多くの組織は、アイデンティティセキュリティをコントロール下に置いていると信じています。
Permisoのアイデンティティセキュリティ状態レポートからの新しいデータは、この信頼がますます見当違いであることを示唆しています — まさにアイデンティティがクラウド環境での支配的な攻撃ベクトルになっている時期に。
「92%の組織が本番環境で機密データにアクセスするAIエージェントを展開しており、これらのエージェントは人間のアクセスのために数十年かけて構築した承認ワークフローなしにアイデンティティを作成しています。チケットなし、正当性なし、有効期限なし」とPermisoの共同創業者兼共同CEOのPaul NguyenはeSecurityPlanetへのメールで述べています。
彼は説明しました。「問題はAIが自律的にアイデンティティを作成していることではありません。問題は、それをガバナンスのためのフレームワークを構築せずにスピードのために展開したことです。」
Paulは付け加えました。「そのガバナンスの債務は複利で増加しており、ほとんどの組織はブリーチが発生するまで自分たちがどの程度にさらされているかに気づきません。」
アイデンティティは新しい攻撃対象
アイデンティティはもはや単なる支援的なコントロール層ではなく、主要な戦場です。
ますます攻撃者は、ファイアウォールを「破る」必要はなく、周辺の脆弱性を悪用する必要もありません。
彼らは単に盗まれた、再利用された、または過度に権限を持つ認証情報を使用してログインしています。
世界中の512の組織を対象としたPermisoの調査によると、77%が過去1年間のセキュリティインシデントの26%から75%がアイデンティティ関連であると報告しました。
今日のクラウドファーストの環境では、アイデンティティは事実上新しい周辺境界になってしまいました。
マルチクラウドとアイデンティティの分散がリスクを増加させる
そのリスクは構造的な複雑さによってさらに悪化しています。マルチクラウドは今やあたり前であり、例外ではありません。
多くの組織は複数のクラウドサービスプロバイダー全体で動作しながら、同時に認証とフェデレーションを管理するために複数のアイデンティティプロバイダー(IdPs)に依存しています。
これにより、アイデンティティが環境を横断し、信頼の境界を越え、プラットフォーム全体で権限を継承する分散化した認証および認可のファブリックが作成されます。
このクロスプラットフォームの拡大が成長するにつれて、基本的なセキュリティの質問に答えることがより難しくなります:誰がアクセスしていますか?彼らは何にアクセスできますか?彼らは実際に何をしましたか?
これらの質問に答えるために複数のシステムからのログをつなぎ合わせる必要がある場合、可視性は低下し始めます。
同時に、多くの組織は成熟したガバナンスコントロールを必要とするほど大きなアイデンティティ母集団を管理していますが、常に専任のアイデンティティセキュリティチームを正当化するほど大きいわけではありません。
相当な部分が500から5,000人間アイデンティティの範囲に陥っています — インフォーマルな監視がもはや機能しないスケールですが、専門的なアイデンティティリソースが不在であることが多い。
この「中間ゾーン」では、複雑さが機能を上回る可能性があり、攻撃者が素早く悪用するブラインドスポットを作成します。
アイデンティティ可視性の幻覚
Permisoの最も印象的な発見は、可視性の「幻覚」として説明されているものです。
組織の約半分は、人間および非人間の両方のアイデンティティのすべてに対する包括的な可視性を主張しており、そのうち43%だけが、インシデントが発生する前にアイデンティティベースのリスクを積極的に検出できると報告しています。
プラットフォーム全体の統合された可視性を主張する者の中でも、その見方を達成するためにアイデンティティ権限とアクティビティデータの手動相関が必要であることを認める者が多くいます。言い換えると、彼らはデータを持っていますが、必ずしもリアルタイムの洞察を持っていません。
検出は改善されますが、対応はまだ遅れています
このギャップはインシデント対応の際に特に苦しくなります。検出速度は改善されており、組織は24時間以内にアイデンティティベースの脅威を特定および確認できると報告しています。
しかし検出だけでは十分ではありません。チームが侵害されたアイデンティティがアクセスできるシステムと実行されたアクションを迅速に決定できない場合、対応は劇的に遅くなります。
セキュリティチームはアカウントが侵害されていることを知っているかもしれませんが、クラウドプラットフォームとSaaSアプリケーション全体のアクセスパスを再構築するのに重要な時間を費やしています。
その遅延の間に、攻撃者は権限をエスカレートさせ、次の目的に横方向に移動させたり、永続性を確立したりすることができます。
非人間アイデンティティが攻撃対象を拡大している
一方、アイデンティティランドスケープ自体が変わっています。人間アイデンティティのボリュームは比較的安定しているように見えますが、非人間アイデンティティ(NHIs) — サービスアカウント、APIキー、トークン、証明書、そしてますますAIエージェントを含む — は急速に拡大しています。
