、プロビジョニング解除は、従業員が最終日にコンピューターを降ろすほど簡単ではありません。

IAMソリューションを使用すると、管理者はプロビジョニングとプロビジョニング解除のプロセスをリアルタイムでリモートで合理化および自動化できます。ルールと資格を設定することで、組織全体のさまざまな役割とレベルのプロビジョニングを自動化できます。また、オフボーディングのために、管理者はアクセスを数秒でシャットダウンするための「キルスイッチ」を備えています。

リスク5:パスワードのリセットとロックされたアカウントはIT部門を圧倒する可能性があります

IT部門とヘルプデスクは、リモートでの作業効率の要です。すべての従業員がリモートで作業している場合、どのようにスケーリングしますか?IT部門は、パスワードのリセット、アカウントのロックアウト、接続の支援などのタスクにすぐに圧倒されます。Gartner によると、Covid-19より前のバージョンでは、一般的な組織のヘルプデスクチケットの50%以上がパスワードのリセットに関連しています。これは、完全に遠隔地の労働力によってのみ増加します。さらに、アカウントのロックアウトは、リモートワーカーにとって特に有害である可能性があります。従業員が不満を感じて生産性に影響を与えるだけでなく、操作が遅くなり、ロックアウトされた従業員が顧客に直面している場合、顧客サービスと収益に影響を与える可能性があります。

IT部門は、手軽で簡単な方法で、Active Directory(AD)、および重要なアプリケーション全体でパスワードの変更を同期できます。ユーザーがパスワードを忘れた場合やパスワードの有効期限が切れた場合、ADのパスワードを直接プロアクティブに変更できるため、IT部門はかなりの時間を節約できます。

結論

新型コロナウイルス(Covid-19)後に労働力がいつ正常に戻るかはわかりません。また、検疫措置が終了しても、労働力は本当に正常に戻るのでしょうか?eリモート作業は非常に大きな方法で行われるため、組織はデータのセキュリティとシステムへのアクセスを確保する必要があると考えています。適切な対策が講じられていないと、リモートでの作業により、組織は無数の生産性とセキュリティの課題に直面します。

リモートの労働力を有効にするのに役立つIAMソリューションの実装を待つ時間が長くなるほど、組織が受けるリスクは大きくなります。変化の際にビジネスの生産性を確保するために必要なテクノロジーを人々に安全に結び付けることができます。

 

SSOとMFAがセキュリティを向上させる方法を理解する

今日、IT部門はあらゆる面から圧迫されています。予算は厳しく、コンプライアンス要件は大きく、ITは組織を安全に保ちながら、従業員、派遣労働者、ギグ労働者、ベンダー、パートナーがグローバルに分散したエコシステムで生産的に作業できるようにする役割を担っています。

今日の競争は激化しているため、企業や組織は俊敏性を維持し、変革を続け、新しい手順、システム、およびソフトウェアを迅速に実装できる必要があります。買収、合併、そして絶えず変化する労働力は、それを容易にするものではありません。

デスクでも、タブレットでも、携帯電話でも、従業員は会社のリソースにすばやくアクセスできることを期待しています。同時に、セキュリティについて妥協することはできません。

IT部門は、ユーザーのオンボードとオフボードを迅速に行い、最高レベルのセキュリティを維持しながら、ユーザーが必要なアプリケーションとリソースに簡単にアクセスできるようにすることが求められています。また、今日の従業員は、ラップトップ、タブレット、携帯電話などのさまざまなデバイスを介した常時アクセスを必要としています。

これらすべての要件に対応することは、途方もない仕事です。IT部門はそれを達成する上で極めて重要な役割を果たします。

セキュリティにはコストがかかりますが、違反はさらに深刻です

SANS Institute1によると、調査対象のITプロフェッショナルの42%がエンドポイントが侵害されたと述べています。そして、2017年は侵害の最高基準でしたが、2018年はそれほど遅れていませんでした。

実際、特に新しいデバイスが急増しているため、侵害のリスクは増え続けています。上級IT専門家の82%は、セキュリティ保護されていないIoTデバイスが組織のデータ侵害を引き起こすと予測しており、80%がそのような侵害は破局的である可能性があると述べています。

データ侵害は間違いなく費用がかかります:

● 純粋なドルの観点から見ると、IBMとPonemonによると、違反に対する1人あたりのコストは148ドルに上昇しています。

● 違反の平均コストは、世界中で368万ドル、米国では790万ドルです。

● 米国では、違反によるビジネスの損失は420 万ドルでした。最大の違反(5,000万件以上)により、最大1億1,800万ドルの損失が発生しました。

● ビジネスの損失は主に顧客の離職によるものです。消費者の75%が、データを信頼できない企業とは取引をしないと言っているためです。

顧客の喪失に加えて、企業にとってのもう1つの大きな影響は、知的財産(IP)の喪失です。IPや企業秘密を失うことは実存的な脅威を生み出す可能性がありますが、たとえ競合他社が知識を利用して市場を掘り下げていなくても、会社が回復するまでには長い時間がかかる可能性があります。

たとえば、2011年に、ある従業員がAmerican Superductor(AMSC)のソースコードを盗んで販売しました。AMSCへの影響は非常に大きく、株価は破壊され、市場価値は約14億ドル減少しました。労働力を70%削減し、本社を移転して費用を節約する必要がありました。

これが、組織や企業に課される規制や要件がアクセスに焦点を合わせている理由の1つです。

保護コスト。ただし、データとIPの保護に失敗すると、さらにコストがかかります。最近のセキュリティ侵害は何が問題になっているのかを示しています:

● Appleは、225,000人のiPhoneユーザーの機密情報を入手したマルウェアを発見しました。

● 最近のFacebook違反で、5,000万人のユーザーの情報が公開されました。

● 2016年に、ハッカーによって5700万件のUber顧客レコードが盗まれました。

これらすべての理由により、組織と顧客データを保護するためのテクノロジーと手順に投資することは、多額の投資を必要とします。

パスワードは最も弱いリンクです

Sarbanes-Oxley(SOX)などの規制法は、情報セキュリティ、データアクセス、および職務分掌(SOD)ポリシーに要件を課しています。これらの要件には、アクセス認証の成熟したプロセスと、特定のポリシーを実施して遵守するためのポリシー管理が含まれます。

パスワードがコンプライアンス部門とIT 部門の焦点であるのは当然のことです。パスワードもハッカーの焦点です。最も一般的な攻撃は、ユーザーの資格情報を取得することを目的としており、パスワードは重要な要素です。これには、次のような攻撃が含まれます。

● フィッシング。攻撃者は電話番号または電子メールアドレスのリストを使用して、ユーザーをユーザー名とパスワードを提供する偽のWebサイトに誘導する魅力的な行動を促すメッセージを配信します。

● スピアフィッシング。攻撃者は、ターゲットグループに関連する巧妙に作成された、信頼できるメッセージを使用して、多くの場合パーソナライズされたコンテンツを使用して、少数の個人グループをターゲットにします。繰り返しになりますが、行動を促すフレーズは、ユーザーに資格情報の提供を求めます。

● キーロガー。攻撃者は、訪問したサイト、ユーザー名、パスワード、セキュリティの質問への回答など、ユーザーのコンピューター上のすべてのキーストロークをキャプチャするプログラム(多くの場合、ウイルスを介して)をインストールします。

● クレデンシャルの詰め込み。攻撃者は、盗まれた資格情報ペアを他のサイトの1つのサイトに使用して、さまざまなサイトへのアクセスを試みます。

● ブルートフォースおよびリバースブルートフォース。攻撃者はプログラムを使用して、ユーザー名とパスワードの可能な組み合わせを生成し、アクセス権を取得します。または、攻撃者は多くの異なるアカウントで最も一般的に使用されるパスワード(Password123など)を試します。

● 中間者(MITM)。攻撃者のプログラムは、ユーザーとアプリの間の相互作用に自分自身を挿入します。次にプログラムは、ユーザーが入力したログイン資格情報を収集します。または、セッショントークンを乗っ取りさえします。

