CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

<NSAとCISAが考える、IAM(アイデンティティ&アクセスマネジメント)はこうしろ!3/3(後編)>

セキュリティ知識

NSACISAが考える、IAM(アイデンティティ&アクセスマネジメント)はこうしろ!3/3(後編)>

 

前回に引き続き、NSACISA発行の「Identity and Access Management Recommended Best Practices Guide for Administrators」というガイドラインに関する後編となります!

引き続き、限界までかみ砕いて行きましょう(^^♪

今回対象にするのはガイドラインの中で重要となる5つの項目のうち、以下の3つとなります。

 

③Identity federation/single sign-on

④Multifactor authentication

⑤IAM auditing and monitoring

※5つの項目を忘れた・・・という方は以下をご参考にしてください!!

<NSAとCISAが考える、IAM(アイデンティティ&アクセスマネジメント)はこうしろ!1/3> - CyberSEALs’s diary

 

では、それぞれ見て行きましょう(^^♪

③Identity federation/single sign-on

-認証・認可を一箇所で集中管理して行う
-ローカルIDが無断で作られると、適切な保護がない状態で利用される可能性がある
 -管理外のローカルIDはマジで危険!悪用されるし、ログも取れないから何が起きても対処できない
-フェデレーションやSSOを行う場合、SAMLとOIDCが筆頭格!何を使うべきかは良く検討しよう
 -SAMLとOIDCなら、OIDCの方が安全!認証・認可フローにおいて、OIDCなら「クライアントにトークン情報が残らないため」
-フェデレーション・SSOの枠からはみ出るIDはパスワード管理を厳重に

④ Multi-Factor Authentication
-ID・パスワードだけの認証レベルは低いので、そこにプラスαの認証要素を加えてに認証レベルを上げる必要がある
 -プラスαの認証要素には主に以下がある!
・One time password
(SMS、メール、Google authenticater)
・Out bound push notification app
Facebookとかで、アプリを確認して承認してください。ってなるやつ)
・Cryptographic authenticater
(パスキー、スマートカード、顔や指紋)
-認証要素によりセキュリティレベルが変わる!「SMSとメールは弱く」、「パスキーや顔、指紋は強い」

-生体認証は強力だが、プライバシーや倫理的な問題が発生する恐れがあることを理解しておくこと
-MFAを考える際、必ずフィッシングのリスクを考慮する!プラスαの要素が盗まれては意味がないから
-どの要素をプラスαで用いるか/使えるか?は環境次第!事前確認は必須

-特権IDは特別な保証レベルが必要になることがある

 -その場合、一般IDとは分けて特権ID管理を行うこともある!
-SSOをするなら「MFAは必須」と考える
 -MFAでハードウェアトークン、スマホ等を利用する場合は無くすことを前提に運用すべき

 

⇒どれも重要なことですが、個人的には「集中管理による野良アカウントの防止」と「パスワードレスの流れに象徴されるSSOの盲点となる、残ったパスワードの適切な管理」というポイントが特に興味深いなと思いました。(少々、職場柄な気もしますが・・・)

 

⑤ IAM Auditing and Monitoring
-監査はもちろん、早期検知も重要な目的の1つとなる
-IAMにおける、あるあるな脅威は内部犯行と(外部からの)不正アクセス
-早期検知には何が通常で、何が異常かを予め定義しておこう
 -ふるまい検知技術を使う場合、継続的なチューニングは必須

  -振る舞い検知をより詳しく知りたい人はDARPAADAMS プロジェクトが参考になるよ!(僕は見てません、、)
-ログの保管・分析は必須。ただ闇雲に大量のログを保管しても分析できず時間の無駄。重要なログを予め定義し、優先度をつけて活用しよう
-マニュアルでのログ分析は最小にすべき。SIEM等を上手く使いこなし、自動化すべき

⇒ルールが適切に守られているか確認する上で、この要素の取組みは非常に重要だと思いました。実際の組織での運用を考えると、「情シス・CSIRT」の役割としてこのような活動をしていくことになると思いますが、そもそも最初の時点でチェックできる仕組みを整備して、その後可能な限り省力化してログ等を分析していくのが大事だなと思いました!(^^)!

 

さて今回は少し長めでしたが、こちらで終了です!

全3シリーズでNSACISAの考えるIAMについて、限界までかみ砕いてご紹介をさせて頂きました。少しでもこの内容が皆様のお仕事に役立てば幸いです!

 

f:id:CyberSEALs:20231031135429j:image

(すっかり秋ですね。この季節、湘南はランニングをするには最高です!)