盗まれた認証情報は、2025年の既知の初期アクセスベクトルの22%を占めました。これはネットワークに侵入するための最も一般的な方法であり、一度内部に入ると、過度な権限と限定的な可視性により、攻撃者は制限されずに昇格することができます。
ゼロトラストがその答えとして位置付けられています。理論的には、暗黙の信頼を排除し、すべてのアクセスリクエストを検証する必要があれば、セキュリティが向上するはずです。しかし、実際には、単にゼロトラストの原則を採用するだけでは十分ではありません。
一貫した身元管理戦略ではなく、分離された制御セットとして実装される場合、ギャップが残り、攻撃者はそれらを見つけるでしょう。
身元管理セキュリティを本当に強化するために、ゼロトラストは身元管理を中核として適用する必要があります:厳格に統治され、継続的に検証され、環境全体で完全に可視化されます。以下の5つのアプローチは、適切に実行されたゼロトラストモデルが身元管理セキュリティを実践的で測定可能な方法でどのように強化するかを示しています。
1. 最小権限アクセスの実施
ユーザーが役割の変更、プロジェクトの進化、または一時アクセスが取り消されないことで、時間とともに権限を蓄積することは一般的です。その結果、ユーザーが実際に仕事に必要とするレベルをはるかに超えるアクセスレベルになります。
攻撃者がそのアカウントを侵害した場合、彼らは同じ権限を継承し、最初からより広い足がかりを得られます。
ゼロトラストは最小権限の原則を適用してその露出を制限します。アクセスは、幅広いまたは永続的な権限ではなく、特定の要件に基づいています。これは、ジャストインタイムアクセスと時間制限付き権限、システムとデータ間の厳格なセグメンテーションを意味します。
認証情報が盗まれた場合、潜在的な影響は封じ込められます。攻撃者は権限を昇格させたり、機密システムにアクセスしたりする可能性がはるかに低くなり、侵害の可能性と重大度の両方が減少します。
2. 継続的で文脈認識型の認証
ゼロトラスト環境では、認証をログイン時の一回限りのイベントとして扱うことは危険です。攻撃者は現在、セッションハイジャッキングとトークン盗難を使用して初期チェックを完全にバイパスし、正当なユーザーを装ってネットワークを移動しています。
彼らはしばしば侵害されたデバイスを活用して通常のアクティビティに混じり、従来のセキュリティトリガーに見えないままです。
組織はこのギャップに対処するために、継続的で文脈認識型の認証が必要です。認証情報だけに依存するのではなく、デバイスの健全性もアクセス決定に影響を与えるべきです。
Specops Device Trustのようなソリューションはその保証を提供します。身元管理を信頼できるデバイスにバインドすることで、攻撃者が自分のハードウェアまたは不明な仮想環境でパスワードを使用することを防ぎます。
デバイスが無効化されたファイアウォールまたは見落とされたアップデートなどにより準拠から外れた場合、ユーザーはそれを修正するよう促されます。アクセスは、ユーザーがそれを修正するまで制限または取り消すことができます。
さらに、Specops Device TrustはWindows、macOS、Linux、iOS、およびAndroidをサポートし、BYODとサードパーティデバイスを含む、組織のネットワーク全体で一貫したデバイス信頼を実現します。
これは身元管理セキュリティに重要なレイヤーを追加します。認証情報は信頼できるデバイスなしにはるかに悪用しにくくなるためです。これは身元管理セキュリティに重要なレイヤーを追加します。
3. 横方向の移動の制限
ゼロトラストは、初期の侵害から特権アクセスへの攻撃者の進行を妨害するように設計されています。これには、ネットワーク内での無制限の移動を許可するのではなく、細粒度レベルでアクセスをセグメント化し、新しいリクエストのたびに身元管理を継続的に検証することが含まれます。
正当なアクセス権を持つユーザーでも、その役割に必要なシステムとデータのみに制限されています。これは、アカウントが侵害された場合、攻撃者が環境を探索し、権限を昇格させ、高価値資産に到達する能力が各ステップで制限されることを意味します。
実際には、この封じ込めは軽微なインシデントと大規模な侵害の違いになる可能性があり、広範な侵害の可能性があったものをはるかに管理しやすいセキュリティイベントに変えます。
4. リモートワークとサードパーティアクセスの保護
リモートワークとサードパーティのコラボレーションは標準になってきましたが、追加の身元管理リスクももたらします。従業員は、ベンダーやパートナーと一緒に、管理されていないデバイスとネットワークからログインしています。
従来のモデルでは、このアクセスは頻繁に過度にプロビジョニングされるか、不十分に監視され、攻撃者が利用できるギャップが作成されます。たとえば、侵害されたサードパーティの開発者アカウントは、機密環境への直接的なルートを提供します。
ゼロトラストはこれに対処するために、すべてのユーザーとデバイスをデフォルトで信頼されていないものとして扱います。アクセスはネットワークロケーションまたは仮定された信頼ではなく、検証された身元管理、デバイスの状態、および文脈に基づいて付与されます。
これにより、組織はすべてのアクセスポイント全体で一貫したセキュリティ制御を適用できます。サードパーティのユーザーは特定のシステムに制限されます。セッションはより厳密に監視でき、アクセスは不要になるとすぐに取り消すことができます。
5. 一元化された身元管理ガバナンスと監視
身元管理環境が成長するにつれて、可視性と制御を維持する課題も増えます。特に大規模な組織では、ユーザー、役割、アプリケーション、および権限は複数のシステム全体に分散されており、セキュリティチームが任意の時点で誰が何にアクセスしているかを見ることが難しくなります。
ゼロトラストは身元管理ガバナンスと監視をより一元化されたモデルにもたらします。セキュリティチームは分離されてではなく、単一のポイントからアクセスポリシー、認証イベント、およびユーザーアクティビティを管理できます。
異常なアクセスパターン、権限の変更、またはポリシー違反は、より迅速に検出および調査でき、攻撃者が検出されずに動作する時間が短縮されます。
組織にゼロトラスト身元管理セキュリティを実装する
ゼロトラストモデルへの移行は旅であり、週末のプロジェクトではありません。一度にすべてを改造する必要はありません。ほとんどの組織は、フィッシング耐性のある多要素認証とデバイスヘルスチェックを最初に優先することで、最も直接的な成功を見出しています。
これらの高影響力の制御から始めることで、インフラストラクチャの残りの部分全体で徐々に最小権限ポリシーを厳格にしながら、最も脆弱なエントリポイントを保護できます。
Specopsの身元管理セキュリティサービスがあなたの組織を真のゼロトラスト認証に向けて移動するのにどのように役立つかを見ることに興味がありますか?
本日お問い合わせいただくかデモを予約して、当社のソリューションの動作を確認してください。
翻訳元: https://www.bleepingcomputer.com/news/security/5-ways-zero-trust-maximizes-identity-security/