弱い記憶とあまりにも多くのパスワードは問題を悪化させます

これらの攻撃の多くは、ユーザーが異なるパスワードを使用してあまりにも多くのサイトにログインする必要があるという事実に依存しています。そのため、複数のアカウントで同じパスワードを使用する傾向があります。72%の人がパスワードを思い出すのに苦労し、オンラインユーザーの73%がずっと同じパスワードを使用しているのも不思議ではありません。

パスワードを使用するエコシステムの誰もが問題を提示します。これには、従業員、請負業者、ベンダー、さらには顧客も含まれます。たとえば、従業員の50%は、仕事用と個人用のアカウントに異なるパスワードを作成していません。10 個人のパスワードが侵害された場合、組織のデータも侵害される可能性があります。

IT部門は、強力なパスワードを確保するために、多くの場合、パスワードルールを実装し、それをテクノロジで適用します。最新の推奨事項は次のとおりです。

● 特殊文字が必要です。以前は、数字と大文字と小文字の組み合わせが推奨されていました。ただし、ユーザーは通常、パスワードの末尾に数字を追加し、単語の先頭に大文字を使用するため、これらのパターンは実際にパスワードを予測しやすくします。

● 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ Pなどのパスフレーズを選択することをお勧めします。

● 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ Pなどのパスフレーズを選択することをお勧めします。

● ユーザーにパスワードの頻繁な変更を要求しないでください。以前は、ハッカーがパスワードを入手した場合に備えて、ユーザーは60〜90 日ごとにパスワードを変更することが推奨されていました。ただし、これはユーザーのメモリ負荷を増大させるだけであり、覚えやすいパスワードを使用する可能性が高くなり、さらに悪いことに、ポストイットノートやスプレッドシートに書き込む可能性が高くなります。

より強力なパスワードは役立ちますが、安全なパスワードを使用したメモリの問題は依然として問題です。そのため、最先端の組織は、パスワードのセキュリティギャップを完全に埋める唯一の方法が、IT ツールボックスにシングルサインオン(SSO)と多要素認証(MFA)の2つのツールを追加することであると認識しています。

セキュアなSSOとリスク対応のMFAは、パスワードセキュリティの黄金の鍵です

シングルサインオンと多要素認証は、ユーザー認証の主要な問題に対処するため、IPと企業秘密を真に保護するために重要です。

● 従業員が覚えておく必要があるユーザー名とパスワードの数を減らします。

● 複数のアプリやウェブサイトにアクセスする必要がある場合でも、従業員がログインする必要がある回数を減らします。

● ユーザーの身元を確認するために、パスワード以外の追加情報をユーザーに要求する。

● ユーザーがパスワードを忘れた場合でも、簡単に安全にリセットできるようにします。

シングル・サインオン。SSOは、1組の資格情報だけで1回ログインすることにより、ユーザーが複数のアプリケーションおよびWebサイトで安全に認証できるシステムです。SSO、ユーザーがアクセスに依存していることをアプリケーションやウェブサイトは、第三者が信頼され、ユーザーは、彼らがあると言う人であることを確認します。

多要素認証。MFAは、複数の資格情報を要求することによってユーザーのIDを検証するセキュリティシステムです。MFAは、ユーザー名とパスワードを要求するだけでなく、ユーザーのスマートフォンからのコード、セキュリティの質問への回答、指紋、顔認識など、その他の追加の認証情報を要求します。(2要素認証や2段階認証など、他の名前で呼ばれるMFAを聞いたことがあるかもしれません。)

これらのゴールデンキーのいずれかを追加すると、組織のデータがロックされ、不正アクセスを防ぐのに役立ちます。ただし、両方を追加すると、違反を防止できる可能性が最も高くなります。

SSOには多くの利点があります

シングルサインオンには複数の利点がありますが、従業員は1組の資格情報を使用して一度だけサインインする必要があります。

● セキュリティとコンプライアンスの向上。

● 使いやすさと従業員の満足度の向上。

● ITコストの削減。

SSOのセキュリティとコンプライアンスはほんの始まりにすぎません

ユーザーが新しいアプリケーションまたはマシンにログインするたびに、それはハッカーの機会です。SSOでは、従業員が1日に1回だけログインし、1組の資格情報のみを使用するため、攻撃の対象となる数が減少します。

SSOは、機密データにアクセスするユーザーの効果的な認証に関する政府および業界の要件に対処するのに役立ちます。ほとんどのSSOシステムは、ユーザーのアクティビティとアクセスを追跡するための監査証跡も提供します。また、どのSSOソリューションでも自動ログオフを有効にする必要があります。これは、高度に安全な環境で作業している人にとってもう1つの頻繁な要件です。

SSOは従業員の使いやすさを向上させます

アプリごとに個別のユーザー名とパスワードを維持することは、従業員にとって大きな負担になります。率直に言って、それは非現実的です。また、従業員が顧客サイトや遠隔地にいる場合、SSOはさらに重要です。

シングルサインオンは、ユーザーの認知的負担を軽減します。一度サインインすることで、時間とフラストレーションが節約され、従業員の生産性と満足度が向上します。

SSOによりITコストを削減

最後に、SSOはパスワードのリセットを減らすことでITコストを削減します。各アプリで従業員ごとに異なるユーザー名とパスワードが必要な場合、従業員がパスワードを忘れる可能性が高く、パスワードをリセットするためのチケットが山積みになることを意味します。

ユーザーが覚える資格情報のセットが1つしかないため、SSOによってチケットが削減されるだけでなく、ユーザーは自分のパスワードをリセットできるため、ITの関与が不要になります。これは、顧客またはベンダーのポータルの一部として特に役立ちます。

MFAはセキュリティにどのように役立ちますか?

MFAは、パスワードを超えてアクセスし、ユーザーが自分の身元をさらに確認する必要があるため、広く受け入れられ、セキュリティの重要なコンポーネントになっています。これらの追加の要因は、ログイン資格情報を取得しようとするハッカーを深刻に苛立たせます。

多要素認証は、ユーザーからの追加情報または資格情報を要求することにより、攻撃の成功を防ぐために機能します。フィッシング攻撃はユーザーの認証情報を獲得する可能性がありますが、たとえばハッカーに指紋や個人的なセキュリティの質問への回答を提供することはありません。同様に、ブルートフォース攻撃または逆ブルートフォース攻撃は、機能するユーザー名とパスワードを見つけることができますが、攻撃者はMFAシステムが必要とする他の認証要素を知らず、それらの資格情報を持ちません。

同様に、MFAは、追加のセキュリティ層を組み込むことにより、MITMなどのより高度な攻撃に対抗できます。ハッカーまたはプログラムがそれ自体を挿入し、従業員または顧客が入力した情報を取得した場合でも、MFAを設定して、ユーザーが別のデバイスまたはチャネルから資格情報を提供するように要求できます。たとえば、ラップトップからログインする従業員は、認証システムなどの電話アプリを使用して、電話からコードを送信してログインを完了する必要がある場合があります。MITMハッカーはユーザーの電話にアクセスできないため、侵害は阻止されます。

デバイス、デバイス、非常に多くのデバイス

あなたの従業員と顧客は単に机にいるだけではありません。彼らは家にいる、バスに乗っている、顧客サイトにいる、そしてホテルにいる。仕事にはラップトップ、タブレット、携帯電話を使用しています。また、必ずしも会社のデバイスであるとは限りません。2016年の調査では、回答者のわずか20%が、個人用の携帯電話またはタブレットを個人的な目的でのみ使用したと述べています。また、モビリティ専門家に関する2018年の調査では、85 %がモバイルセキュリティの脅威から少なくとも中程度のリスクに直面していると述べています。

それはいいです。SSOとMFAの両方がデバイス間で機能するためです。従業員やベンダーは、自分のデバイスから一度だけサインインして、必要なすべてのアプリにアクセスできます。それは、彼らが自分の携帯電話、タブレット、からの情報にアクセスしているかどうかは関係ありません、またはコンピュータMFAの適応し、検証するための適切な追加データのためにそれらを要求する彼らのアイデンティティを。

