クラウドID管理における「ID管理ベストプラクティス」

「ID管理ベストプラクティス」とは

目的

IDおよびアクセス管理(IAM)のベストプラクティスでは『ネットワークユーザーに付与されるアクセス権限を明確に定義および監視し、許可されたユーザーにのみ適切にアクセス権限が付与されるようにすること』を目的としています。

ID管理ソリューションは、ゲートキーパーとして、施設に入ろうとしている人または対象に応じて、入室を許可(拒否)し、指定エリア内に存在するすべての訪問者の動きを注意深く監視します。

企業内でID管理ベストプラクティスを開始および実施することにより、サイバー犯罪者から、ビジネス上の「利益」「情報資産」を効果的に保護できます。

ID管理ベストプラクティスに投資して実施するためには、組織内の「ITインフラストラクチャ」「システム」「資産」の完全な概要を把握して、既存の潜在的脅威についてすべての要素を綿密に監視できるようにする必要があります。

構成要素

ID管理ベストプラクティスは、主に次の要素で構成されます。

・特定システムまたはネットワーク内のユーザー識別
・特定ユーザーの役割の識別
・個人に対する役割の追加/更新/削除
・個人に対する的確な権限割り当て
・ユーザーまたはグループのアクセス確立および権限割り当て
・システムまたはネットワーク全体のすべての情報セキュリティ対策

メリット

企業と顧客が高度に相互接続される現状を考えると、ID管理ソリューションへの投資は、すべての企業とって不可欠です。

データ漏洩に対する予測と準備を怠り、データ漏洩インシデントが発生してしまった場合、ID管理ベストプラクティスに投資するコストよりも、遥かに莫大な損害となる可能性があります。

ID管理ソリューションに投資しベストプラクティスを実装することで、潜在的な内部および外部のデータ侵害のリスクを軽減できます。企業はシステムを手動で監視する場合と比較して、ネットワークやシステムについて大幅に効率的に管理できます。

ID管理ベストプラクティス10選

ID管理ソリューションの有効性を最大化するために活用できる「10のベストプラクティス」を紹介します。

①ゴールを明確にする

ID管理システム構築の発端

ID管理ソリューションの選定開始は、通常、組織の問題点発覚がきっかけとなります。
・ITエコシステムの複雑さが増している
・過度の「アクセス要求」「パスワードリセット要求」による負荷増大
・コンプライアンス監査での違反発覚
・過剰なユーザー権限が発見される など

しかし、重大インシデントが発生する前に「データ侵害が組織に影響を与える危険性」に対するアクションを開始できるのは幸運でもあります。

ゴールの明確化

ID管理システム構築における最初のステップは、「最終的にどこに行きたいのか?」という目標を明確にイメージすることです。

各種テクノロジーソフトウェアは、特定の問題セットに応じて、作業プロセスの自動化や高速化に役立ちますが、企業が直面しているすべての問題を解決できるわけではありません。

企業の理想的なプロセスを掘り下げて学んだルールとポリシーを実装することによってのみ、ID管理ソリューションは望ましい最終結果に到達できます。

②スモールスタート

ID管理システムの最初の実装時に、大規模システムの一部である小規模システムから開始すると、タイムラインを短く集中させることができ、短期的成果も獲得できます。

このような「短いスプリント」のプロジェクトサイクルは、「追加モジュール統合」や「ID管理システムの拡張統合」などの、将来の作業を支援します。

ID管理システムは、最初の実装が完了した後も、組織とともに進化し成長し続ける必要があります。

③統合可視性を高める

監視対象は複雑な巨大システム

システムやネットワークの領域は非常に複雑になる場合があり、膨大な数の「サーバ」「ポータル」「データベース」「アプリケーション」「ユーザー」などが存在しています。

これらすべてが同時に稼働し、それぞれのタスクが実行されるため、すべてのコンポーネントを監視することは困難です。

これに加えて、すべてのネットワークユーザーを適切に監視し、資格のあるディレクトリやファイルにのみにアクセスを許可する責任があります。

統合可視性

作業規模を考慮すると「統合可視性」が重要となります。

・「ID管理」と「サインオンポリシー」の両方を一元化
・調和のとれた監査済ユーザーエクスペリエンスを提供
・割り当てられたすべてのネットワークマネージャーの統合可視性を高める など

④ゼロトラストセキュリティアプローチ

ゼロトラストセキュリティアプローチとは

ゼロトラストは、ID管理ランドスケープに該当するネットワークセキュリティモデルです。

ゼロトラストの哲学は『すべてのユーザーとアプリケーションは、ネットワークの内外を問わず、信頼されるべきではない』という考え方にあります。

「ユーザーが正しいパスワードを入力できた」という理由だけで、そのユーザーに対して全幅の信頼を与えてはいけません。

企業は情報資産を守るために、これまで以上に、すべてのユーザーを疑い続けるスタンスが必要です。

検証レイヤーの追加実装

企業システムは「多くのスタッフが企業ネットワークの外部で作業」「複数のデバイスとアプリケーションを使用」「オンプレミスとSaaSアプリケーションが混在」など、企業ネットワークの内外が複雑に絡み合う状態になっています。

複数のポートやプラットフォームを介してアクセスされる場合に、システムまたはネットワークがユーザーアクセス権限をさらに検証できるようにする手段を実装する必要があります。

