本文の内容は、2024年8月29日にCrystal Morin が投稿したブログ(https://sysdig.com/blog/why-identities-are-the-new-perimeter-in-the-cloud/)を元に日本語に翻訳・再構成した内容となっております。
クラウドコンピューティングの世界がますます拡大する中で、ひとつのことが明白になっています。アイデンティティはもはや単なるユーザープロファイルではなく、「王国の鍵」とも言うべき重要な存在です。企業がクラウドの力を活用しようと競い合う中で、直面しなければならない脅威があります。それは、適切に管理されていないアイデンティティがもたらすリスクです。泥棒が多発する地域で、玄関の鍵を開けっ放しにしている状況を想像してみてください。それがクラウドにおける弱いアイデンティティ管理の状態です。アイデンティティが適切に保護されていない場合、あらゆる行動、取引、そしてデータが危険にさらされることになります。本記事では、なぜアイデンティティ管理がクラウドセキュリティの最前線にあるのか、そしてそれを無視することがどれほど危険であるかについて探っていきます。
クラウドは、複雑さと攻撃の機会が交錯する迷路のようなものです
これまで、セキュリティ境界は物理的な壁とネットワーク境界によって定義されていました。しかし、クラウドではその境界は解消されています。
今日、アイデンティティは、ユーザー、デバイス、サービス、またはアプリケーションに属するかどうかにかかわらず、新しいセキュリティ境界となっています。
2024 年 5 月のCyberArkのレポートによると、マシン ID が ID 増加の主な原動力であり、組織は 2025 年 5 月までに ID の数が 2.4 倍に増加すると予想しています。
クラウド環境は、企業に前例のない柔軟性とパワーをもたらしましたが、大きなパワーには大きな複雑さが伴います。マルチクラウドとハイブリッド戦略の台頭により、この状況はさらに悪化しています。現代のクラウドインフラストラクチャーは無秩序に広がり、無数のサービス、アプリケーション、データ ポイントが複数のプラットフォームに分散しています。クラウドの柔軟性、パワー、複雑さにより、これらのエコシステム全体での ID 管理はより困難になり、より重要になっています。
クラウド環境が動的かつ絶えず変化する世界では、これらの ID を保護することは重要であるだけでなく、不可欠です。すべての ID は、攻撃者にとって潜在的な侵入ポイントです。
アイデンティティベース攻撃の爆発的な増加
サイバー犯罪者はこの変化に気付いており、容赦なくこれを悪用しています。アイデンティティベースの攻撃が急増しており、クレデンシャル スタッフィング、フィッシング、権限昇格などの戦術は日ごとに人気が高まり、洗練され、成功率も高まっています。IBM X-Force 2024 Threat Intelligence Indexによると、盗まれた認証情報や侵害された認証情報を使用したサイバー攻撃は前年比で 71% 増加しており、2023 年に被害者の環境への最も一般的な侵入経路は、有効な認証情報を使用してネットワークにログインするサイバー犯罪者でした。攻撃者はもはや防御を突破しようとしているだけでなく、あなたになりすまそうとしています。なぜでしょうか?正当なアイデンティティを装うと、気付かれずに (ただし検出されないわけではありません) クラウド環境を移動し、機密データにアクセスし、運用を妨害し、計り知れない損害を引き起こすことができるからです。
1 つの ID が侵害されると、クラウド インフラストラクチャー全体がダウンする可能性があります。リスクは高く、エラーの余地は極めてわずかです。
アイデンティティ管理は、IT部門の関心事から経営陣の最重要課題へと移行しました。
かつては古びていたが、再び脚光を浴びているセキュリティの教訓
増大する ID ドリブン攻撃の脅威に対抗するため、多くの組織がゼロトラストセキュリティモデルを再び採用しています。ゼロ トラストの哲学はシンプルですが強力です。誰も信用せず、すべてを検証します。クラウドのコンテキストでは、これは、アクセス要求の送信元が誰であれ、何であれ、すべてのアクセス要求を精査する必要があることを意味します。
ゼロ トラストと密接に関係しているのが、最小権限の原則です。この原則では、ID にはタスクを実行するために必要な最小限のアクセス権のみを与える必要があります。これは、攻撃対象領域を可能な限り小さくし、ID が侵害された場合に発生する可能性のある損害を最小限に抑えることを目的としています。
ただし、これらの原則を実装するのは言うほど簡単ではありません。実際、今年初めに、付与された権限の 98% が使用されないという報告がありました。アイデンティティとアイデンティティの管理はどちらも動的です。ゼロ トラストと最小権限の原則を実装するには、多要素認証 (MFA)、ロールベースのアクセス制御 (RBAC)、ジャストインタイム アクセス プロビジョニングを含む、アイデンティティ管理に対する堅牢なアプローチが必要です。言い換えれば、ユーザーとシステムは信頼できると想定することから、そうでないことが証明されるまでは信頼できないと想定することへの考え方の転換が必要です。