適応認証により、従業員のアクセスを合理化できます

SSOは確かに、より合理化されたエクスペリエンスを提供し、ログインを高速化および簡素化します。しかし、MFAではユーザーが追加の情報を提供する必要があるため、従業員の生産性に悪影響を及ぼす可能性がありますか?あなたがしたい最後のことは、従業員を遅くすることです。さらに、必要な認証要素が多すぎると、ユーザーが不満を感じます。

そこで適応型認証が登場します。

適応認証は、ユーザーが組織のリソースにアクセスしようとする方法を考慮して、主要な認証要素としてトランザクションコンテキストとユーザー動作を追加します。

スマート認証システムは、どこで、どのデバイスで、いつ作業するかなど、ユーザーが通常どのように機能するかを認識しています。ユーザーにとって通常とは見なされない動作は、攻撃を示す可能性があります。適応型MFAは、追加の認証を要求することにより、潜在的な攻撃に対応します。

アダプティブMFAは、組織にアダプティブ認証を実装するときに、特定の従業員または一連の従業員のベースラインログイン要件を決定するため、アクセスを合理化し、従業員の生産性と顧客の前進を維持します。あなたはのユーザーの厳しい要件かもしれない特定のロケールまたは特定の役割や他の人にはあまり厳格な要件のユーザーのために。

誰かが認証を試みるたびに、リクエストが評価され、リスクスコアが割り当てられます。リスクスコアに応じて、ユーザーは追加の資格情報を提供する必要があるか、逆に、より少ない資格情報の使用を許可されます。

そのため、従業員が常に使用しているラップトップを使用していて、通常勤務している場所からログインしようとしている場合、ラップトップ経由でのみアクセスするように求められることがあります。一方、同じ従業員がユーザー名とパスワードを使用して機密性の高い通常とは異なるデータにアクセスしようとすると、電話で追加のログイン情報の入力を求められる場合があります。または、マネージャーが通常のオフィスから離れた地理的な場所からログインする場合、セキュリティの質問に答えなければならない場合があります。

結論

セキュリティに関しては、すべての業界のIT部門が困難な状況にあります。需要は高く、収益、絶え間なく変化する労働力、新技術、グローバルエコシステムに起因します。しかし、失敗のコストはさらに高くなります。

最も弱いリンクのいくつか(パスワードと認証)を強化することは、侵害に対する重要な保護を追加する比較的高速な修正です。2つのテクノロジーが鍵となります。シングルサインオンはハッカーの攻撃対象を減らし、多要素認証はパスワード以外の保護を追加します。適応認証により、組織は、従業員、顧客、ベンダーなどに負担をかけないスマートな方法でセキュリティを追加できます。これらのテクノロジーを組み合わせることで、組織の情報を保護しながら、俊敏性と生産性を維持できます。

テクノロジー業界のパスワード問題を解決する パスワードの保護は侵害を防ぐための鍵

すべてのビジネスはサイバーセキュリティに苦労していますが、テクノロジー業界よりも失敗の代償を高くするものはないでしょう。あなたのビジネスがテクノロジーであるとき、サイバー犯罪の餌食になることは重大な失敗と見なされます。

それでも、テクノロジー企業には、他の業界と同じ制限と課題があります。厳しい予算、コンプライアンス要件、従業員、パートナー、ベンダー、顧客のグローバルに分散されたエコシステムです。その上、ハイテク企業は他の業界のビジネスよりもはるかに高い変化率に対応しています。競争は熾烈です。特に、ベンチャーキャピタル企業によって燃料を供給され、攻撃的な成長軌道を示しようとするスタートアップにとっては特にそうです。ハイテク企業は機敏で、新しい内部システムとソフトウェアを迅速に実装できる必要があります。テクノロジー業界はまた、買収と合併の割合が最も高いことの1つです。つまり、ITは定期的に新しい要員を組み込み、さまざまなシステムを調整する必要があります。

IT部門は、ユーザーのオンボードとオフボードを迅速に行い、最高レベルのセキュリティを維持しながら、ユーザーが必要なアプリケーションとリソースに簡単にアクセスできるようにすることが求められています。また、今日の労働力は、ラップトップ、タブレット、携帯電話などのさまざまなデバイスを介した常時アクセスを必要としています。

テクノロジー業界では、従業員はテクノロジーに優しく、SaaSソリューションをより迅速に使用する傾向があります。テクノロジー企業は、IT部門が提供するものに加えて、基幹業務の所有者が自分でアプリケーションを選択して導入できるようにする可能性が高くなります。

これらすべての要件に対応することは、途方もない作業です。テクノロジーIT部門は、それを達成する上で極めて重要な役割を果たします。

セキュリティにはコストがかかりますが、違反はさらに深刻です

Ponemon Instituteによると、テクノロジー業界では、調査対象となった17の業界のうち4 番目に多いデータ侵害が発生しています。そして、2017年は侵害の最高基準でしたが、2018年もそれほど遅れていません。

侵害のリスクは、特に新しいデバイスが急増するにつれて、ますます増大し続けています。上級IT専門家の82%が、セキュリティ保護されていないIoTデバイスが組織内でデータ侵害を引き起こすと予測し、80 %がそのような侵害は破局的である可能性があると述べました。

データ侵害は費用がかかります

  • 純粋なドルの観点から見ると、IBMとPonemonによると、テクノロジー業界の違反に対する1人あたりのコストは170ドルに上昇しています。
  • 情報漏えいの平均費用は世界で368 万ドル、米国では790 万ドルです。
  • 米国では、違反によるビジネスの損失は420 万ドルでした。最大の違反(5,000万件以上)により、最大1億1,800万ドルの損失が発生しました。
  • 75%の消費者がデータを信頼できない会社とは取引しないと言っているため、ビジネスの損失は主に顧客の離職によるものです。

テクノロジー企業にとって最大の影響の1つは、顧客を失うことに加えて、知的財産(IP)を失うことです。IPや企業秘密を失うことは実存的な脅威を生み出す可能性がありますが、たとえ競合他社が知識を利用して市場を掘り下げていなくても、会社の回復には長い時間がかかる可能性があります。

たとえば、2011年に、ある従業員がAmerican Superductor(AMSC)のソースコードを盗んで販売しました。AMSCへの影響は計り知れず、その株価は破壊され、その市場価値は約14億ドル減少しました。コストを削減するために、労働力を70%削減し、本社を移転する必要がありました。

これが、防衛などのデリケートな業界のテクノロジー企業に課せられている規制や要件がアクセスに焦点を合わせている理由の1つです。

保護コストは必要です。しかし、企業データとIPの保護に失敗すると、さらにコストがかかります。以下は最近のセキュリティ侵害は何が問題になっているのかを示しています:

  • Appleは、225,000人のiPhoneユーザーの機密情報を入手したマルウェアを発見しました。
  • 最近のFacebook違反で、5,000万人のユーザーの情報が公開されました。
  • 2016年に、ハッカーがUberの顧客レコードを5,700万件盗みました。

これらすべての理由により、企業のデータとIP を保護するためのテクノロジーと手順に投資することは、多額の投資に費やされます。

パスワードは最も弱いリンクです

Sarbanes-Oxley(SOX)などの規制法は、情報セキュリティ、データアクセス、職務分離(SOD)ポリシーに要件を課しています。これらの要件には、アクセス認証の成熟したプロセスと、ポリシーが適切に適用されていることを確認するためのポリシー管理が含まれます。

パスワードがテクノロジー企業のIT部門の焦点であるのは当然のことです。パスワードはハッカーの焦点でもあります。最も一般的な攻撃は、ユーザーの資格情報を取得することを目的としており、パスワードは重要な要素です。これには、次のような攻撃が含まれます。

