Enterprise Identity Threat Report 2024：企業による ID 管理の盲点

Enterprise Identity Threat Report 2024: Unveiling Hidden Threats to Corporate Identities

2024/10/31 TheHackerNews — いまの職場はブラウザ中心であり、企業 ID が組織の最前線の防御として機能している。この、新しい境界とも呼ばれる ID が、安全なデータ管理と潜在的な侵害の間で活躍している。しかし、LayerX の最新レポートによると、各種プラットフォームにおける ID の使用の実態を、正確に認識していない組織の多いとのことだ。このような曖昧な認識により生み出されるのは、データ侵害／アカウント乗っ取り／資格情報の盗難に対して脆弱な組織である。

LayerX の “Enterprise Identity Threat Report 2024” は、LayerX ブラウザ・セキュリ・ティプラットフォームで収集された、独自のデータに基づいて構成されている。

このデータは、業界全体にまたがるかたちで可視化された、ブラウザ内における全てのユーザー・アクションに対する、LayerX の独自の支店から得られている。このレポートは、新たなリスクと発見された隠れた脅威に関する、詳細な分析を提供するものだ。このレポートの主要な調査結果をカバーする、ライブ・ウェビナーに登録する場合には、ココをクリックしてほしい。

以下は、このレポートを構成する調査結果の、最も重要な部分を詳しく分析したものである。

1. 最大のリスクは２％のユーザーから生じる

セキュリティの脅威を調査している専門家たちは、企業内で実施される全ての行動が、ビジネス運営に対する脅威であるという印象を受けるかもしれない。この種の FUD (Fear, Uncertainty and Doubt) は、リスク管理における優先順位付けに役立つものではなく、かえって逆効果となる。

それに対して、このレポートは、実際のリスクが生じ場所に関するデータを提供している。その結果として、組織内の２％のユーザーが、ID に関連するリスクの大部分の原因となっていることが判明した。それらの個人は、通常において、脆弱で侵害された認証情報を使用し、複数の公開データ侵害に登場し、また、古くて簡単に解読できるパスワードを使用し、SSO メカニズムをバイパスしている。

これらのユーザーには、もう１つの興味深い要因があり、それにより、さらなる危険がもたらされる。このレポートのスコープは、企業 ID の漏洩だけに留まらず、パスワードの漏洩と回数についても追跡している。パスワードが漏洩した ID は、平均で 9.5 件の侵害に出現している。その一方で、パスワードが漏洩していない状態で漏洩した ID は、平均で 5.9 の侵害に出現している。

その理由は、パスワードを含むデータセットに対して、攻撃者が多量の攻撃リソースを投入しているからなのか？ このデータが、それを肯定しているわけではない。つまり、パスワードが漏洩したユーザー関して言えば、データセットに登場する機会が多いほど、その資格情報が攻撃で利用される可能性が高くなるため、リスクが大幅に高まる。リスク管理計画では、この点を考慮する必要がある。

2. 企業の資格情報管理における盲点

このレポートが特定する、最も差し迫ったリスクには、シャドウ ID の蔓延がある。LayerX によると、企業ログインの 67.5% は、SSO の保護なしで実行されている。さらに懸念されるのは、組織ネットワーク内の SaaS アプリケーションへのログインの 42.5% が、企業のセキュリティ・チームの管轄外にある、個人アカウントを通じて行われていることだ。

これらの盲点により、ユーザーは企業の ID 保護を回避している。したがってセキュリティ・チームは、企業アクセスが行われている場所を把握できず、ID 関連のリスクの検出／対応が困難になる。

3. 企業のパスワードは個人のパスワードと同じくらい脆弱だ

企業におけるセキュリティ対策は、個人のケースよりも強力であると認識されている。たとえば、管理されたデバイスは BYOD と比べて安全であり、また、企業ネットワークはパブリック Wi-Fi と比べて安全である。しかし、パスワードに関して言うなら、このような構図に、ほとんど当てはまらない。

このレポートによると、パスワードに関する管理／ガバナンスのポリシーが存在しても、企業のパスワードの 54% が Medium／Low の強度にあると分析されている。それと同じ分析を、個人のパスワードに対して行った場合には、Medium／Low の割合は 58% になるという。このようなパスワードであっても、最低限のセキュリティ・ポリシーに準拠しているが、最新のツールを使用したとすると、30 分以内に解読されてしまうだろう。

4. ブラウザのエクステンション：見落とされがちで増大するリスク

LayerX の独自の視点は、最も普及しているが目に見えない、プロダクティビティ・ツールの１つである、ブラウザのエクステンションにまで及んでいる。LayerX の調査結果によると、ブラウザにインストールされているエクステンションの 66.6% に、高リスクにうなり得る権限が割り当てられ、ユーザーの 40% 以上が、このような高リスクのエクステンションをインストールしているという。これらの権限により、エクステンションを介した機密データへの不正アクセスが生じ、 クッキーやセッション・トークンなどの窃取が行われ、企業の資格情報の流出にいたる可能性もある。

5. 従来のセキュリティ・ツールを、高度な手法で回避する攻撃者

このレポートは、従来からの SWG (Secure Web Gateway) といったセキュリティ・ツールの弱点を、攻撃者たちが悪用する方式についても明らかにしている。その結果として明らかになったのは、ブラウザ関連の侵害を、これらのツールで効果的に防ぐことができなくなっている状況である。この項目における、主な調査結果は以下のとおりである。

これらの保護機能をバイパスする、悪意の Web ページの 49.6% は、正規のパブリック・ホスティング・サービス上にあり、既知のドメインの信頼を悪用して、検出を回避している。

それらの悪意のページの 70% は、既知のフィッシング・テンプレートと類似性のある、フィッシング・キットを使用していため、標準的なフィッシング検出メカニズムを回避できる。

これらのページの 82% は、リスクが高いと評価されているが、それらのページが所属する TLD (Top Level Domain) の 52% は、リスクが低いと評価されている。つまり、悪意のコンテンツを配布する攻撃者は、パブリックなインフラを悪用して、一般的な評判ベースの防御を操作していることになる。

“Enterprise Identity Threat Report 2024” に記される調査結果が示すのは、組織における ID セキュリティ戦略を再考すべきだという論点である。従来からの防御の手法である、ネットワーク・レイヤー保護／パスワード・ガバナンス／既存ツールへの信頼では、今日のブラウザ・ベースのリモート・アクセス環境を、もはや保護できなくなっている。少なくとも、セキュリティ・チームは、それらがカバーできない部分について、認識しておく必要がある。

とても説得力があり、なおかつ、とても怖い話です。セキュリティを考えるうえで、人間ほどの不安定要素は存在しないということです。まぁ、それは、社会全体に対して言えることなので、驚くべきことでも無いのかもしません。2023/12/20 には、「企業の 85% でインシデントが発生：そのうちの 11% は Shadow IT 関連」という記事をポストしています。よろしければ、カテゴリ Human と併せて、ご参照ください。