サードパーティ ID というリスク:サプライチェーンを IAM で安全かつ効果的に統合する

Third-Party Identities: The Weakest Link in Your Cybersecurity Supply Chain

2024/10/28 SecurityAffairs — サイバー攻撃における 70% 以上と言われるほどの割合で、認証情報の侵害やアイデンティティの盗難が関係しており、この攻撃ベクターは重大な懸念事項とされている。ただし、この問題は、主として可視性の欠如に起因しているという。毎日システムにログインする ID の数と、その出所を認識しているだろうか? 興味深いことに、その大多数は従業員からのものではない。


最近のレポート B2B IAM – The Hidden Value of Third-Party Identities によると、外部 ID は従業員 ID の約2倍に上るという。従来からの “社内” 従業員 ID が 29% を占めるのに対して、非従業員 ID または “社外” ID の合計は、全ユーザーの 48% を占めている。この、請負業者/ベンダーなどに発行される ID が問題となり、それらの資格情報の安全が確保されない場合に、企業が危険に直面するという可能性が生じる。

優れた IAM (Identity and Access Management) ソリューションは、この問題を解決するソリューションである。上流のベンダーは、自身が引き受ける全てのログインを、安全かつ一元的に管理することが可能であり、追加の技術的な問題も発生しないため、その拡張も容易である。

IAM は数多くの企業にとって、サードパーティ・リスクに対処するための重要なセキュリティ・ツールである。その一方で、組織の拡張/他システムとの統合/デジタル化における課題の解決に役立つ技術でもある。そのことは、あまり認識されていないかもしれないが、IAM には2つのメリットがある。

そうなる理由について掘り下げていこう。

認証情報で満ちたサプライ・チェーンの危険性

サプライ・チェーンの階層が深いということは、数多くのサードパーティに存在していることを意味する。また、多くのサードパーティが存在するということは、ID/Access 管理に関する、数多くの問題が発生し得ることを意味する。それぞれの組織が独自のセキュリティを持ち込むため、自社のセキュリティと接続サードパーティのセキュリティが、全体的なセキュリティ・ステータスの平均になる。

このような状況は、多くの場合において負の要素となる。あなたのセキュリティに対して、最も気を配っている人は、あなた自身である。したがって、他の組織とのインタラクションにおいてリスクを負うのも、あなたである。サプライ・チェーン・ベンダーに対して門戸を開くということは、認証情報の部門でエラーが多発する可能性の高まりを意味する。

少し視点を変えて、ユーザー名とパスワードにおいて、多少のリスクが増大するとで、どのような結果が生じるのかを考えてみよう。実際のとこと、かなりリスクが増大するようだ。最近の Google レポートによると、侵害の 86% は、盗まれた認証情報に起因しているとされる。したがって、今後の 10 年を生きながらえるデジタル・プレゼンスを望むなら、認証情報を中心とするサイバー・セキュリティに対して、スケーラビリティと成長を適度に取り入れながら、問題を緩和していく必要がある。

ここで IAM が役に立つ。

IAM で脆弱なリンクを強化する

セキュリティのないデジタル化とは、何を指すのだろうか? それは時限爆弾であり、グローバルなサイバー犯罪者にとって、実店舗よりも到達しやすいものである。ユーザー企業の在り方が、オンライン/クラウド/SaaS/サイバースペース/サードパーティへの依存/移行を推し進めるにつれて、こうしたアクセス・ポイントのロックダウンが重要な懸念事項となっている。

ゼロトラストとは、組織がサイバー・セキュリティに取り組む組織の方式を、根本的に変革する包括的なセキュリティ・フレームワークのことである。ゼロトラストは、”決して信頼せず、常に検証する” という原則に基づいて動作する。つまり、ネットワーク境界の内側か外側かに関係なく、どのユーザーもどのデバイスも信頼しないという、デフォルトを持つことである。

このアプローチは、厳格なアクセス制御と ID の継続的な検証を確実にするものであり、リスクを最小限に抑えることが可能になるため、今日における脅威の状況下において極めて重要なものとなっている。ゼロ トラスト・セキュリティ・モデルの採用が、包括的なセキュリティの目標であることを、デジタル化に少しでも触れたことのある誰もが知っているが、その目標に誰もが圧倒されている。しかし、圧倒される必要はない。少しずつ始めれば良いのだ。そして、最も悪質な攻撃ベクターの1つである、従来からのユーザー ID/アクセスの排除から始めよう。

IAM は、ゼロトラスト戦略の基本的な柱であり、それを開始するのに最適な場所でもある。侵害の 90% 近くが、認証情報の盗難に起因するという現実があり、この主要な侵害ポイントを排除することができれば、あらゆる組織において、最大限の結果が達成される。IAM は軽量かつ堅牢であり、組織のインフラを強化していく。つまり、ベンダー/パートナー/B2B/B2B2X などが絡まり合い、それらのセキュリティ欠陥が加算されることで、さらに複雑化する複雑なデジタル世界において、IAM は不可欠なものとなる。