セキュリティ障壁である検証レイヤーの追加により、サイバー犯罪者による不正侵入を防げる可能性を高めることができます。

⑤最小特権原則の実装

「最小特権の原則」とは、『ユーザーに必要最小限なアクセス権限のみを割り当てる』という考え方です。

「ロールベースアクセス制御」や「アクセス領域の最小化」は、内部および外部のデータ侵害のリスクを軽減する効果的な方法です。

「ユーザーおよびグループのIDセキュリティ強化」「ビジネスプロセスの定義および強化」「サイバーセキュリティ全体の可視性向上」などに役立ちます。

⑥オンボーディング(オフボーディング)プロセスの自動化

「オンボーディングプロセス」と「オフボーディング」を自動化することにより、ITチームは、「一般的に共有されているディレクトリ」や「特定用途で使用するためのディレクトリ」などについて、新入社員が受け取る必要のあるアクセス権限の明確なフレームワークを作成して実装できます。

このベストプラクティスは「すべてのユーザーに社内情報ネットワーク全体へのアクセスを提供する」「ユーザーの部門異動時に即座に権限変更ができる」「組織内からのデータ悪用を適切に制御できる」などの有用性があります。

ITチームは管理負荷を低減できるようになり、セキュリティ脅威の防止にさらに専念できます。

⑦多要素認証

脆弱なパスワードセキュリティ

パスワードによる保護は、個人情報や企業情報の保全のためには脆弱すぎることが何度も示されています。

「弱くて推測しやすいパスワード設定」「パスワード共有」「すべてのデバイスで同じパスワードを使用する」などのセキュリティに対する知見や意識が低いスタッフの存在が、ハッカーによるデータ侵害を引き起こしています。

多要素認証によるセキュリティレイヤーの追加

企業が実行できるID管理ベストプラクティスとして「多要素認証システムの使用」があります。

多要素認証は、ユーザーがシステムに資格情報を入力する時に、二重に安全であることを保証する追加の検証方法です。

多要素認証などのアクセス管理ツールを実装することにより、アプリケーションやデバイスへのログオン時、セキュリティの追加レイヤーを作成できます。

機密情報が保存されているディレクトリへのアクセス要求ページに、より堅牢なレイヤーを追加することで、潜在的なサイバーセキュリティ攻撃を阻止できる可能性を高めることができます。

多要素認証の例

・追加パスコード認証—チャレンジ/レスポンス方式、SMSメッセージングシステム
・バイオメトリクス認証—顔認識、指紋認識
・セキュリティトークン認証
・セキュリティカード認証 など

⑧高リスクシステムの特定と管理

高リスク(レガシー)システムが存在しているリスク

エンタープライズ企業や中小企業では、安全性とセキュリティの更新が行われなくなったレガシーシステムを引き続き利用しています。

これらのパッチが適用されていないレガシーシステムを使用して保存されている機密情報には、サイバー犯罪者がレガシーの抜け穴を使用してネットワークに侵入しアクセスする危険性があります。

ITセキュリティを管轄するITチームは、稼働しているすべてのシステムのリストを作成することで、セキュリティ状況を確認し、潜在的なセキュリティ脅威を洗い出しておく必要があります。

危険性が判明したレガシーシステムに対しては、セキュリティが維持されている代替可能システムへの移行を検討しなければいけません。

レガシーシステム監視強化によるリスク低減

レガシーシステムの応急手当的セキュリティ強化方法として、レガシーシステムに対する監視強化でリスクを低減する方法があります。

レガシーシステムへの「ログイン画面」や「入出力ポート」などに、セキュリティレイヤーを追加することで、ある程度のセキュリティ向上を図れます。

クラウド移行によるリスク低減

歴史的に、企業はセキュリティ脅威を恐れて、オンプレミスからクラウドへの移行について消極的でした。

しかし、クラウドサービスプロバイダーは、セキュリティに関して多大な人的リソースやコストを投入することで、オンプレミスでは対応できない豊富なセキュリティ機能を提供するようになりました。

昨今において、セキュリティレベルが最高水準に達していないオンプレミスサーバを利用し続けることは、クラウドベースよりもリスクが高い状況になってきています。

レガシーシステムを廃止しクラウドサービスへ切り替えることで、「パッチ管理」「セグメンテーション」「暗号化」「統合」などのアクセス要件を通じてセキュリティを強化できます。

⑨孤立アカウントの監視と破棄

サイバー犯罪者が狙うエントリポイント

サイバー犯罪者は、企業内ネットワークにアクセスするために悪用できる脆弱なエントリポイントを執拗に探しています。

認識されている弱点の1つとして「孤立(休止状態)アカウント」があります。

孤立アカウントは監視対象としての重要度が低めとなっている場合が多く、サイバー犯罪者に利用されると、企業情報を盗み出すための金鉱になります。

アカウントの非アクティブ化

ユーザーの「退社」や「グループ会社への異動」などによって発生する孤立アカウントは、対応する処理と同時に、非アクティブ化を実施し、孤立アカウントが存在し続けることがないように対応する必要があります。

⑩企業要件に合致するソリューションの選択

すべての企業には「経営規模」「従業員人数」「ユーザーアクセス要件」「ビジネス目標」などに応じて、さまざまなITセキュリティニーズがあります。また、時間の経過により、ニーズは変化し続けます。

そのタイミングのニーズに適合するようにID管理ソリューションを選定し、ニーズの変化に合わせて、セキュリティポリシーを変更し、ID管理ソリューションのカスタマイズを継続していく必要があります。

そのため、ID管理ソリューションの初期導入の際には、「セキュリティ強度」と共に「十分な拡張性」にも留意が必要です。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト