今月初め、ShinyHuntersはInstructureのCanvasプラットフォームを1週間以内に2回侵害し、8,000以上の機関の約2億7,500万人のユーザーから3.65テラバイトのデータを盗みました。このグループは期末試験期間中に数百の学校のログインページを改ざんし、Canvasをオフラインにし、議会が公式調査を開始する前に身代金を抽出しました。この攻撃は高度なマルウェアやゼロデイエクスプロイトを必要としませんでした。攻撃者は侵害された「教師向け無料」アカウントを通じて侵入し、迅速に権限を昇格させ、Instructureが封じ込めることができる前に大規模に機密データを流出させました。
その一連のプロセス—脆弱なアイデンティティ制御を通じた侵入、急速な横方向への移動、大規模な流出、脅迫、混乱—は現在標準的な手口です。セキュリティとテクノロジーのリーダーの優先事項が、侵入が発生する前にすべての侵入の影響範囲を減らすことにならない限り、これは再び起こります。
企業がSaaSリスクをどのように考えるかの問題
現代の組織は、共有SaaSプラットフォーム内に重要な運用を統合し、単一の障害点で巨大なリスク集中を生成しました。Canvasがダウンした時、何千人もの学生がコースワークにアクセスできず、教職員は彼らのクラスとの連絡を失い、管理者は試験の延期に対応に追われました。混乱の規模は、脆弱性だけではなく、機関がCanvasにどの程度依存していたかから来ました。
その非対称性は2026年のSaaSリスクの決定的な特徴です。共有プラットフォーム上の単一の侵害されたアカウントは、業界全体の運用障害をトリガーできます。しかし、ほとんどのエンタープライズセキュリティフレームワークはまだSaaSプラットフォームを主に可用性の問題として扱っています—稼働時間、復旧時間目標、およびビジネス継続計画で測定されます。Canvasはその考え方のギャップを露呈させました。プラットフォームが運用可能でも、その内部のデータが既に盗まれている場合、可用性は何も意味しません。
SaaS環境での復原力は、より厳しく誠実な前提を必要とします:侵害を継続的で予期されるものとして扱うこと。攻撃者は重要なシステムに到達します。真のテストは、検出と封じ込めの前に、彼らがどの程度奪うことができるか、どの程度移動できるか、どのくらい持続できるかです。
アイデンティティは今やペリメータです
Canvasの攻撃は、何年にもわたって複数の業界で繰り返されているパターンに従いました。過度な継続的権限を持つ正規のアカウントを侵害することで、攻撃者はCanvas基盤全体を横方向に移動し、永続性を維持し、定量化に数日かかるレベルでデータを流出させました。
多くの組織は、細分化されたアイデンティティ制御、不一貫な権限管理、およびアカウントがSaaS統合全体でどのように相互作用するかについての限定的な可視性で運用されています。攻撃者が正規のアカウントを侵害すると、そのアカウントが保持しているアクセス権を継承します—そして、ほとんどの環境では、そのアクセスはユーザーが実際に必要とするものをはるかに超えています。その結果、アイデンティティは現代の企業で最も信頼できる攻撃面となり、ほとんどの組織はまだそれを二次的な懸念として扱っています。
強力なパスワードと多要素認証は必要ですが、もはや十分ではありません。企業は、継続的なアイデンティティ検証、厳密にスコープされた権限、第三者統合に対する積極的な統治、およびSaaSシステム全体の異常なアクセスパターンへのリアルタイムの可視性が必要です。アイデンティティガバナンスはコンプライアンスのチェックボックスにはなりません。クラウドネイティブ環境では、攻撃者が内部に入ることができた場合にどの程度移動できるかを決定する主要な制御である必要があります。
データ保護はアプリケーション層で止まることはできません
強力なアイデンティティ制御を持つ組織でさえ、第二の過小評価された問題に直面しています:SaaSプラットフォーム内に保存されたデータは、それにアクセスするために使用される認証情報よりもはるかに保護されていない場合が多いということです。
