IDおよびアクセスといえば、普通、IT管理者の頭に最初に浮かぶのは認証でしょう。そしてユーザアカウントのプロビジョニングも、そしてそれら全ての鍵となるのがパスワードです。
これはシンプルなワークフローであり、これまで権限のないユーザはパスワードを使いリソースにアクセスしてきました。つまり、この8文字から12文字の文字と数字の組み合わせ(解読されないようにもっと複雑な組み合わせを求める組織もあるでしょう)が、悪意のある行為者と重要な組織データ、あるいは機密データやユーザのプライバシーデータとの間に立ちはだかるすべてなのです。
しかし...それで十分と言えるでしょうか?この問いに答える前に、まずは次の統計を見て、組織内でIDおよびアクセシビリティのワークフローを確立する際に、なぜIAMが重要なのかもう一度考えながら、読み進めてください。
「3分の1 (29%)組織において、2021年、1人以上のユーザがフィッシング攻撃に巻き込まれた。」 - Jamf Threat Labs
IAMが重要な理由
現代の脅威からリソースを効果的に保護するには、強力なパスワードだけでは不十分です。強力なパスワードが重要であることは間違いありません。しかし上述の統計が示すように、約3分の1の組織において、1人以上の正規ユーザがフィッシング攻撃の被害に遭っています。つまり、パスワードの相対的な強度や、パスワードの脆弱性を制限するパスワードポリシーの内容に関係なく、ユーザが単に認証情報を渡すだけでは不正アクセスを防ぐことはできないということです。
アクセス管理およびユーザ認証に影響する他のセキュリティ課題に加え、この問題に対応するためには、IDおよびアクセス管理ソリューションとセキュリティの連携が不可欠です。管理とセキュリティワークフローは、どちらも組織のリソースを安全に保つためのものであり、同じインフラを共有することは理にかなっているといえるでしょう。
Jamf Connectが例示するように、IAMとセキュリティの間にある、この相互関係はワークフローを統一し、(デバイスに関係なく)ユーザがやりとりする他のすべてのものと一致していることを保証し、認証の安全性を確保するだけでなく、リソースへの安全かつ継続的なアクセスも可能にします 。
最新の認証
IDは、デバイスやユーザアカウントから組織のリソースに至るまで、あらゆるもののセキュリティ確保にしっかりと組み込まれており、組織は既に従業員エクスペリエンスを改善するためこれに投資し、依存しています。さらに、これをGoogle、Microsoft、OktaなどのクラウドIDプロバイダと組み合わせることで、IT部門はゼロタッチ導入や、物理的な障壁を越えたユーザのクラウドID属性や管理に基づく効率的なアカウントプロビジョニングが可能になります。
これにより、ユーザーフレンドリーなIAMソリューションが、モバイルを含むすべてのデバイスで企業アプリを認証するだけでなく、オンプレミスやクラウドベースのすべての組織リソースに拡張され、デバイスの種類、所有者レベル、ユーザーの勤務場所に関係なく、アクセスを安全に管理できるようになります。
ポリシーの実施
IAMソリューションに組み込まれたアクセスポリシーは、さまざまな方法でセキュリティを強化します。例えば、ポリシーベースのデバイスリスク評価の融合することで、ITとセキュリティチームはデバイスのリスクポスチャを考慮できるようになります。フィッシング攻撃でユーザのパスワードが悪者に抜き取られた例で再度考えてみましょう。MicrosoftやGoogleと統合することで、条件付きアクセスに紐付いたポリシーは、漏洩した認証情報に紐付くユーザのアクセス許可を自動的に制限するワークフローを確立し、組織リソースへのアクセスを効果的に制限します。
また別の例では、ゼロトラストネットワークアクセス(ZTNA)を活用しますが、こちらはもう少し後で取り上げます。Jamf Private Accessの主要要素であるZTNAを利用することで、重要なビジネスアプリへのアクセスの許可には、認証が必要となります。さらに認証デバイスポリシーは、ITチームとセキュリティチームによって許可されたフリート内のデバイスのみにアクセスを制限します。
脅威を取り巻く現状
現代のコンピュータを取り巻く環境が、モバイルデバイスの利用やリモートワーク/ハイブリッドワーク環境への移行によって大きく変化したのと同様、残念ながら現代の脅威環境も進化。悪質な行為者は組織のデータを入手するためにデバイスやユーザを標的にする巧妙かつ斬新な方法を開発し続けています。
効果的なIAMソリューションには、オフィスのネットワーク境界をはるかに超越する適応性と柔軟性のあるセキュリティ要件が求められます。そのひとつは、前述したように、デバイスのリスクポスチャを継続的に評価すること、しかもセッション中、ずっと継続することです。あるいは、アクセスを許可する前にデバイスが侵害されていないことを確認することですが、セッション中にコンプライアンスから外れることもあるかもしれません。結局どちらも結果は同じ、不正アクセスとなるでしょう。