IAM: クラウド セキュリティの柱
このアイデンティティ中心のセキュリティ アプローチの中心にあるのは、アイデンティティとアクセス管理 (IAM) という幅広い概念です。これは、組織がクラウド環境内で誰が何に、どのような状況で、どのくらいの期間アクセスできるかを制御できるようにするフレームワークです。これは、正面玄関の鍵であり、すべての出入りを監視するセキュリティ システムであり、場違いな人物に質問する警備員です。幸いなことに、この目的に使用できる強力で人気のプラグ アンド プレイのクラウド ネイティブ ツールが既にあります。クラウド セキュリティ ポスチャ管理(CSPM) とクラウド インフラストラクチャ エンタイトルメント管理(CIEM) です。
IAM にはいくつかの重要な機能が含まれています。
- ユーザー認証: MFA やシングル サインオン (SSO) などのツールを使用することで、攻撃者が正当なユーザーになりすますことが困難になり、正当なユーザーだけがクラウド リソースにアクセスできるようになります。
- 承認:認証されたユーザーが実行できる操作を決定し、多くの場合 RBAC または属性ベースのアクセス制御 (ABAC) を通じて、ユーザーが自分の仕事に本当に必要なものにのみアクセスできるようにします。
- 監視と監査:クラウド環境で誰が何を行っているかをリアルタイムで表示し、疑わしい振る舞いや異常な動作を見つけて、大規模なインシデントになる前に対応できるようにします。
堅牢な IAM システムは、権限のないユーザーを締め出すだけでなく、正当なユーザーが安全かつ効率的に作業できるようにします。適切な IAM アプローチは、厳格なセキュリティ対策とシームレスなユーザー エクスペリエンスの必要性のバランスをとります。煩雑すぎるセキュリティは、ユーザーによる回避策につながり、結果としてさらなるリスクにつながるからです。
コンプライアンス: アイデンティティ管理の重要性
セキュリティ上の必須事項に加えて、アイデンティティ管理はグローバルな規制コンプライアンスの重要な要素でもあります。GDPR、HIPAA、CCPA などのデータ プライバシー法や規制では、組織がアイデンティティ、特に顧客や従業員のアイデンティティを管理および保護する方法に厳しい要件が課せられています。コンプライアンスは CISO ではなく CIO の手に委ねられる場合もありますが、コンプライアンス ポリシーが守られていないと、セキュリティ上の重要な弱点が明らかになる可能性があります。
コンプライアンス違反は、多額の罰金、法的訴訟、取り返しのつかない評判の失墜など、深刻な結果を招く可能性もあります。しかし、コンプライアンスにかかるコストは、罰金を回避することだけではありません。顧客の信頼を獲得し、維持することにもつながります。データ侵害が毎週のようにニュースになる時代において、アイデンティティ管理を真剣に受け止めていることを示すことは、組織がニュースの見出しに載らないようにするだけでなく、ビジネスの成功における重要な差別化要因にもなります。
クラウドにおけるアイデンティティの未来
クラウドの採用が進み、組織が成熟するにつれて、アイデンティティ管理の未来は、予防から検出と対応へとシフトしていくでしょう。その未来は、新たな技術や進化する脅威によって形作られます。防御者は、未知の攻撃をリアルタイムで検知し、阻止する能力を持ち、最初の兆候でアイデンティティの異常な振る舞いに優先的に対処する必要があります。
人工知能 (AI) と機械学習 (ML) はすでに、アイデンティティ脅威の検知と対応 (ITDR) の領域を変革し始めており、異常を検知し、対応を自動化し、攻撃者より一歩先を行くための新しい方法を提供しています。
これらのテクノロジーは、膨大な量の ID 関連データを数秒で分析し、人間の目では見逃してしまうようなパターンを見つけ出し、侵害の可能性があるアカウントや悪意のあるアクションを示唆します。AIセキュリティツールは、アクセスのプロビジョニングやプロビジョニング解除などの日常的なタスクも引き受けることができるため、IT チームはより戦略的な取り組みに集中できるようになります。
近い将来に実現するもう 1 つの開発は、分散型 ID です。これは、個人がブロックチェーン技術を使用してデジタル ID を管理するものです。これにより、ユーザーにより多くの制御とプライバシーが与えられ、集中型の侵害のリスクも軽減されるため、ID 管理に革命が起こる可能性があります。
要塞を守る
クラウドにおいて、アイデンティティは王国の門番の役割を果たします。これらを守れなければ、城の跳ね橋を下げたままにして、攻撃者を自由に招き入れるようなものです。クラウド環境がますます複雑化し、脅威が高度化する中で、強固なアイデンティティ管理の必要性はかつてないほど高まっています。組織は、ゼロトラストや最小特権の原則を採用し、包括的なIAM戦略を実施し、アイデンティティに焦点を当てた検出および対応プログラムを活用することで、アイデンティティのコンテキストを使用して攻撃を防ぎ、検出することが可能です。アイデンティティは、最も弱いリンクから最強の防御線へと変わることができます。
この安全なクラウドを守る戦いにおいて、アイデンティティは王国の鍵です。そして、門をしっかりと閉じておくのはあなた次第です。