ゼロトラストの原則を実践することで防げた3つの侵害

また別の日に、またデータ侵害が発生しました。とにかくニュースに注意を払っていたら、ここ数年でデータ侵害が増加していることに気づかずにはいられません。2019年の最初の半年間だけでも、41億件の漏洩記録に責任を負う3,800件以上の公開された侵害がありました。

しかし、この増加の根本的な原因は何でしょうか? データ侵害がこれまで以上に増えている理由は、いくつかの潜在的な理由が考えられます。メディアやサイバーセキュリティ会議のパネルで取り上げられている疑問には、以下のようなものがあります。

  • 高度な攻撃防御策の採用が遅すぎるのでしょうか?
  • サイバーセキュリティの人材が不足しているのでしょうか?
  • 単に攻撃者に負けているだけなのでしょうか?

これらはそれぞれに正当性があり、課題を増やしているのかもしれませんが、現代のデータ侵害の多くは、実際にはもっと単純なものの結果だと思います。

「サイバー犯罪者は、機密情報を侵害するための努力を倍増させると予想され、そのためにいくつかの異なる脅威のベクターを使用する可能性が高い」- Experianの2019年データ侵害業界予測

デジタルトランスフォーメーションの取り組みは、ビジネスのやり方を変えようとしています。リモートワーカーの急増、BYOD の取り組み、パートナーのアクセス、クラウドへの移行などにより、企業の攻撃対象は従来の範囲をはるかに超えて拡大しています。しかし、この拡大した攻撃対象から守るためのサイバーセキュリティの原則と技術は存在するものの、それらが一貫して適用されているわけではありません。

ゼロトラストは、セキュリティにおける最新の流行語であるだけでなく、今日の脅威が拡大する中で、データ侵害に対する最善の防御策であると多くの人が信じています。また、これは最も基本的なサイバーセキュリティの実践に基づいており、システムやデータがどこでホストされていても、どんなユーザーやデバイスがアクセスしようとしていても、システムやデータを確実に保護する必要があることを定義しています。

これらの原則を無視することに関連した脆弱性は、ウェブアプリケーションや他の企業リソースに対する最も重要なセキュリ ティリスクの文書である OWASP トップテンに概説されていますが、これらの基本原則が常に無視されている例を、私たちはまだ目にしています。ポイントを説明するために、ここでは、ゼロトラスト・アーキテクチャによって提供されるような共通のセキュリ ティ管理と監視が実施されていれば防げたであろう、注目を集めた3つのデータ侵害を紹介します。

侵害1:見てよ、認証されない!

あなたの銀行口座情報、住宅ローンの明細書、税金の記録、運転免許証の情報、電信取引の履歴などが、ブラウザを使えば事実上誰でも利用できるようになっていたらどう思いますか?

これはまさにファースト・アメリカン・ファイナンシャル社で起こったことです。タイトル保険と不動産クロージングサービスのプロバイダーは、パブリッククラウドの欠陥が原因で、最大8億8500万人分の顧客記録を流出させました。

住宅を購入したことがある人なら、どれだけの個人情報や機密性の高い財務情報を提供しなければならないか知っているはずです。ファースト・アメリカン社は、多くの類似組織と同様に、これらのデータをすべてクラウド上に保存し、文書のリンクを共有することで、特定の不動産取引の関係者が利用できるようにしています。

しかし、ファースト・アメリカン社は適切なセキュリティ管理を行っていなかったため、同社の顧客データは文字通り一般に公開されていました。彼らが提供した文書リンクは、本人確認や検証を必要とせず、アクセス制御も行わず、記録へのアクセスを許可していました。ドキュメントリンクがあれば誰でもウェブブラウザーを使って記録にアクセスすることができました。

そして、それは悪化します。各記録や取引には連番が割り当てられていたので、他の不動産取引の記録や詳細を入手するために、番号を修正するだけで済みました。

この脆弱性を防ぐには

ファースト・アメリカン の例の欠陥は、ゼロトラスト・アーキテクチャの中核的な原則である「常に識別と認証を行う」という点を指摘しています。この脆弱性は、認証局を実装することで簡単に防ぐことができたはずです。

認証局は、ユーザーがクラウドやその他のリソースにサインオンするための一貫性のある安全な方法を提供します。登録、サインオン、セルフサービスのアカウント管理のために完全にカスタマイズ可能なテンプレートを提供することで、識別と認証への適応的なアプローチを可能にし、PingAccessのようなアクセス制御ソリューションにフィードすることで、集中化された動的で適応的なアクセス制御を提供します。

侵害2:認証と認可は一致しない

米国郵政公社(USPS)は、2017年にインフォームド可視化サービスを導入しました。このサービスでは、USPSの商用顧客が送信した郵便物に関するデータを取得することができました。これはデジタル化への大きな一歩でしたが、サービスを提供するAPIには、ログインしたユーザーが他のユーザーのアカウント詳細を閲覧したり、場合によっては変更したりすることをうっかり許してしまう欠陥が含まれていました。

APIはワイルドカードの検索パラメータを受け入れていたため、ハッキングツールは必要ありませんでした。文字通り誰でも通常のブラウザを使用して検索を操作することができ、個人データが公開された推定6000万人が証明しているように、最小限の努力で検索を操作することができます。