  • フィッシング。攻撃者は、電話番号または電子メールアドレスのリストを使用して、ユーザーをユーザー名とパスワードを提供する偽のWebサイトに誘導する魅力的な行動を促すメッセージを配信します。
  • スピアフィッシング。攻撃者は、ターゲットグループに関連する巧妙に作成された、信頼できるメッセージを使用して、多くの場合パーソナライズされたコンテンツを使用して、少数の個人グループをターゲットにします。繰り返しになりますが、行動を促すフレーズは、ユーザーに資格情報を提供するようにします。
  • キーロガー。攻撃者は、訪問したサイト、ユーザー名、パスワード、セキュリティの質問への回答など、ユーザーのコンピューター上のすべてのキーストロークをキャプチャするプログラム(多くの場合、ウイルスを介して)をインストールします。
  • クレデンシャルの詰め込み。攻撃者は、盗まれた資格情報ペアを他のサイトの1つのサイトに使用して、さまざまなサイトへのアクセスを試みます。
  • ブルートフォースおよびリバースブルートフォース。攻撃者はプログラムを使用して、アクセス可能なユーザー名とパスワードの組み合わせを生成します。または、攻撃者は多くの異なるアカウントで最も一般的に使用されるパスワード(Password123など)を試します。
  • 中間者(MITM)。攻撃者のプログラムは、ユーザーとアプリの間の相互作用に自分自身を挿入します。次にプログラムは、ユーザーが入力したログイン資格情報を収集します。または、セッショントークンを乗っ取りさえします。

弱い記憶とあまりにも多くのパスワードは問題を悪化させます

これらの攻撃の多くは、ユーザーが異なるパスワードを使用してあまりにも多くのサイトにログインする必要があるという事実に依存しています。そのため、彼らは複数のアカウントで同じパスワードを使用する傾向があります。72%の人がパスワードを思い出すのに苦労しているのも不思議ではなく、オンラインユーザーの73%が複数のアカウントで同じパスワードを使用しています。

パスワードを使用するエコシステムの誰もが問題を提示します。これには、従業員、請負業者、ベンダー、さらには顧客も含まれます。たとえば、従業員の50%は、仕事用アカウントと個人用アカウントに異なるパスワードを作成していません。10 個人用パスワードが侵害された場合、組織のデータも侵害される可能性があります。

多くの場合、IT部門は強力なパスワードを確保するために、パスワードルールを実装し、それをテクノロジーで適用します。最新の推奨事項は次のとおりです。

  • 特殊文字が必要です。以前は、数字と大文字と小文字の組み合わせが推奨されていました。ただし、ユーザーは通常、パスワードの末尾に数字を追加し、単語の先頭に大文字を使用するため、これらのパターンにより、パスワードの予測が容易になります。
  • 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ P などのパスフレーズを選択することをお勧めします。
  • ユーザーにパスワードの頻繁な変更を要求しないでください。以前は、ハッカーがパスワードを入手した場合に備えて、ユーザーは60〜90日ごとにパスワードを変更することが推奨されていました。ただし、これはユーザーのメモリ負荷を増加させるだけで、覚えやすいパスワードを使用する可能性が高くなり、さらに悪いことに、ポストイットノートやスプレッドシートに書き込む可能性が高くなります。

より強力なパスワードは役立ちますが、安全なパスワードを使用したメモリの問題は依然として問題です。そのため、最先端の企業は、パスワードのセキュリティギャップを本当に解消する唯一の方法が、シングルサインオン(SSO)と多要素認証(MFA)の2つのツールをITツールボックスに追加することであると認識しています。

安全なSSOとリスク対応のMFAは、パスワードセキュリティの黄金の鍵です

シングルサインオンと多要素認証は、ユーザー認証の主要な問題に対処するため、IPと企業秘密を真に保護するために重要です。

  • 従業員が覚えておく必要があるユーザー名とパスワードの数を減らします。
  • 従業員が複数のアプリやWebサイトにアクセスする必要がある場合でも、ログインする回数を減らします。
  • ユーザーの身元を確認するために、ユーザーにパスワード以外の追加情報を要求する。
  • パスワードを忘れた場合でも、ユーザーが簡単に安全にリセットできるようにします。

シングル・サインオン。SSOは、ユーザーが1回のログインで1組の資格情報だけを使用して、複数のアプリケーションとWebサイトで安全に認証できるシステムです。SSOを使用すると、ユーザーがアクセスするアプリケーションまたはWebサイトは、信頼できるサードパーティに依存して、ユーザーが本人であることを確認します。

多要素認証。MFAは、複数の資格情報を要求することによってユーザーのID を検証するセキュリティシステムです。MFAは、ユーザー名とパスワードを尋ねるだけでなく、ユーザーのスマートフォンからのコード、セキュリティの質問への回答、指紋、顔認識など、その他の(追加の)資格情報を必要とします。(2要素認証や2段階認証など、他の名前で呼ばれるMFAを聞いたことがあるかもしれません。)

これらのゴールデンキーのいずれかを追加すると、組織のデータがロックされ、不正アクセスを防ぐのに役立ちます。ただし、両方を追加すると、違反を防止できる可能性が最も高くなります。

SSOには多くの利点があります

シングルサインオンには複数の利点がありますが、従業員は1組の資格情報を使用して一度だけサインインする必要があります。

  • セキュリティとコンプライアンスの向上。
  • 使いやすさと従業員の満足度の向上。
  • ITコストの削減。

SSOのセキュリティとコンプライアンスはほんの始まりにすぎません

ユーザーが新しいアプリケーションまたはマシンにログインするたびに、それはハッカーの機会です。従業員は1日に1回だけログインし、1組の資格情報のみを使用するため、SSOにより攻撃の対象となる数が減少します。

SSOは、機密データにアクセスするユーザーの効果的な認証に関する政府および業界の要件に対処するのに役立ちます。ほとんどのSSOシステムは、ユーザーのアクティビティとアクセスを追跡するための監査証跡も提供します。また、どのSSOソリューションでも自動ログオフを有効にする必要があります。これは、高度に安全な環境で作業している人にとってもう1つの頻繁な要件です。

SSOは従業員の使いやすさを向上させます

アプリごとに個別のユーザー名とパスワードを維持することは、従業員にとって大きな負担になります。率直に言って、それは非現実的です。また、従業員が顧客サイトや遠隔地にいる場合、SSOはさらに重要です。

シングルサインオンは、ユーザーの認知的負担を軽減します。一度サインインすることで、時間とフラストレーションが節約され、従業員の生産性と満足度が向上します。

SSOによりITコストを削減

最後に、SSOはパスワードのリセットを減らすことでITコストを削減します。各アプリで従業員ごとに異なるユーザー名とパスワードが必要な場合、従業員がパスワードを忘れる可能性が高く、パスワードをリセットするためのチケットが山積みになることを意味します。

ユーザーが覚える資格情報のセットが1つしかないため、SSOによってチケットが削減されるだけでなく、ユーザーは自分のパスワードをリセットできるため、ITの関与の必要がなくなります。これは、顧客またはベンダーのポータルの一部として特に役立ちます。

MFAはセキュリティにどのように役立ちますか?

MFAは、広く受け入れられ、セキュリティの重要なコンポーネントになりました。MFAはパスワードを超えてアクセスし、ユーザーが自分の身元をさらに確認する必要があるためです。これらの追加の要因は、ログイン資格情報を取得しようとするハッカーを深刻に苛立たせます。

多要素認証は、ユーザーからの追加の情報または資格情報を要求することにより、攻撃の成功を防ぐために機能します。フィッシング攻撃はユーザーの資格情報を取得する可能性がありますが、たとえば、ハッカーに指紋や個人的なセキュリティの質問に対する回答を提供することはありません。同様に、ブルートフォース攻撃または逆ブルートフォース攻撃は、有効なユーザー名とパスワードを見つけ出すことができますが、攻撃者はMFAシステムが必要とする他の認証要素を知らず、それらの資格情報を持っていません。

同様に、MFAは、追加のセキュリティ層を組み込むことにより、MITMなどのより高度な攻撃に対抗できます。ハッカーまたはプログラムがそれ自体を挿入し、従業員または顧客が入力した情報をキャプチャした場合でも、MFAを設定して、ユーザーが別のデバイスまたはチャネルから資格情報を提供するように要求できます。たとえば、ラップトップからログインする従業員は、OneLogin Protect認証システムなどの電話アプリを使用して、電話からコードを送信してログインを完了する必要がある場合があります。MITMハッカーはユーザーの電話にアクセスできないため、侵害は阻止されます。

