私たちは皆、アクセスを通じて、ユーザー、デバイス、状況を継続的に検証するという目標に同意しています。それがゼロ・トラストが指し示す方向です。しかし、ほとんどのIAMツールは一度だけチェックし、その後何時間も信頼し続けます。そのため、状況が変化する可能性のある長い時間が残され、攻撃者はそれを利用します。
いつもログインを破るわけではありません。攻撃者は、その後に行われるセッションを再利用します。トークンやクッキーを盗み出すのは簡単で、攻撃を回避するのは難しいです。そこで組織は、機密性の高いアプリのSSOをオフにし、MFAプロンプトを増やすことで対応します。ユーザーはより遅く感じ、よりイライラし、結果、漏えいが起こり続けます。
ゼロ・トラストと真のセキュリティが重要なら、IAMは変わらなければなりません。次世代のモデルが必要です。
明白なことかどうかを明確にしましょう!
ゼロ・トラストとは、ユーザーとデバイスを継続的に検証する原則です。ウィンマジックは、いくつかの実用的な基準を加えることを提案します。当たり前のことのように思えますが、見落とされがちなアイデアであり、今日のますます洗練された脅威の状況において、検証は正確かつレジリエントでなければなりません。
正確であるということは、チェックが実際に使用されているデバイス上の実在の人物と結びついているということであり、単なるリモートのアサーションではありません。それは、当然ながらローカルの多要素認証(MFA)ほどの確実性は得られません。
レジリエントとは、ネットワークが不安定になったり、サービスが不調になったり、攻撃者が高度なトリックを仕掛けてきたりしても、保護が機能し続け、実行され続けることを意味します。
リモート・プロンプトだけでは、もはやそのハードルを満たすことはできません。ディープフェイクの音声やビデオ、ソーシャル・エンジニアリング、リレー・キットはすべて遠隔チェックを欺くことができます。
次世代IAMがなすべき3つのこと
まず、エンドポイントでのアンカー検証です。
ユーザーがいつも使っているデバイスにアクセスします。正しいユーザーがOSにサインインしているか、画面のロックは解除されているか、ハードウェア・キーは利用可能か、デバイスは健康か。必要であれば、ユーザーがデバイスにサインインする際にローカルMFAを要求します。これはユーザーが騙されやすいリモート認証の操作を行うのではなく、“ユーザー + デバイス” を繰り返し確実に確認するための、最も正確でレジリエントな方法です。信頼の基点(アンカー)である“ユーザー + デバイス”が正当であることを検証することが大変重要です。
第二に、信頼できるチャンネルを維持することです。
朝、出社時に認証に成功したら、そのままいつまでもアクセスが許可され続けていませんか?信頼はスナップショットであってはなりません。信頼はアクセスの度に常にアップデートされた情報に基づいていなければいけません。エンドポイントとIDサービス間の信頼できる常時接続により、何かが変更された瞬間にアップデートが双方向に流れます。ユーザーが画面をロックしても、デバイスがポリシーから外れても、何か状況が変わっても、アクセス制限は即座に適応されます。デバイスの画面がロックされている状態でユーザーからのアクセスは発生しないはずです。実際には問題があるのに、“すべて順調” だと長時間見せかけるような状態になることはありません。
第三に、セッションをバインドして保護します。
現実世界の攻撃のほとんどは、正常なログインの直後に続くセッションに乗って行われます。次世代IAMはそのドアを閉めなければなりません。どのように実装するにせよ、セッションは検証されたデバイス上の検証されたユーザーに結び付ける必要があり、盗まれたクッキーやトークンが持ち出されて悪用されないようにするべきです。具体的な仕組みは時とともに進化しても構いませんが、この要件は不変です。もし誰かがトークンを盗んでも、元のデバイス以外では無効であるべきです。
このことが人々にとってどのように感じられるか
ユーザーの体験はよりシンプルになります。あなたはコンピューターにサインインして仕事を始めます。すべてが正常であれば、何も中断されません。あなたが席を離れて画面がロックされると、そのタイミングでリモートアクセスの許可も一時停止します。デバイスがポリシーから外れてしまった場合、問題が解決されるまで、リモートサービスへのアクセスは出来なくなります。システムは、“あなた”と“あなたのデバイス”について既に把握している情報を活用し、アクセスをコントロールします。そして本当に必要な状況にのみあなたに追加の確認を求めます。
これによってセキュリティ・チームが得られるもの
管理は現実に寄り添うようになります。意思決定は、過去のログではなく、エンドポイントからのリアルタイム信号に基づいて行われます。不正利用が確認された際のアクセス権の取り消しはリアルタイムに行われます。セッションがデバイスから切り離されて存在しなくなるため、セッションハイジャックは格段に難しくなりました。また、信頼されたチャネルで常に接続されているため、通常の業務を中断させることなく、変更が迅速に反映されます。
オプション(あなたにとってはオプションではない?)
これらの機能は、セキュリティとユーザーエクスペリエンスに大きな違いをもたらします。IAMソリューションを評価する際には、そのソリューションに以下が含まれているかどうかを検討する価値があります:
- ユーザーの認証操作が殆どの場合不要です。― ユーザーの認証操作はセキュリティの強化にはつながりません。
- エンドポイントでパスワードと鍵の管理を統合 ― レガシーアプリケーション、SSH、RDP、FIDO2 SPのサポート。
- 障害が発生時に安全に切り替えられるフォールバックモード。
トラブルの無い進め方
これは “ビッグバン “ではありません。デバイスのログインとデバイスの健全性を、すべてのアクセス判断のベースラインとして扱うことから始めます。信頼できるチャンネルを確立し、リアルタイムで更新や取り消しができるようにします。そして、認証されたデバイスで認証されたユーザーに結び付けられるように、セッションがどのように作成され、維持されるかを厳格に管理します。より多くのアプリケーションにこの認証モデルを拡張し、ユーザーを認証操作から解放することができます。
ほとんどのIAMシステムは、次世代の管理されていないエンドポイントやBYODエンドポイントを考慮する必要があります。最も安全なアプローチは、それらのデバイスを重要度の低いアプリケーションに限定し、重要なアプリケーションにはより強力なコントロールを適用することです。
結論
ゼロ・トラストは、ユーザーとデバイスを継続的に確認するよう求めました。しかし今日のIAMは、一度限りの認証やリモート認証プロンプトなど、“外側から” の手段でそれを実現しようとしてきました。そのアプローチは限界に達しています。
これが、次世代 IAM の基盤となるものです。エンドポイントでの正確で堅牢な検証、常時信頼できるライブチャネル、そして盗まれることのないセッション。
強固なセキュリティ。最小限の利用中断。攻撃者が付け入る隙のない環境。それが次世代IAMの提供すべきことです。
このアプローチの背後にある完全なフレームワークを見たいですか?
注:このディスカッションでは、ゼロ・トラストの原則が実際の世界のユーザー・エクスペリエンスに合致する、IAMのアクセスとセッションのレイヤーに焦点を当てています。PAM(Privileged Access Management)やIGA(Identity Governance and Administration)のような他のIAMコンポーネントも重要ですが、それらはこの記事が当てている焦点の範囲外です。
