読メモ:5 ways to secure identity and access for 2024
明けましておめでとうございます⛄2025年、第一回目の投稿です。引き続き Microsoft Security Blog を読み進めていますが、今回は 2024年の最初の記事を読みます。
2023 年には、パスワード攻撃の月間試行件数が過去最高を記録し、サイバーセキュリティの専門家に対する需要が 35% 増加し、Microsoft Security Response Center チームと Security Operations Center チームが処理するケースは年間 23% 増加した。この増加は、ジェネレーティブ AI と大規模言語モデルの台頭による影響で、アクセスの保護について改めて検討する必要がある。
ID、エンドポイント、ネットワークにまたがる包括的な多層防御戦略を採用し、新たな脅威に対して防御を進めましょう。
Microsoft Security Copilot の採用
Work Trend Index によると、Microsoft Security Copilot を早期に導入したユーザーは、Copilot の自然言語プロンプトを使用したサインインのトラブルシューティングや ID ライフサイクル ワークフローのギャップの最小化などを行うことで、業務効率が 44% 向上し、仕事の質が 86% 向上したと報告している。また、セキュリティインシデントに関するユーザーやサインインの調査など、より高度な機能を使用することで担当者のレベルアップを実現し、即時の是正措置を講じることにもつながる。
AI アプリを含むすべての場所で最小特権アクセスを適用できているか確認する
AI アプリ、特に企業 (認可済み) 環境とサードパーティ (認可されていない) 環境の AI アプリへのアクセスを管理するためには、結局のところ他の企業リソースに適用するのと同じ ID およびアクセスガバナンスルールを使用して、適切なユーザーのみが適切なリソースに適切なレベルのアクセス権を持つように設定するしかない。環境内の AI やその他のビジネスクリティカルなアプリケーションを安全に管理し、ガバナンス戦略が最小特権アクセスの原則に準拠していることを確認しましょう。
巧妙な攻撃に備えて、高度な機能を活用する
多要素認証はセキュリティ対策として有効な一方で、攻撃者はそれを回避し、トークンの盗難、Cookie のリプレイ、AI を利用したフィッシングキャンペーンなどの高度な手法を展開している。
Windows Hello、FIDO2 セキュリティ キー、証明書ベースの認証、パスキー (ローミングとデバイスバインドの両方) などの暗号化または生体認証に基づくフィッシングに強い多要素認証を実装するほか、トークンの盗難や Cookieのリプレイなどの高度な攻撃に対しては、機械学習を活用した ID 保護ツールと Secure Web Gateway(SWG) を導入して、異常なユーザー行動にフラグを立てるように設定する。また、トークン保護機能を備えた継続的アクセス評価(CAE)を使用して、ユーザーアクセスを制御する。多要素認証疲れを利用するワンタイム パスワード (OTP) ボットなどの新しい攻撃については、従業員教育だけでなく、Microsoft Authenticator アプリを使用して、多要素認証疲労攻撃を検出する。トークン保護機能を備えたリスクベースの条件付きアクセスに加え、Microsoft Entra Internet Access を使用したトラフィックの保護も進める。これらをすべて考慮するコストが高い場合には、デフォルトのアクセスポリシーを検討するとよい。
ID、エンドポイント、ネットワーク全体でアクセスポリシーを包括的に設定する
ID、エンドポイント、およびネットワークセキュリティ機能がサイロ化しないように設計する。Microsoft の Security Service Edge (SSE) ソリューションは ID 保護に対応しており、ID、エンドポイント、およびネットワーク セキュリティ アクセス ポリシーを包括的に保護できる。Microsoft Entra Internet Access と Microsoft Entra Private Access の記事も参考にしましょう。
マルチクラウドの ID とアクセスを制御する
AI 主導のワークロードの大幅な増加に伴い、マルチクラウド環境で使用されるマシン ID の数は急速に増加しており、人間の ID の数との対比は10対1である。これらの ID の多くは、過剰なアクセス許可とガバナンスがほとんどまたはまったくない状態で作成されており、実際に使用されているアクセス許可は 5% 未満であり、マシン ID の大多数が最小特権アクセスの原則に従っておらず、結果的に攻撃者はアプリに注意を向けるようになっている。
すべての ID タイプを保護するには、ゼロトラストに立ち返ることが必要。これは、クラウドインフラストラクチャエンタイトルメント管理(CIEM)プラットフォームを活用して、マルチクラウド全体で付与される権限、それらの使用方法、およびそれらの権限を適切に管理することで実現される。さらに、これらの制御をマシン ID に拡張するには、強力な資格情報、条件付きアクセス ポリシー、異常およびリスク シグナルの監視、アクセス レビュー、場所の制限を使用するワークロード ID 専用のツールが必要になる。
Microsoft Entra Permissions Management を使用してマルチクラウド インフラストラクチャの正常性を診断することから始め、組織のマルチクラウド ID の検出、検出、適切なサイズ設定、および管理に役立ちます。次に、Microsoft Entra ワークロード ID を使用して、可能な場合はワークロード ID をマネージド ID に移行し、強力なゼロ トラスト原則と条件付きアクセス制御を適用する。