デバイス、デバイス、非常に多くのデバイス

あなたの従業員と顧客は単に机にいるだけではありません。彼らは家にいる、バスに乗っている、顧客の外にいる、そしてホテルにいる。仕事にはラップトップ、タブレット、携帯電話を使用しています。そして、それらは常に動作するデバイスではありません。2016年の調査では、個人用にのみ携帯電話やタブレットを使用したと回答した回答者はわずか20%です。11そしてモビリティ専門家の2018年の調査では、85%がモバイルセキュリティの脅威から少なくとも中程度のリスクに直面していると答えています。

そして、それは結構です。SSOとMFAはどちらもデバイス間で機能します。従業員やベンダーは、自分のデバイスから一度だけサインインして、必要なすべてのアプリにアクセスできます。ユーザーが携帯電話、タブレット、またはコンピューターから情報にアクセスしているかどうかは関係ありません。MFAは、適切な追加データを求めて身元を確認します。

適応認証により、従業員のアクセスを合理化できます

SSOは確かに、より合理化されたエクスペリエンスを提供し、ログインを高速化および簡素化します。しかし、MFAではユーザーが追加情報を提供する必要があるため、従業員の生産性に悪影響を及ぼす可能性がありますか?あなたがしたい最後のことは、そのような動きの速い分野で従業員を遅くすることです。さらに、必要な認証要素が多すぎると、ユーザーが不満を感じます。

そこで適応型認証が登場します。

適応認証は、ユーザーが組織のリソースにアクセスしようとする方法を考慮して、主要な認証要素としてトランザクションコンテキストとユーザー動作を追加します。

スマート認証システムは、どこで、どのデバイスで、いつ作業するかなど、ユーザーが通常どのように機能するかを認識しています。ユーザーにとって通常とは見なされない動作は、攻撃を示す可能性があります。適応型MFAは、追加の認証を要求することにより、潜在的な攻撃に対応します。

アダプティブMFAは、組織にアダプティブ認証を実装するときに、特定の従業員または一連の従業員のベースラインログイン要件を決定するため、アクセスを合理化し、従業員の生産性と顧客の前進を維持します。特定のロケールのユーザーまたは特定の役割のユーザーにはより厳しい要件があり、他のユーザーにはそれほど厳密でない要件がある場合があります。

誰かが認証を試みるたびに、リクエストが評価され、リスクスコアが割り当てられます。リスクスコアに応じて、ユーザーは追加の資格情報を提供する必要があるか、逆に、より少ない資格情報を使用することが許可されます。

そのため、従業員がいつも使用しているラップトップを使用していて、通常勤務しているオフィスからログインしようとしている場合、ラップトップ経由でのみアクセスするように求められることがあります。一方、同じ従業員がユーザー名とパスワードを使用して機密データにアクセスしようとすると、電話で追加のログイン情報を入力するよう求められる場合があります。または、マネージャが通常のオフィスから離れた地理的な場所からログインした場合、セキュリティの質問に答えなければならない場合があります。

結論

テクノロジー業界のIT部門は、セキュリティに関しては厳しい状況にあります。需要は高く、収益、絶え間なく変化する労働力とテクノロジー、グローバルエコシステムに起因しますが、障害のコストはさらに高くなります。

最も弱いリンクのいくつか(パスワードと認証)を強化することは、侵害に対する重要な保護を追加する比較的高速な修正です。重要な2つのテクノロジーが重要です。シングルサインオンはハッカーの攻撃面を減らし、多要素認証はパスワード以外の保護を追加します。適応認証により、組織は従業員、顧客、ベンダーなどに負担をかけないスマートな方法でセキュリティを追加できます。これらのテクノロジーを組み合わせることで、データと知的財産を保護しながら、俊敏性と生産性を維持できます。

OneLoginについて

OneLoginは統合アクセス管理のリーダーであり、組織がWorld™にアクセスできるようにします。あらゆる規模の企業が、OneLoginを使用して会社のデータを保護する一方で、IT管理者とエンドユーザーの効率を高めています。

私たちのアイデンティティ管理ソリューションの実装は、数日ではなく数時間で達成でき、フル機能の管理およびセルフサービスポータルを提供します。オンプレミスおよびクラウド/ SaaSアプリケーションを処理する当社の能力により、ハイブリッドエンタープライズでサービスとしてのアイデンティティを選択するベンダーが選ばれました。多要素認証、スマートフォンやタブレットでのワンクリックアクセスのためのモバイルID 管理、およびリアルタイムのディレクトリ同期により、保護がさらに強化されます。

MFAが企業とその顧客を保護する方法

企業には問題があります。そして、それは成長しています。米国では、データ漏えいにさらされたレコードの数は、2017年の1億9,800万から2018年には4億4,600万に増加しました。Microsoftによると、フィッシング攻撃は2018年に250%増加しました。ランサムウェア攻撃も増加しています。サイバースパイや伝統的なサイバー犯罪も同様です。最近の攻撃の一部を次に示します。

  • 2018年- 暗号化されたクレジットカード情報を含むMarriott Starwoodのゲストデータベースへの不正アクセスにより、5億件のレコードが盗まれました。
  • 2018年-State FarmとDunkin Donutsはどちらも、クレデンシャルスタッフィング攻撃の犠牲になりました。ハッカーは漏えいしたユーザー名とパスワードの組み合わせを使用し、アクセスするまで他のアカウントで試しました。
  • 2019テキサス州の自治体— 22の自治体がランサムウェア攻撃の被害を受け、ハッカーは250万ドルを要求しました。攻撃者は、フィッシングメールを介して侵入する可能性が最も高く、そのような攻撃の最も一般的な方法です。
  • 2019 Quest Diagnostics — 患者の財務および医療情報を含む、1190万件のレコードが公開されました。無許可のユーザーが、データが含まれているAmerican Medical Collection Agencyシステムにアクセスしました。

ハッカーは、多くの場合フィッシングメールや認証情報の詰め込みを通じて、ユーザー名とパスワードを入手することに集中しています。顧客とビジネスをどのように保護しますか?シングルサインオンの上に多要素認証を重ねることにより保護します。

ステップ1:シングルサインオンでパスワードの数を減らす

Verizonの2019年のデータ侵害調査レポートによると、侵害の29%は資格情報の盗難に関係しています。パスワードは脆弱なリンクです。調査によると、72%の人がパスワードを思い出せないため、70%の人がパスワードを再利用しています。だからチャンスがあり、その盗まれたパスワードは、どこか別の場所で使用することができます。

企業が問題に対処する1つの方法は、従業員がリソースにアクセスするために必要なパスワードの数を減らすことです。このようにして、IT部門はユーザーが覚えておく必要がある1つのパスワードが安全なものであることを確認することに集中できます。パスワードの削減を可能にするテクノロジは、シングルサインオン(SSO)と呼ばれます。

シングルサインオンを使用すると、ユーザーは1組の資格情報(ユーザー名とパスワード)だけで1回ログインするだけで、複数のアプリケーションとWebサイトに安全にサインインできます。SSO は、従業員、請負業者、およびパートナーが必要とするパスワードの数を減らします。SSOを正しく実装すると、ユーザーは1つのパスワードを使用して、すべてのクラウドアプリとすべてのオンプレミスのレガシーアプリにアクセスできます。

SSOはどのように機能しますか?