それでは、実際に IAM が達成することを見ていこう。

重要なビジネス提案としての IAM

攻撃者たちは、何かが抜け落ちている場所を探し出す。企業同士の合併であれ、単なる B2B パートナーシップであれ、2つの組織が一緒になるときに何かが崩壊することを、彼らは適切に理解している。そのようなときに、認証情報の管理などは小さなことであり、スピードやアップタイムなどの陰に隠されてしまう。

そのタイミングで攻撃者たちは、こっそりと何かを拾い上げ、パスワードを盗み、アカウントを乗っ取り、権限を昇格していく。つまり、盗み出した認証情報から、さまざまな侵害を達成していく。しかし、いま直ぐに、堅牢な IAM ソリューションを導入すれば、複雑さに隠れて侵害しようとする、脅威アクターたちの活動を未然に防ぐことが可能になる。

B2B/ B2B2X に従事する組織にとって、コンプライアンス基盤をカバーし、ステークホルダーやパートナーに信頼性を証明し、クライアントの信頼を維持するために、IAM ソリューションは不可欠である。それは当然のことである。

技術的な利点としての IAM

サイバー開発プロセスで、後回しにせずに IAM を早めに実装することは、それ自体が勝利となるで。IAM ソリューションは、新たな目標を持つデジタル・エンタープライズが、既存/将来のテクノロジーを拡張/統合する際にも役立つ。

統合

セキュリティを統合しようとする場合には、すべてを1 つの屋根の下にまとめると便利である。適切な IAM ソリューションは、その屋根の下にあり、以下のものを統合できる。

  • ポリシー・コンフィグレーション
  • 多要素認証 (MFA)
  • シングル サインオン (SSO)

すべてのクラウドおよび Web アプリにおいても、考え方は同じである。それに加えて、ユーザー・ジャーニー・フローを調整することで、以下のような基本的なデジタル・インタラクションをカスタマイズできる。

  • オンボーディング
  • ログイン
  • セルフサービス

IAM を使用すると、WhatsApp から Salesforce や Splunk などにいたるまで、さまざまなアプリケーション間でシームレスな統合が可能になる。 IAM ベンダー Thales の EMEA Field Channel Director である Guido Gerrits は、以下のように説明している。

IAM の進歩により追加されたものには、シングルサインオン/多要素認証/アダプティブ アクセス制御、アイデンティティガバナンスなどの機能がある。さらに、IAM ソリューションが、各種のシステムやアプリケーションと統合されるようになり、ハイブリッド IT 環境全体で、ユーザー ID とアクセス権を柔軟に管理できるようになった。

スケーラビリティ

ビジネスの成功が、技術的な成功に左右されるような場合において、このサプライ・チェーンの管理というポイントが不可欠となる。企業が成長するときには、多くの場合において、新たな B2B/B2B2X パートナーの受け入れが必要となる。優れた IAM ソリューションは、オンボーディングやログインなどのプロセスを合理化するように構築されているため、サードパーティ側の必要性に応じて、簡単/柔軟/安全に、ユーザーを追加/削除できる。

さらに、複数のサプライ・チェーン・パートナーが相互に連携し、また、上流ベンダーと緊密に連携している環境では、IAM によりキュレーションされる信頼を確立し、それぞれの情報にアクセスできる組織/個人を明確にできる。それは、複雑なサプライ・チェーン内において、それぞれの職務/組織/個人に対して、それぞれのアクセス・レイヤーを割り当てる必要がある場合に役立つ。B2B アイデンティティ管理を達成した組織は、強固なセキュリティとコンプライアンスの態勢を維持しながら、内部システムへのアクセスを必要とする外部ユーザーに対して、シームレスかつ効果的に認証/承認を行う準備を整える。

簡単な勝利なので、あきらめないでほしい

脅威アクターたちは、人為的ミスを突くことで、十分な恩恵を被っている。IAM ソリューションを実装し、86% の攻撃ベクターを排除し、攻撃者たちを出し抜こう。それぞれの組織を、サードパーティ・リスクから保護するだけではなく、IAM の技術的利点を活用したアイデンティティ/アクセス管理を成長に合わせて実装することで、ゼロトラスト・エンタープライズに向けて、安全な一歩を踏み出していこう。

サードパーティ ID の管理という、とても悩ましい問題を、IAM で解決しようというスタンスの記事です。IAM の概念が分かる構成になっていて、訳しながら勉強できました。Thales のレポートがベースの記事となっています。よろしければ、以下の関連時事と合わせて、ご参照ください。

2023/03/01:SaaS 内の資産:3rd/4th パーティとの共有状況
2023/02/01:3rd パーティーから 4th パーティーへの可視化の拡大