KrebsOnSecurityが行った分析によると、メールアドレスのような少なくともいくつかのデータフィールドは、権限のない人物によって変更される前に追加の検証ステップを必要としていました。これは、大規模な商用顧客は、権限チェックなしにアカウント情報が変更されないことを保証する必要があるためです。しかし、このセキュリティ上の欠陥は、リクエストに関連付けられたIDが記録を読み取ったり修正したりするための適切なアクセス権を持っていることを確認するためのアクセス要件が省略されていたことでした。

この脆弱性は、OWASP のトップテン文書では、”A5: Broken Access Control “として最もよく説明されています。問題の API が、リクエストを行う人が適切な権限を持っているかどうかを確認するためにアクセスチェックを行っていれば、この脆弱性は簡単に防げたでしょう。この同じアクセス制御チェックは、ワイルドカード検索結果をフィルタリングするためにも使用できたはずです。

この例はまた、ゼロトラストのもう一つの主要な原則を強調しています:アクセス要求の時点で、個々のユーザに関連する権限とリスクのレベルを常に検証することです。この、認証時に確立された信頼とアクセスのリスクを一致させることを、私たちは「マッチング」と呼んでいます。

USPSはそもそもAPIにアクセスするために認証を必要としていたので、ファースト・アメリカンよりも優れた方法をとっています。残念なことに、認証と認可を同一視することはよくある間違いであり、その結果、このようなデータ侵害が発生することが多く、その影響は甚大なものになる可能性があります。

この脆弱性を防ぐには

この脆弱性を防ぐ方法の一つとして、各開発者がAPIごとに認証チェックを実施することが挙げられます。しかし、多くの企業では、認証を一元的に管理し、実装することを好んでいます。

これらの企業は、Ping Intelligent Identity プラットフォームを使用して、PingAccess (中程度の権限) と PingDataGovernance (細かい権限) を組み合わせて実装し、不正アクセスや意図しないアクセス、および潜在的なデータ漏洩から保護しています。PingAccess は認証チェックを強制し、PingDataGovernance は中央の場所から一貫したアクセス・ポリシーを適用して検索結果をフィルタリングします。

侵害3:関連付けによるデータ侵害

人的要素は、多くの場合、組織のセキュリティチェーンにおける最も弱いリンクです。単純なフィッシング・メールは、横の動きを防ぐための適切な対策を講じていなければ、組織全体のシステムを危険にさらす可能性があります。この種の侵入が成功した場合、得られたアクセスを利用して、最初のターゲットを超えて顧客にまで攻撃を拡大することができます。次の例は、このような侵害の話です。

今年の初め、大手ITアウトソーシング企業がハッキングされましたが、同社のシステムは最終的な標的ではなかったかもしれません。同社は他の多くの企業から信頼されているベンダーであるため、攻撃者はその不正アクセスを利用して、同社の顧客に対するさらなる攻撃を開始しました。

最初のシステム侵害は、同社の従業員に対するフィッシングキャンペーンが成功した結果で、ハッカーは顧客のアカウントを管理するための管理者情報にアクセスしました。そこから、サイバー犯罪者は、顧客の名前やシステムにアクセスして、小売店や金融ギフトカード詐欺で被害者のお金を盗むという動機で、同社の顧客への攻撃を開始したと考えられています。

この例は、ゼロトラストのもう一つの原則である、すべてのシステムとデバイスが危険にさらされる可能性があると仮定することの重要性を示しています。このアプローチは、Gartner社のCARTA(Continuous Adaptive Risk and Trust Assessment)フレームワークで提唱されており、ゼロトラスト・アーキテクチャに不可欠な基本的なセキュリティ対策です。

この脆弱性を防ぐには

すべてのシステムがいつでも危険にさらされる可能性があると仮定した場合、IDおよびアクセス管理(IAM)に対して、これまでとは異なる、ますますインテリジェントなアプローチを取る必要があります。

Web層、API層、データ層のアクセス制御製品は、内部システムや外部システムからのシグナルを利用して、アクセスが許可される状況を確立し、異常な動作を切り分けることができます。包括的なポリシーエンジンを搭載した集中型アクセスセキュリティソリューションと、Ping AccessとPingIntelligence for APIの組み合わせなどのAIを搭載したAPIセキュリティソリューションを組み合わせることで、非定型的な動作を特定して監視することができます。

その後、PingID のような適応的な多要素認証を使用して、保護の追加レイヤーを提供することができます。このアプローチでは、信号を共有することでよりダイナミックなアクセスアプローチが可能になるため、システム全体が個々のコンポーネントよりも耐障害性を高めることができます。

ゼロトラストでデータ侵害を防ぐ

デジタルトランスフォーメーションは、私たちのビジネスのやり方を変え、刺激的な方法で進化させています。しかし、それはまた、サイバー犯罪者の攻撃対象を拡大しています。ゼロトラストの原則は、組織がその境界線の内外を問わず、もはや何もかも、誰も信用することができないという現実を中心にしており、アクセスを許可する前にすべての人を検証しなければなりません。これらの概念は、今日のセキュリティ上の課題を解決するためのものであり、絶え間ない脅威の嵐から必要な保護を提供することができます。

コメント

タイトルとURLをコピーしました