SSOは通常、アプリでの認証にSecurity Assertion Markup Language(SAML)と呼ばれる標準プロトコルを使用します。SAMLは、XMLベースのオープンスタンダードであり、OASISセキュリティサービス技術委員会の製品です。ほとんどのSaaSベンダーは既にSAMLをサポートしているため、SSOソリューションを簡単に使用できます。たとえば、多要素認証の広範なアプリカタログには、G Suite、Office 365、Workday、Box、Salesforce、その他数千のアプリのSAML統合が含まれています。

SAML SSOを使用すると、アプリケーションはユーザーを直接認証しなくなります。アプリはユーザーパスワードを保存しませんが、代わりにIDプロバイダー(SSOソリューション)に依存して認証を実行し、IDデータをアプリケーションに渡します。IDプロバイダーのみがIDデータを渡すことができるようにするために、2つのパーティはデジタル署名に依存しています。これにより、アプリケーションは、IDデータが信頼するIDプロバイダーからのものであることを確認できます。

会社がすでにActive DirectoryまたはLDAPを使用してIDを管理している場合は、それを多要素認証に接続するだけで、ADまたはLDAPをシステムとして使用できます。多要素認証は、Active DirectoryおよびLDAPコネクタを介して、複数のフォレストおよびドメインを持つ複雑なディレクトリインフラストラクチャに簡単にプラグインできます。コネクタにより、ディレクトリ内のユーザーおよびグループメンバーシップへの変更がすべて自動的にプッシュされます。

パスワードなしの認証への移行

シングルサインオンには、セキュリティ上の大きなメリットがあります。ユーザーがパスワードを思い出せない場合、次の傾向があります。

  • すべてに同じパスワードを使用する
  • パスワードを変更しないでください
  • パスワードをプレーンテキストで保存する

最悪の場合、パスワードを忘れてリセットを要求するだけです。ITスタッフがユーザーパスワードのリセットに何時間も費やすので、何度も何度も時間とお金が失われます。

そのため、将来はパスワードなしの認証になります。SSOを使用すると、ほとんどの方法でアクセスできます。

パスワードをなくすと、文字通りハッカーの機会が減ります。 ただし、企業データと犯罪者の間の唯一の障壁がパスワードである場合、盗まれた1つのパスワードでも多すぎます。

そこで多要素認証が登場します。

ステップ2:多要素認証でセキュリティギャップを埋める

Multi-Factor Authentication(MFA)は、侵害される可能性のあるパスワードだけに依存するのではなく、複数の認証要素を要求することによってユーザーのIDを検証します。通常、1 分以内に期限が切れるワンタイムコードや、指紋や顔認識などの生体認証要素など、追加の認証要素はより強力です。

強力な認証要素は、簡単に侵害されることがないため、ユーザーのIDに関する保証を強化します。MFAを使用すると、サイバー犯罪者はユーザー名とパスワードを盗む可能性がありますが、ログインを試みるときに別の方法で身元を確認する必要があるため、犯罪者は妨害されます。

MFAの歴史

認証はテクノロジーとして進化し、進化を続けています。通常、認証の歴史における3つのフェーズについて説明します。

フェーズ1

パスワードやPIN など、知っていること(知識)に基づく認証。

含まれるもの:

  • ユーザー名
  • パスワード

フェーズ2

バッジやスマートフォンなど、知っているものと持っているもの(所有物)に基づく認証。

含まれるもの:

  • 電話
  • スマートカード
  • 物理デバイス

フェーズ3

指紋や顔認識などのバイオメトリクスによって示される、知っているものとあなたが持っているもの(継承)に基づく認証。

含まれるもの:

  • 指紋
  • アイスキャン
  • 顔認証
  • 個人のセキュリティ問題

どのような追加の要素もないよりは優れています

それに直面してみると、追加の要因が役立ちます。このホワイトペーパーの冒頭で説明したデータ侵害が示すように、サイバー犯罪者がユーザー名とパスワードを盗むのはあまりにも簡単です。

しかし、犯罪者がラップトップや電話などの物理的なデバイスも盗む必要がある場合、犯罪が成功する可能性は低くなります。特定のユーザーの電話をユーザー名とパスワードとともに盗むには、はるかに協調した努力が必要です。 ユーザーにスマートフォンから指紋を入力するよう要求するか、顔認識を使用するよう要求すると、ハッキングに対する別の大きな障害が発生します。

そのため、多要素認証の追加を検討する企業が増えています。そして、サイバー保険会社が多要素認証の使用を保証する機関をますます必要とするのはそのためです。

ステップ3:適応認証で旅を合理化する

だれも仕事を遅くしたくありません。 MFAを追加するとワークフローが複雑になったり遅くなったりすることが懸念される場合は、妥協できない1つのことはセキュリティであるため、オプションがあります。

そこで最新の認証イノベーションが登場します。これは、リスクベース認証または適応認証と呼ばれています。

静的ルールは、ユーザビリティとセキュリティの最適なバランスを常に提供するとは限りません。たとえば、企業のWi-Fiを利用しているからといって、必ずしもユーザーのログインが安全であるとは限りません。逆に、これがそのデバイス上でのユーザーの通常の場所と行動であれば、自宅のコンピューターから自宅にアクセスする従業員は完全に信頼できる可能性があります。適応認証では、このようなユーザーコンテキストが考慮されます。

リスクベース認証は、機械学習を使用して場所やデバイス全体のユーザーの行動を追跡し、そのユーザーの行動プロファイルを構築して、リアルタイムで認証決定をリスクスコアリングし、多要素認証をトリガーするために使用できます。リスクベース認証は、次のような幅広い入力に基づいて、ユーザーに多要素認証(MFA)を要求するかどうかを決定します。

  • ユーザーの場所と最近の旅行パターン
  • ユーザーが使用しているIPアドレス
  • ユーザーがログインしている時刻
  • ユーザーがアクセスしているデバイス

リスクベース認証は、ユーザーが作成したプロファイルに基づいて、新しいログイン試行のリスクをスコアリングします。リスクスコアが高いログイン試行には、より多くの認証が必要です。

さまざまなユーザーとグループについて、デフォルトで追加の要素をユーザーに求めるようにするかどうかを決定し、リスクプロファイルが低い場合にのみユーザーに少ない要素を求めるようにします。これは、財務データや顧客の個人情報にアクセスできる人には適しているかもしれません。または、デフォルトでユーザー名とパスワードを要求し、リスクプロファイルがより高いリスクを示している場合は追加の要素を要求することもできます。このレベルの制御により、各タイプのユーザーが適切な認証プロセスを取得し、安全である限り常に合理化された状態に保つことができます。

結論

企業は、企業と顧客のデータを保護する必要があります。2018年の違反の平均コストは、レコードあたり148ドル、米国では790万ドルでした。影響も続き、NASDAQでの企業のパフォーマンスは、違反から3年後に-15.58%低下しています。ビジネスを保護する必要がある一方で、生産性を維持するには、従業員の認証を迅速かつ簡単に維持する必要もあります。

そのためには、シングルサインオンとMFAが重要です。シングルサインオンは、ユーザーが必要とするパスワードの数を減らし、ハッカーの機会の数を減らします。多要素認証は、他の認証要素を追加するため、保護としてパスワードだけに依存しているわけではないことを保証します。また、適応型認証とその機械学習を使用して、必要な場合にのみ追加の要素をユーザーに要求できます。

リスクベース認証の究極のガイド

パスワードだけでは不十分

おそらくご存じのとおり、パスワードだけでアプリケーションを保護することは、侵害のレシピです。あなたが知らないかもしれないことは、状況が悪化しているということです。2016年のベライゾンのデータ侵害調査レポート(DBIR)は、データ侵害のほぼ3分の2が、弱い、デフォルトの、または盗まれたパスワードを含むと述べています。DBIRの2017年版では、その数が80%以上に増加していることがわかりました。この傾向を引き起こしている可能性のある2つの要因:弱いパスワードが一般的であり、それらの弱いパスワードは1ミリ秒未満で推測されます。

静的ルールも十分ではありません

パスワードの脆弱性のため、多要素認証はセキュリティを強化するために重要になりました。しかし、従来のアクセスマネージャーは、現在進化し続けるセキュリティリスクに対応できない静的ルールを使用しています。これらの静的ルールにより、リスクが高いログイン時にMFAを要求しないようになっています。逆に、リスクの低いログインには追加の要素が必要です。これは、両方の世界で最悪の事態につながります。ユーザーにとっての摩擦の増加と、組織にとってのリスクの増加です。

