IDがデータセキュリティにおける最大の死角となってしまっている理由

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第40回目となる今回は、「IDがデータセキュリティにおける最大の死角となってしまっている理由」と題して、効果的な態勢管理、脅威の検出、脅威への対応のために、なぜIDリスクと文脈の統合が必要となるのかを解説する、Shawn Hays（Varonisプロダクトマーケティングマネージャー）のブログ記事をご紹介いたします。

データセキュリティプラットフォーム (DSP) を使用すると、組織は、データの盗難、不適切な配布、悪意のある関係者によるアクセスから、データを保護できるようになります。多くのDSP製品では、アクセス許可やラベルを管理し、アクセス、変更、配布できるユーザーを制限することにより、データセキュリティを管理しています。

これらのプラットフォームでは、ラベル付けされていないデータを特定し、過剰なアクセス許可を持っているユーザーを強調表示します。こうして最小権限モデルの実装を支援するのですが、重要の側面であるIDの観点を欠いていることが常です。
データとアクセスイベントは、本質的にIDに関連付けられています。セキュリティ部門は、データアクセスと管理を、コンピューターやサービスアカウントのような人間以外のIDを含め、そのアクションを「誰が？」行っているのかに焦点を当てて、監視しています。だからこそ、本質的に、効果的なDSPソリューションは、IDに関する文脈を組み込んでなければなりません。

「誰が？」を把握する

Varonisの最新のID脅威レポート「IDの危機 (The Identity Crisis)」では、Varonisの脅威インテリジェンスチームが、2024年の主要なテーマと攻撃プロファイルについて概説しています。調査対象のサイバー攻撃の半数以上 (57%) は、IDの搾取から始まり、そのほとんどがデータの持ち出しで終わっていました。

多要素認証 (MFA) を実装しているにも拘わらず、なぜ未だにアカウントが侵害されることがあるのかと疑問に思うIT部門やセキュリティ部門のリーダーもいるでしょう。このようなことが発生する要因はいくつか重なっています：

1.    ユーザーのミスや教育不足：受信するMFAやワンタイムパスワード (OTP) 要求の数に圧倒されてしまったユーザーは、時に、要求元を確認せずに認証チャレンジを承認してしまうことがあります。
2.    フィッシング攻撃：フィッシングメールを使用してユーザーを騙した攻撃者は、偽のログインページからログイン情報などを入力させて、MFAを回避します。
3.    トークンの盗難：認証トークンを盗んだ攻撃者は、MFAを完全に回避できるようになります。その後、更新トークンを使用して盗んだトークンを更新し続けます。
4.    MITM攻撃：中間者 (MITM) 攻撃では、ログイン情報とMFAトークンをキャプチャした攻撃者が、条件付きアクセスポリシーを回避します。

組織は、フィッシング体制のある認証と条件付きアクセスポリシーを使用して、セキュリティを強化することができます。しかしながら、IDは毎年侵害され続けています。IDセキュリティでもデータセキュリティでも、単独では、重要なリソースを保護することができません。

データセキュリティとID保護は一体のもの

ID態勢

侵害を防止し、その影響を抑えることを目指す組織は、自社のID態勢を可視化する必要があります。ゲストIDと内部ユーザーIDの状態、特権ロールとグループメンバーシップの分布、それらが時系列でどのように変化しているかを把握することは不可欠です。

DSP製品の中には、サイトやファイルがラベル付けされているかどうかと、ラベル付けされたファイルにアクセス権を持っているグループを特定できるものの、グループメンバーシップの変更、場合によっては所有権についてすら把握することができないものがあります。例えば、Microsoft 365の多くのラベルはMicrosoft Entra IDで管理される個人のグループに紐づけられています。

検出されることなく特定のグループへの参加あるいは自分自身の追加に成功した悪意ある行為者は、そのラベルポリシーによって管理されている機密性の高いデータへのアクセス権を入手できます。「Finance Owners」グループに参加すると「フルコントロール」権限で、Financeサイトへのアクセス権を即座に取得することもできます。

Microsoft 365 Copilotによる情報提供はこれらの要素に大きく依存しているため、Microsoft 365 CopilotのようなAIソリューション環境内のID、エンタイトルメント、グループがどのように変更されているのかを理解することは非常に重要です。

