Okta Identity Security Posture Managementに関する以前のブログでは、企業がローカルアカウントの管理とセキュリティに対処する際に直面する課題と潜在的なソリューションについて説明しました。今日は、ローカルユーザーを作成するアプリケーションに関係なく、セキュリティチーム向けのソリューションの例を見ていきます。
これから説明することは、2段階のプロセスに基づいています。
- Okta Identity Security Posture Management は、ローカルアカウントを検出し、それらのリスクを関連付け、最も重要なものの修復を優先します。
- Okta Workflowsでは、柔軟な事前構築済みテンプレートとコネクターを使用して自動修復が可能です。
優先順位付けが重要
セキュリティチームは、毎日複数のツールからの何千ものアラートに埋もれています。ITチームは、修正する必要のあるセキュリティ主導の設定ミスによって発行されたチケットで溢れかえる危険性があります。
アラートは、その影響、実用性、および修復に関わるビジネス上の摩擦リスクにおいて異なります。セキュリティチームは、対応が遅れ、攻撃者がリスクが排除される前に侵入を許してしまう手動プロセスに頼らざるを得ないことがあまりにも多くあります。
さらに、下流のアプリケーションの問題を調査して修正するために必要な専門知識と権限が不足していると、生産性がさらに低下し、時間とリソースが無駄になります。そのため、検出されたすべての問題の中で、セキュリティチームは効果的に優先順位を付け、最も重要で実用的な脆弱性に最初に対処できるようにする必要があります。
実践的な例
現実の一般的な例として、「Entra IDローカル未使用、多要素認証なし、古いパスワード管理者」を取り上げましょう。すべてのローカルアカウントの中で、多要素認証 (MFA)がなく、古いパスワードを持つ未使用の特権ユーザーアカウントが最も実用的で、リスクが高く、組織を脆弱にする可能性が最も高くなります。
なぜ?これらの詳細を詳しく見てみましょう。
- 最も実行可能なこと:未使用のアカウントは、ビジネスオペレーションへの影響を最小限に抑えて無効にできます。
- 最も高いリスク:管理者権限を持つ特権アカウントは、重大な損害を引き起こす可能性があり、悪用される可能性が非常に高くなっています。
- 最も脆弱なのは、MFAがなく、古いパスワードを持つアカウントであり、脅威アクターにとって明確な攻撃経路となります。
修復方法は非常に簡単で、2つの選択肢があります。
- リスクのあるユーザーに焦点を当て、ローカルアカウントを直ちに無効にし、特権を削除し、パスワードをリセットして、リスクを軽減します。
- アクセスレビューキャンペーンを作成して(アクセスを戻すべきかどうかを検討するため)、より体系的なアプローチをとるか、ローカルアカウントをOktaフェデレーションユーザーアカウントに置き換え、MFAを適用します。
それでは、架空のケーススタディで、Oktaプラットフォームを使用してそのようなアプローチをどのように実装できるかを見てみましょう。
ウォークスルー:Okta Identity Security Posture ManagementとWorkflowsによる検出と自動修復
架空のケーススタディ:ACME Corp
ACME Corpの従業員であるAliは、Microsoft Entra IDでアプリケーション管理者ロールを持つローカルアカウントを作成しました。3か月前に新しい役割に移行した後、彼女のアカウントは未使用のまま放置され、脆弱な状態でした。
- シングルサインオンが強制されていません: Aliのアカウントでは、FastPassのようなパスワードレスの方法を利用する代わりに、ユーザー名とパスワードでのログインが許可されていました。
- 中央セキュリティポリシーの欠如:彼女のアカウントにはMFAは必須ではありませんでした。
- 古い認証情報: パスワードは数か月間更新されていませんでした。
- 特権アクセス:Aliの管理者権限により、機密ユーザーデータへのアクセス権を持つアプリケーションを作成できました。
このコンテキストは、Identity Securityの体制の観点からは理想的とは言えません。
攻撃者の視点
潜在的な攻撃者は、Aliのローカルアカウントの管理者権限を利用して、悪意のあるアプリケーションを作成したり、機密データにアクセスしたり、他のユーザーアカウントを侵害したりして、組織のセキュリティを著しく危険にさらす可能性があります。
ACMEのIdentityセキュリティ体制の強化
ACMEのセキュリティチームは、Okta Identity Security Posture Managementを展開します。Microsoft Entra IDとの統合により、Aliのローカルユーザーアカウント(ali.lesch@acme.onmicrosoft.com)を含むIDインベントリが継続的に更新されます。チームは、Okta Identity Security Posture ManagementとOktaコアプラットフォームを構成して、Webhookを使用してWorkflows経由で接続することもできます。
このソリューションは、Aliのアクセス、権限、およびセキュリティ体制を関連付けて、以下を確認します。
- このアカウントはローカルであり、Aliに属しています。
- アカウントは未使用です。
- MFA が設定されていません。
- パスワードが古く、リークされたパスワードリストに表示されます。
- アカウントは管理者権限を持っています。
検出されると、「未使用、MFAなし、古いパスワード管理者」というタイトルのアラートがトリガーされます。
- "ローカルユーザー修復"というラベルのイベントフックが自動ワークフローをアクティブにします。ワークフローは、Entra IDでAliのローカルアカウントを自動的に無効にします。 "Local Users Remediation"ワークフローは、Entra IDでAliのローカルアカウントを自動的に無効にします。
- 問題はその後解決され、潜在的なリスクが軽減されます。
この簡単な例は、Okta Identity Security Posture Managementが高リスクユーザーを表面化させ、修復を優先させる能力を示しています。また、ソリューションの実用的な側面と、Oktaプラットフォームとの深い統合も示しています。自動修復はOktaアプリケーションに限定されないことに注意してください。お客様は、ウェブフックを使用して独自のソリューションと統合できます。
より大きな視点: Okta Secure Identity Commitment
Okta Identity Security Posture Management を使用してリスクを検出し、関連付けることと、Okta Workflows を使用して自動修復を行うことで、セキュリティチームは効果的かつ迅速にリスクを軽減できます。
Okta Identity Security Posture Managementは、Okta Secure Identity Commitmentの一部です。Okta Secure Identity Commitmentは、アイデンティティ攻撃との戦いを主導するためのOktaの長期計画です。Oktaは、今日の絶え間なく変化する脅威の状況において、アイデンティティを保護するために必要な製品とサービスをお客様に提供します。
Okta Identity Security Posture Management が Identity Security Posture の管理能力にどのように影響し、侵害のリスクを軽減できるかについては、プロダクトマネージャーにお問い合わせください。