必要なのは、静的ルールをマシンインテリジェンスに置き換えて、ログインのリスクをより適切に測定し、必要に応じてMFAを要求できるようにすることです。これを適応認証と呼びます。このホワイトペーパーでは、静的ルールがログインリスクを正確に測定できず、真に必要なときにMFAを展開できないユースケースについて説明します。また、適応認証がログインリスクをより適切に測定する方法についても説明します。最後に、組織で適応認証を進める方法について説明します。

静的ルールがどのように失敗するか

静的ルールがログインリスクを正確に測定できない例を3つ示します。

失敗1:フィッシング攻撃

フィッシング- マルウェアをインストールしたり、資格情報を取得したりするリンクや添付ファイルをクリックするように受信者を誘導する詐欺メールを送信することは、ハッカーが組織を攻撃するための非常に一般的な方法です。2017年のVerizon DBIRにおける侵害の90%以上は、ある種のフィッシングに関係しています。残念ながら、この種の脅威に対処するための静的ルールは不十分です。これは、静的ルールにIP ホワイトリストが含まれることが多く、企業のすべてのIPアドレスを信頼できるものとして扱い、MFAを必要としないためです。考え方は、行く場合はログインが会社から来ている施設が、それはハイリスクではありません。

しかし、フィッシングメールに従業員のラップトップにマルウェアをインストールするためのリンクが含まれており、このマルウェアが多数の異なるパスワードを繰り返し試行することからなるブルートフォース攻撃を使用してSaaSアプリケーションにアクセスしようとする場合を考えてください。さんがしてみましょういくつかのことを前提とし、それらのアプリケーションは、これらのタイプに対処するために硬化されていないロックアウト、CAPTCHAの、または他のアカウント、いくつかのログインスロットリングを経由して攻撃対策を。最終的に、マルウェアは正しいパスワードを見つけます。その場合、IPのホワイトリストにより、静的ルールはMFAにチャレンジしません。マルウェアはSaaSアプリケーションにアクセスし、攻撃を続行できます。

失敗2:悪意のある訪問者

あなたのオフィスを見回してください。現場の全員が信頼できる従業員ですか?もちろんそうではありません。あなたのオフィスには、請負業者、顧客、ベンダー、求職者、およびサービススタッフがいます。彼らの誰もが少しのソーシャルエンジニアリングでオフィスのWiFi パスワードを発見する可能性があります。ゲストのWiFiにアクセスできないふりをするだけで、緊急にネットワークアクセスが必要になり、善意の従業員がそれを手伝ってくれるかもしれません。ただし、企業が静的ルールを使用してIPホワイトリストを設定すると、結果は悲惨なものになる可能性があります。悪意のある訪問者は、(弱い)パスワードだけを使用して2番目の認証要素を提供することなく、会社のアプリケーションへのログインを試みることができます。

失敗3:信頼できるリモートの従業員

ホームオフィスで数か月働いている従業員を考えてみます。毎日、同じIPアドレス、物理的な場所、ラップトップ、および勤務時間を持っています。また、それらは常に認証するための2番目の要素を提供します。静的ルールに依存する認証製品は、これを常にリスクの高いログインと見なし、ログオンする前にその従業員に2番目の要素を提供するように強制します。認証システムは、いくつかの認証が成功した後、これがリスクの低い状況であることを学習しません。

これは「セキュリティシアター」の例です。これは、セキュリティを向上させるように見えるかもしれませんが、実際にはそうではありません。従業員が第2の要素を繰り返し提供する必要があるため、従業員の生産性が低下します。実際には、セキュリティイベントと情報管理(SIEM)システムに余分なセキュリティイベントを追加することにより、セキュリティが低下します。これにより、実際の脅威の検出が困難になるノイズが追加されます。企業が1日に200,000のセキュリティイベントを見る可能性があるため、これは重要です。このデータのファイアホースに追加すると、セキュリティアナリストがセキュリティインシデントを調査する時間と、ハッカーが攻撃を実行する時間の両方が増加します。ごみが入り、ごみが出ます。

よりスマートなリスクスコアリングのための機械学習

静的ルールはリスクを正確に測定できないため、MFAが必要な場合と必要でない場合を判断するためのより良い方法が必要です。これは、リスクベース認証で行ったことの1つです。アカウント乗っ取りのリスクを減らす必要があるセキュリティチーム向けに構築された適応認証は、機械学習を使用して

各ログイン試行のリスクをスコアリングし、リスクの高いログインを行うユーザーに追加の認証要素を提供するよう要求します。これらには、ワンタイムパスワード(OTP)またはセキュリティの質問を含めることができます。

リスクベース認証はネットワーク、地域、デバイス、時間などの幅広い入力を使用して、ユーザーの典型的な使用パターンや経時的な行動を学習します。通常の使用法からの逸脱が大きいほど、リスクスコアは高くなります。リスクスコアは、信頼性の低いIPアドレス(Tor出口リレーなど)、新しい国または都市、または離れた場所から特定の人が与えられた時間枠でアクセスできない場所からのネットワークトラフィックによっても増加します。

静的ルールとは異なり、リスクベース認証は時間の経過とともに賢くなり、次のようなさまざまなシナリオでリスクを正確にスコアリングできるようになります。

  • フィッシング攻撃
  • 悪意のある訪問者
  • 信頼できる遠隔地の従業員
  • モバイルデバイスの泥棒
  • 匿名化されたハッカー
  • 悪意のあるボットネット
  • アカウントの乗っ取り

適応認証が脅威に対処する方法

適応認証のしくみを説明するには、以下の7つの状況を確認してください。

シナリオ1:フィッシング攻撃、再考

会社のネットワークで実行されている従業員のコンピューターにマルウェアをインストールして、会社のアプリへのログインを繰り返し試行するフィッシング攻撃の前の例をもう一度見てみましょう。簡単にするため、マルウェアが検出を回避するために営業時間中にのみログインを試み、マルウェアが攻撃しているのと同じアカウントでログインしている従業員がいないと仮定します。多くのログイン試行の後、マルウェアが最終的に正しいパスワードを使用すると、適応認証がこの認証試行のリスクプロファイルを表示する方法は次のとおりです。

このログインは会社のネットワークからのものであるため、信頼できないネットワークや地域からのログインに関連するリスクは発生しません。しかし、マルウェアのHTTPクライアントは、これまでに見たことのない新しい「デバイス」であり、高いリスクを示す新しいデバイスフィンガープリントを持っています。したがって、適応認証はマルウェアに2要素認証を使用した認証を要求します。マルウェアは、ソフトウェアである、明らかにすることはできません正確に携帯電話を引き出すと、ワンタイムパスワードを送信します。このため、ログインがブロックされ、フィッシング攻撃が阻止されます。

これは、適応認証に関する重要なポイントを提起します。ファイアウォールの内側にある企業のIPアドレスからのログインであるため、ログイン試行を信頼する必要はありません。それはより高い基準へのログイン試行を保持します。彼らは彼らのデバイスの指紋といつでも異常について精査される必要があります。このため、適応認証はIDのゼロ信頼の概念を実装していると考えることができます。

シナリオ2:悪質な訪問者、再訪

悪意のある訪問者の例に戻ります。ハッカーはあなたのオフィスのWiFi パスワードを取得し、従業員の資格情報を使用してオフィスの時間中にアプリにアクセスしようとします。訪問者が、適応認証でこれまで見たことのないラップトップを使用していて、従業員が現在ログインしていないアカウントを使用していると仮定します。適応認証では、前のフィッシングの例と同様に、この認証試行のリスクプロファイルを表示します。

悪意のある訪問者のラップトップはこれまで見られたことがないため、リスクが高いことを示す新しいデバイスフィンガープリントがあり、MFAのプロンプトが表示され、訪問者による従業員アカウントへのアクセスの試みがブロックされます。

シナリオ3:信頼できるリモートの従業員、再訪

次に、同じIPアドレス、物理的な場所、ラップトップから同じ時間のセットで繰り返しログインし、認証するための第2の要素を一貫して提供してきた長年の在宅勤務者の例をもう一度見てみましょう。このパターンが確立されたら、適応認証がこの認証試行のリスクプロファイルを表示する方法を次に示します。