Microsoft 365 Copilotは、ドキュメント、電子メール、予定表、チャット、会議、連絡先など、各ユーザーやグループがアクセスできる組織データに基づいて応答を生成します。適切なロールを獲得したり、適切なグループに参加すると、悪意のある行為者は、特定のDLPポリシーをトリガーすることなく、AIを使用して目的の電子メールやドキュメントに素早くアクセスすることができます。

これは、正しいユーザー、正しいアクセス権、正しいプロンプト、間違った人間の事例です。

Entra IDと統合しなければ、古いユーザーのグループメンバーシップや管理者ロール、最新のMFAメソッドを使用していないユーザーを見逃してしまうかも知れません。データセキュリティ部門が、複数の製品やUIを操作することなく、この重要な情報を利用できるようにする必要があります。これらの知見を収集するために、複雑なプロンプトエンジニアリングやAIセキュリティアシスタントでの複数のプロンプトは必要ありません。

ID脅威の検出と脅威への対応

IDイベントとアラートをデータイベントと関連付けすることは、いつどこで侵害が発生したかを特定するために重要です。」米国国立標準技術研究所 (NIST) は、この要件をNIST CSF 2.0の中で検知機能「DE.AE-03: 情報は複数の情報源から相互に関連付けられている」として強調しています。

セキュリティ部門は、ユーザーがデータリソースのアクセス許可を調整しながら、変な時間にログインをしたり、パスワードをリセットした場合などを、DSP内で脅威を簡単に見分けられることができなければなりません。

これらのイベントは単独では些細なものに思えるかも知れませんが、組み合わせると、潜在的な問題が浮き彫りになります。このため、最新のデータセキュリティでは、データセキュリティとIDセキュリティの壁を取り除く必要があります。

IDの解決

データイベントとアラートをIDと紐付けることは困難であるので、複数のIDとシステムを1人のユーザーに解決することは不可能に思えるかも知れません。なぜなら、ユーザーはオンプレミスシステムやクラウドアプリケーションに複数のローカルIDを持っていることが多いためです。革新的なDSPは、攻撃チェーンの早い段階で攻撃を検出するために、これらのIDを関連付けするのに役立ちます。

攻撃者は常に長く滞留し、機密性の高いデータを見つけるためにシステム内で横展開することがおくあります。どの動きにも特徴があります。組織は、手遅れになる前にSIEMソリューションやSOCだけに大量のデータを分析させることに依存するため、これらの特徴を迅速に認識できなければありません。

加えて、より多くの組織がマルチAIへの道を歩み始めていることから、ざまなAIソリューションをまたいでID、プロンプト、データアクセスの管理のために必要としています。

DSPの目的とその未来

最新のDSPは、効果的に態勢管理、脅威の検出、脅威への対応を行うために、ID管理ソリューションと統合する必要があります。

IDイベントをデータアクションにリンクすることにより、セキュリティ部門はIDの脅威をより的確に特定し、侵害に迅速に対処することができます。この統合により、構成が簡素化され、知見が得られるのと同時に、業界標準への準拠やAI展開の複雑化にも対応することができます。

結局のところ、組織は高度なサイバー脅威から機密性の高いデータを保護するために、これらの技術革新を優先する必要があります。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/identity-blind-spot

・「IDの危機 (The Identity Crisis)」レポート（英文）
https://info.varonis.com/hubfs/2024%20Content%20Downloads/Report_TheIdentityCrisis_202411_Varonis.pdf?hsLang=en

・当コラム第4回「生成AIセキュリティ：Microsoft Copilotの安全なロールアウトに向けて」
https://www.innovations-i.com/column/data-security/4.html

・当コラム第31回「NISTサイバーセキュリティフレームワーク 2.0を紐解く」
https://www.innovations-i.com/column/data-security/31.html

・当コラム第32回「Microsoft 365 CopilotへのNIST CSF 2.0の適用」
https://www.innovations-i.com/column/data-security/32.html

ブログ記事著者について

Shawn Hays

Shawnは、Varonisのプロダクトマーケティングマネージャーであり、主にMicrosoftクラウドに注力しています。彼は、Microsoftエコシステムとサイバーセキュリティの分野で10年間の旅をしてきました。データセキュリティについて論じないとき、音楽フェスティバルやフリスビーを投げると彼を捕まえることができます。

（翻訳：跡部 靖夫）