ほかにも、アイデンティティ(ID)情報や資格情報を狙うサイバー攻撃は枚挙にいとまがない。本物のサイトやクラウドサービスに似せた偽のWebサイトを用意してユーザーIDやパスワードを盗み取るフィッシング詐欺攻撃は、企業を狙うサイバー攻撃の3分の1を占めるに至っている。そして、こうした手段で盗み取ったり、漏洩したパスワード情報を悪用した攻撃が、全体の81%を占めるに至っている。
IDとパスワードをはじめとする資格情報は、どんなリソースやサービスを使う上でも不可欠な情報だ。だからこそサイバー犯罪は必死になって、ID情報を奪い取ろうと試みてくる。そしてひとたび侵入に成功されると、さらに高い権限を持ったアカウント情報を探したり、企業システム内に保存されている重要情報や個人情報を抜き取ったり、さらに別の企業へと侵害範囲を広げるなど、より深刻な被害につながる恐れがある。
ただ、こうしたIDを狙う攻撃、IDを悪用しようとする攻撃に対策がないわけではない。最も手軽で効果の高い対策の1つが、ワンタイムパスワードや生体認証を組み合わせる「多要素認証」だ。ユーザーの記憶情報だけに頼るのではあく、所持情報や生体認証を組み合わせる多要素認証を活用すれば、こうした攻撃の99.9%は低減できるという報告もある。こうした背景から、「認証」というITシステムを利用する上での基盤を高度化する必要が高まっている。
ゼロトラストにおけるアクセス管理の三原則に加え、利便性との両立が必須に
サイバー攻撃の動向という観点だけでなく、新しい働き方の実現に向けてニーズが高まっているゼロトラスト時代に対応するという意味からも、認証の高度化は待ったなしだ。
マイクロソフトではこうした動きを踏まえ、IDアクセス管理の観点から「明示的に確認する」「最小特権アクセス」「侵害はあるものと考える」というゼロトラストの三原則をまとめている。
たとえば、物理的にもネットワーク的にも守られていた従来のシステムとは異なり、ゼロトラストでは、モバイル機器やリモートワーカーが直接インターネットやクラウドにつながることになる。こうした環境では、何ものも信用することはできない。そこで、IDとパスワードによる認証だけで済ませるのではなく多要素認証を行い、さらにアクセス元の場所やデバイスの状態といったさまざまなコンテキスト情報も含めて検証し、明示的に確認することが必要になる。
また、セキュリティの大原則は「Need to Know」であり、いかなるユーザーにも必要最低限のアクセス権限のみが与えられるべきだ。ただ、この原則を踏まえつつ、生産性と両立させていくことも重要になってくる。
そこで、アクセス権限を最小限に抑えつつ、ユーザーの利便性を損なわないようにするため、「同じユーザーでも社内からアクセスする際には機密情報にアクセスできる一方、社外からアクセスしてきた場合には限定的なアクセスにするし、脆弱性の残ったPCからの接続ならば遮断する」といった具合に、アクセスしてきた場所や状況に応じてメリハリのある統制を効かせることが重要だ。
具体的には、リスクベースのアクセス制御によってこうした柔軟な制御を実現できるだろう。また、ユーザーに複雑で長いパスワードの設定を強いることなく、つまりユーザーに負担を押しつけることなく堅牢な認証を可能にするパスワードレス認証も、この先重要な要素になってくるだろう。
そして、残念ながらセキュリティの世界に完璧というものはあり得ない。前述の通り、アイデンティティを狙うものも含め、日々さまざまな攻撃が展開されている中では、防御の高度化、強化を図りつつも「何らかのインシデントは必ず起きる」という前提で次善の策、事後対応を検討しておく必要がある。仮に侵害があったとしても被害を最小化するため、脅威をいち早く検知し、分析し、必要な対応をとる体制を整えていくことが重要だ。
Active Directoryをただ単にクラウドに移行しただけではない、Azure Active Directoryの特徴
実は、この3つの原則を満たした、クラウド時代の認証基盤が「Azure AD」だ。多くの企業で長年認証基盤として活用されてきたActive Directoryをクラウドに持っていき、管理できるようにしたものだが、それだけはない。専用アプリ「Microsoft Authenticator」やSMS、FIDO2対応のセキュリティキーなど、多様なツールを用いた多要素認証に対応している。さらに、Windows 10で搭載された「Windows Hello」を活用したパスワードレス認証によって、透過的なアクセスも可能だ。
加えて、「条件付きアクセス」を利用すれば、最小権限の原則に従いつつ利便性を高める、リスクベース認証も実現できる。ユーザーのアクセス元やデバイスの環境といったコンテキスト情報に加え、利用されているIDがブラックマーケットで流通しているものでないかどうかといった条件を元にリスクを判定し、それに応じてより堅牢な認証方式を動的に追加したり、アクセス先を制限することが可能だ。
もちろん、パスワードレス認証にも対応している。前述の通り、Windows HelloやMicrosoft Authenticator、あるいは業界標準であるFIDO2対応のデバイスを活用してシングルサインオンができ、面倒なパスワードを覚えておいたり、定期的に変更したりすることなく、高いセキュリティとユーザビリティを両立できる。
しかもAzure ADはオンプレミス環境で多くの企業に使われてきたActive Directoryの技術を生かしつつ、ID as a Service(IDaaS)として提供されることで、インターネット経由で場所を問わずどこからでも利用でき、しかも運用管理やサーバのメンテナンスに要する負荷が少ないという、クラウドサービスならではのメリットを享受できる。
その上、マイクロソフトが提供するほかのサービスや、ログの統合管理を実現するSIEM製品と連携し、さまざまなログを元にアイデンティティに関するリスクを検知することも可能となっている。具体的には「Azure AD Identity Protection」を活用することで、機械学習技術を生かし、さらに世界中のサイバー攻撃の動向をカバーする脅威インテリジェンスと照らし合わせながら分析をかけることで、侵害を受けている恐れのあるリスクの高いログインを特定し、アラートを発することができる。必要に応じて、ユーザーにパスワードの変更を促すといったアクションをとることも可能だ。
マイクロソフトが開催した「Digital Trust Seminar 2021」のセッション「IDaaSの強みを活かして認証の高度化を推進しましょう!」では、Azure ADを用いてどのように認証を高度化できるのか、そしてなぜAzure ADを選ぶべきなのかといった事柄が、具体的な例とともに紹介されている。アイデンティティを巡るぼんやりとした不安におびえるのではなく、問題を具体化して解消したいと考える人にとって、非常に示唆に富む内容になるのではないだろうか。