このログインは確立された使用パターンに従っているため、ネットワークの評判、地理的な場所、デバイスの指紋、および時間の異常に関連するリスクレベルは低くなります。在宅勤務者は、自分のアカウントID とパスワードだけでログインすることを許可される可能性があります。さらに、Splunk、Sumo Logic、ELKなどのSIEMシステムでは、通常どおりログインしているリモートの従業員からの誤検知のノイズは発生しません。

静的ホワイトリストは、信頼できるリモートの従業員には機能しません。これらのリモートの従業員が多数いる場合、特に居住地を変更する場合は、ホワイトリストルールが複雑になり、維持するのが面倒になります。さらに悪いことに、従業員が退社し、ホワイトリストに登録されたIPが静的ルールから削除されていない場合、この複雑さがセキュリティのギャップにつながる可能性があります。

シナリオ4:モバイルデバイスの盗難

従業員のロック解除されたモバイルデバイスが営業時間の翌日の夜に盗まれ、その直後に泥棒がそれを使用して企業のアプリにログインしようとしたとします。以下は、適応認証がこの認証試行のリスクプロファイルを表示する方法です。

このデバイスは過去に会社のアプリへのアクセスに使用されていたため、デバイスの指紋に関連するリスクは低くなっています。ただし、泥棒は深夜にデバイスを使用しており、これは異常な時間であり、リスクスコアが上昇します。泥棒は、以前には目に見えなかったネットワークや都市からも侵入しています。これらはリスクスコアをさらに高めます。リスクが高いため、泥棒はMFAに挑戦し、会社のアプリにアクセスできません。

シナリオ5:匿名化されたハッカー

ハッカーが自分のデバイスを使用して、営業時間中にリモートの場所から企業のアプリにアクセスしようとしたと仮定します。匿名を維持するために、Torを使用して身元を保護します。ハッカーがこのユーザーが通常使用するOSとブラウザを正しく推測したとしましょう。適応認証は、この認証試行のリスクプロファイルを次のように表示します。

Tor出口リレーから来ることは、以前に見えなかったIPアドレス、都市、およびデバイスから来るのと同様に、リスクスコアを高くします。このハッカーは、多要素認証を使用した認証を要求され、会社のアプリからそれらをブロックします。

シナリオ6:悪意のあるボットネット

ハッカーがボットネット上の複数のノードで実行されている悪意のあるソフトウェアを使用して、会社のアプリに対してブルートフォースパスワード攻撃を実行し、営業時間中にログインを試みるとします。前回と同様の例、のは、聞かせて、ハッカーが正しく想定し、ユーザーの典型的なOSとブラウザを推測しました。適応認証は、これらの繰り返される認証試行のリスクプロファイルを次のように表示します。

適応認証は多くの問題を検出します。まず、IPはAlienVault Open Threat ExchangeやProject HoneyPot によって悪意のあるものとしてリストされる可能性があります。さらに、IPアドレス、都市、デバイス、および場合によっては国は、これまでに見たことのないものであり、それらすべてがリスクスコアを増加させます。最後に、地理的に離れた2つのボットネットノードがログインを試みた場合、適応認証はそれをユーザーの信じられないほど速い動きとして検出し、さらにリスクを高めます。これらすべてがMFAの使用をトリガーし、悪意のあるソフトウェアによるアクセスをブロックします。

シナリオ7:アカウントの乗っ取り

最後の例として、アジアにいるハッカーが企業アカウントの1つに対する資格情報を発見したとします。彼らは、米国の従業員の1人がこれらの資格情報も使用している通常の営業時間中にこれらを使用してログインします。適応認証はこれを次のように認識します。

地理的に離れた2つの場所からアカウントにアクセスしているという事実により、リスクスコアが高くなります。アカウントが数時間離れてアクセスされたとしても、誰かが米国からアジアに12時間未満で飛行できないという事実は、異常に速いユーザーの動きを示し、リスクスコアも増加します。

このリスクスコアの上昇により、両方のユーザー(従業員とハッカー)はMFAを介して自分自身を認証する必要があります。ハッカーは自身の認証に失敗し、企業アプリへのアクセスをブロックされます。

組織内での適応認証の実装

以下は、組織に適応認証を実装するときに探す機能です。

組み込みの分析

それはだ、各ログイン試行、リスクスコア、表示できるようにする重要と各スコアの要因を。リスクベース認証は、リアルタイムで正確にそれを提供します。たとえば、上記のシナリオ1のフィッシング攻撃は、リスクベース認証を使用する管理者にどのように表示されるかを次に示します。

  • Lee BrownはOTPのためにチャレンジ
    • 実行者:Lee Brown
    • I P アドレス:174.66.263.4
    • 実施時刻:1分前(29-Mar 13:11)
    • ユーザー名:Lee Brown
    • リスクレベル:中リスク(34/100)
    • リスクの理由:
      • iPhone上のSafariはまれに使用されている
      • 新しいIPアドレスからのアクセス
    • イベント時間(ISO8601 ):2017-03-29T13:11:40-07:00

SIEM統合

Splunk、Sumo Logic、Elastic、その他の企業のいずれの企業であっても、ほとんどのセキュリティチームはすでにセキュリティ分析を実施しています。リスクベース認証は、さまざまな認証イベントをこれらのシステムにストリーミングします。これらのイベントには、ログイン試行とそのリスクスコア、リスクの理由、ユーザー名、およびIP アドレスが含まれます。データはJSON形式で送信されます。これは、幅広いSIEMシステムで使用でき、進行中の攻撃をより迅速に分析するために、ポーリングではなくストリーミングを介してリアルタイムで送信されます。これらのイベントがSIEMシステムに入ると、他のイベントと同様にクエリを実行して分析できます。

あなたのMFAは、より良くなりました

一部の認証製品では、MFAツールを使用する必要があり、閉じたエコシステムに強制されます。リスクベース認証ではありません。独自のリスクベース認証によるOTPとの連携に加えて、適応認証は、Duo、Google Authenticator、Symantec VIP Access、Yubico Yubikey 、RSA SecurID、VASCO DIGIPASSおよびIDENTIKEY、Gemalto SafeNet Authentication Manager、Swivel PINsafe などのさまざまなMFAプロバイダーとも連携します。これらのMFA製品のいずれかを使用して2番目の要素を送信するには、リスクスコアの高い認証が必要になる場合があります。

置き去りにされたユーザーはいません

スマートフォンを持たないユーザーの場合、リスクベース認証はSMS経由でワンタイムパスワードを送信して、追加の認証要素を提供できます。セキュリティの質問は、追加の認証要素としても使用できます。

高い生産性MFA

従来の多要素認証製品は使いにくいものでした。電話のロックを解除し、モバイルMFAを開き、「番号を送信」ボタンを押す必要があります。または、短時間で手動で数字を入力することもできます。この摩擦により、組織がセキュリティ態勢を改善する必要があるMFAの展開が遅れました。

リスクベース認証によるOTP(多要素認証で使用するためのワンタイムパスワードを生成するモバイルアプリケーション)とシームレスに統合されます。

リスクベース認証によるOTPを使用すると、ユーザーは携帯電話のロック画面またはApple Watchにプッシュ通知を表示し、ログイン試行を受け入れるか拒否するかを選択できます。これにより、ユーザーエクスペリエンスが向上し、MFA の採用が増え、組織のセキュリティ体制が向上します。

多要素すべて

パスワードのみの認証の弱点を考えると、SaaSアプリケーション、クラウドインフラストラクチャ、VPN、WiFiを含むすべてのIT資産にMFAを適用することは理にかなっています。リスクベース認証は、Office 365、G Suite、Salesforce.com、アマゾンウェブサービス(AWS)、Microsoft Azure、Google Cloudなどのクラウドインフラストラクチャ、Cisco、F5、およびPulse SecureのVPN、Cisco MerakiとArubaのWiFiなどのSaaSアプリを保護します。