組織は現在、数千または数万ものNHIsを管理しています。これらのアイデンティティは人間のユーザーとは異なる方法で動作します:多くの場合MFAを欠き、より長く持続し、異なるスケジュールでローテーションし、同じレビューサイクルやガバナンスのスクラティニーを受けない場合があります。
その複雑さにもかかわらず、組織はNHIインベントリに高い信頼を表明しています。その信頼はより詳しく調査すると弱まります。
組織の約半分は、継続的な自動化された検出ではなく、定期的な監査、手動ドキュメンテーション、またはインシデント駆動型の検出方法に依存しています。
この不一致は認証情報の衛生データでも表面化し、多くが意味のあるシェアの認証情報が期限切れまたは未使用のままアクティブであると報告しています。
その結果は、成長する認証情報の墓場です — 休止中だが有効なアクセスパスで、攻撃者が元の目的が終了してから長期間に利用できます。
AIがアイデンティティリスクを加速させている
人工知能はこの課題を加速させます。AIは単に新しいアプリケーション層を導入するのではなく、アイデンティティがどのように作成および変更されるかを根本的に変えます。
組織は、AIシステムまたはオートメーションツールがアイデンティティおよび権限を生成または変更でき、多くはすでにAIエージェントが本番またはセンシティブデータにアクセスしていることを報告しています。
同時に、大多数はAI生成アイデンティティが来年増加することを期待しており、多くの場合は二桁のパーセンテージで増加します。
中核的な問題は、AIが本質的に安全でないということではありません。それはAIがアイデンティティ変更のスピードとスケールを増加させるということです。
アイデンティティは瞬時に作成できます。権限は動的に調整できます。
従来のチケッティングワークフローと承認ゲートは完全にバイパスされる可能性があります。
どのAIエージェントが存在するか、どのアクセス権を保有しているか、どのように動作するかについて明確な可視性がなければ、AIは既存の非人間アイデンティティリスクの力の増幅器になります。
既に分散化した可視性と手動相関に苦しんでいる環境では、自動化されたアイデンティティ作成は別の加速レイヤーを追加します — そして攻撃者が正当なアクセスと混合する別の機会。
アイデンティティリスク軽減戦略
アイデンティティがクラウドセキュリティインシデントで成長する役割を果たしている中で、組織は反応的対応を超えて前もってリスクを減らすことに焦点を当てる必要があります。
可視性は重要ですが、権限を制限し、不要なアクセスを削減し、対応時間を改善する強力なコントロールと組み合わせる必要があります。
これには、人間のユーザー、非人間アカウント、サードパーティ、およびAI駆動型システム全体で一貫してアイデンティティリスクを管理することが含まれます。
- クラウド、SaaS、およびアイデンティティプロバイダー全体でアイデンティティ可視性を統合することで、ツールの分散を削減し、手動相関ギャップを排除します。
- 継続的な検出、自動化されたライフサイクル管理、認証情報ローテーション、および未使用または長寿命のアクセスの削除を強制することで、非人間アイデンティティをファーストクラスの資産として扱います。
- フィッシング耐性のあるMFAを強制し、レガシー認証を排除することで、認証情報ベースの侵害リスクを削減します。
- スタンディング権限を Just-in-Time およびleast-privilege アクセスコントロールで置き換えることで、ブラストラディウスを最小化し、権限エスカレーションパスを防止します。
- アイデンティティ攻撃パス分析と動作監視を実装することで、異常なアクティビティ、有毒な権限の組み合わせ、および横方向の移動を早期に検出します。
- 権限をしっかり範囲設定し、機密データへのアクセスをセグメント化し、自動化されたアイデンティティ作成と変更を継続的に監視することで、AI およびサードパーティアイデンティティガバナンスを強化します。
- アイデンティティフォーカスのインシデント対応計画を構築し定期的にテストすることで、侵害中の迅速なトークン失効、セッション無効化、ブラストラディウス評価、および封じ込めを確保します。
これらの措置は、アイデンティティ関連のリスクを減らし、アクセスに対するコントロールを強化し、侵害が発生した場合にはより効果的に対応するのに役立ちます。
AIと拡大するアイデンティティ攻撃対象
アイデンティティリスクはますますクラウド環境全体のセキュリティインシデントに貢献しています。
組織が複数のクラウドに拡大し、非人間アイデンティティにますます依存し、AI駆動型オートメーションを採用するにつれて、明確な可視性と一貫したガバナンスを維持することはより困難になります。
これらの課題は、組織がゼロトラストソリューションを使用して、ユーザー、デバイス、およびワークロード全体で継続的な検証とより厳密なアクセスコントロールを強制する方法として使用するよう促しています。
翻訳元: https://www.esecurityplanet.com/threats/identity-security-blind-spots-fuel-modern-attacks/