企業はSaaS環境内に機密情報の膨大なリポジトリを蓄積します—プライベートメッセージ、宿泊リクエスト、財務記録、個人的な開示—それを保護するためにほぼ完全にアプリケーションレベルのアクセス制御に依存しながら。Canvasでのように、これらの制御が失敗すると、データは即座に読み取り可能、検索可能、および金銭化可能になります。
攻撃者は何かをクラックする必要はありません。彼らは単にそれを奪うのです。
暗号化保護—プラットフォームから離れた後でも機密データへの組織的な制御を保持する暗号化戦略を含む—成功した流出の値を直接減らします。読み取りまたは使用できない盗まれたデータは、脅迫の手段として価値がはるかに低いです。その区別は、攻撃者が盗まれたデータから抽出するレバレッジが侵害自体よりも長く続くことが多い今日の脅威環境で大きな意味を持ちます。
脅威は事件が終わったときに消�滅しません
Canvasの親会社と攻撃者の間の「合意」は、ほとんどの組織がまだ完全に価格設定していないリスクを示しています。Instructureが盗まれたデータが破壊されたデジタル確認を受けた一方で、議会とにかく調査を開いた。Instructure CEOは下院国土安全保障委員会の前で証言するように求められました。影響を受けた機関—その多くはInstructureのセキュリティ姿勢またはインシデント対応能力についての可視性がなかった—学生データをもはや制御できない保護に対して責任があります。
その説明責任のギャップは、議会が調査を終了した後も閉じられません。Canvasのようなインシデント中に盗まれた機密データは、侵害自体の長い後も価値を保持します。敵は、暗号化標準が古くなったり、量子コンピューティング機能が成熟したりするにつれて、後で復号化できるという期待で、今日ますます暗号化データを収集しています。この「今すぐ収穫、後で復号化」アプローチは、現在のみデータを保護する暗号化が組織をダウンストリームで露出させたままであることを意味します。
強い暗号化保護は、したがってcrypto-agilityと量子後の準備とペアにする必要があります。セキュリティリーダーは、SaaS侵害中に流出する機密データが数日ではなく数年間ターゲットのままである可能性があると仮定する必要があります。盗まれたデータがすぐに使用可能なままである場合、攻撃者は無期限にレバレッジを保持します。そうでない場合、脅迫の経済学がシフトします。
Canvasの侵害が実際に要求するもの
Canvasからのレッスンは、SaaSプラットフォームが本質的に安全でないということではありません。彼らは現代の組織がどのように運用およびスケールするかの基本的なままです。レッスンは、ほとんどのエンタープライズセキュリティ戦略の根底にある仮定—予防が主な目的であること、アクセス制御がデータ保護に十分であること、復旧が稼働時間の復元を意味すること—はもはや今日の脅威環境の現実と一致しないということです。
攻撃者はすでにこれを内部化しています。彼らは、データと運用依存の集中がそれらを非常に価値の高いターゲットにするため、SaaSプラットフォームをターゲットにします。彼らはアイデンティティの弱さを利用します。これらの弱さは広がっていて信頼できるからです。彼らは脅迫圧力を適用します。盗まれたデータは技術的な修復の後も長くレバレッジを保持するからです。
このギャップを閉じる組織—アイデンティティガバナンスをミッションクリティカルなインフラストラクチャとして扱うことで、流出を生き残る暗号化保護を実装し、予防と並行して復旧規律を構築し、量子後の露出を計画することで—次の侵害が到着するときに大幅に良好に配置されます。そしてそれは到着するでしょう。唯一の変数はどのくらいかかるかです。
Rishi KaushalはEntrustのCIOです。Entrustは、アイデンティティ中心のセキュリティにより、組織が詐欺とサイバー脅威と戦うのをサポートする企業です。
翻訳元: https://cyberscoop.com/canvas-breach-saas-security-identity-governance-op-ed/