このリスクを軽減するために、ZTNAまたは条件付きアクセスによる継続的なリスクアセスメントは、機密データ、アプリ、リソースへのアクセスを許可または拒否するコンテキストアウェアポリシーを活用。クラウドベースの特性でITに独自のニーズの要求を満たす効果的でスケーラブルなネットワーク保護を提供します。セキュリティアプライアンスや複雑なソフトウェア構成、高額なサポート契約を管理する必要はありません。
ユーザをリソースに結びつけるだけではない
私たちが「現代」や「最新」という言葉を何度も強調しているのは、単に認証メカニズムを提供することとの違いを明確化させるためであり、真のIDおよびアクセス管理ソリューションは単なる認証を超えて無数の保護を提供します。
IAMはパズルのピースのようなものです。それ自体が独立したソリューションであり、単独で運用することも可能ですが、一方で他のソリューションと組み合わせて、より大規模な「深層防衛」戦略の一部として活用することで、より大きな威力を発揮します。パズルのピースと同じように、すべてのピースが正しい配置に収まらない限り、全体像が明らかになることはありません。
セキュリティソリューション独自の利点もありますが、ファーストパーティやサードパーティのソリューションとの統合によって得られる利点もあります。例えば:
1つのパスワードですべてを統治できる
すべてのエンタープライズアプリと組織リソースにまたがるID管理の統一は、先に述べた通りです。シングルサインオン(SSO)を有効にすることで、インフラ全体、特にアクセスするさまざまな管理対象デバイスと非管理対象デバイスの保護を標準化できます。IT部門のアクセス管理が合理化されるだけでなく、ワークフローが簡素化されることで、ユーザが覚える必要があるのは1つのパスワードだけとなり、会社のポリシーに準拠していない(または準拠する)複数の認証情報を管理する必要から解放されます。
さらにSSOは、企業リソースと私物Macエンドポイントの間のパスワードをバックグラウンドで同期することで、それぞれが認証情報を持つ複数のサービスを管理する負担を軽減し、すべての利害関係者が使えるIdPを提供します。
三人寄れば文殊の知恵
パスワードのセキュリティは玉石混交です。リソースへのアクセスを保護するものとして受け入れられていますが、管理者とユーザ、どちらの観点から見ても問題を抱えています。先述したパスワードのセキュリティに加えて、最善の努力を尽くしたとしてもフィッシング攻撃は、極めて強力な対策でなければ容易にすり抜けられてしまい、より効果的で優れた対策が求められています。
その対策のひとつが、以下のような複数の要素を組み合わせて本人を証明する多要素認証(MFA)です:
- あなたが知っていること
- あなたが持っているもの
- あなた自身について
Jamf ConnectとIdPでこの機能性を有効にし、組織のリソースへのアクセスを要求しているのが適切なデバイスの適切なユーザであることを保証することで、機密データが悪用されるリスクを最小限に抑えることができます。
安易に信用せず、常に検証を行う
先ほどZTNAについて言及しましたが、ここでは、ZTNAでIAMを拡張することによって組織が得られるセキュリティ上の利点について説明します。
まず、マイクロトンネルです。データのトンネリングという概念は、セキュリティの世界では決して目新しいものではなく、VPNは何十年にわたってトンネリングを行なってきましたが、現代の脅威環境において、レガシーVPNにはセキュリティ上の課題が複数あり、その課題はZTNAだけが解決でき、そして実際に解決しています。
このようなソリューションのひとつがマイクロトンネルであり、保護されたリソースは、ユーザがアクセスを要求する際に固有のマイクロトンネルを要求します。ZTNAは、従来のVPNのようにネットワーク全体へのアクセスを許可するのではなく、独立したマイクロトンネルを利用して、各リソースへのアクセスを保護します。これは、横方向のネットワーク攻撃を防ぐためにトラフィックが互いにセグメント化されるようにするためで、アプリが侵害された場合でも影響を受けたアプリへのアクセスのみを拒否すればよく、ITチームが問題を解決する間、ユーザは影響を受けていないアプリやリソースで生産性を維持できます。
またZTNAは、VPNハードウェアを介してトラフィックをバックホールする必要がなく、各マイクロトンネルをデバイス上やネットワーク内で運用するため、ネットワーク帯域幅の利用問題も解決します。さらに、スプリットトンネリングを用いることで、業務トラフィックを自動的に識別し、マイクロトンネルを通して保護する一方、非業務トラフィックはインターネットに直接ルーティングされるため、ユーザのプライバシー保護と組織データの保護を両立できます。
最新IAMの強み
現代のIAMで特に優れているのは、ファーストパーティやサードパーティのソリューションを活用するために機能を拡張できる点です。テクノロジーと同様、セキュリティも驚くほどのスピードで進化していることを考えれば、これは見過ごすことはできません。おそらくこれまではAppleデバイスフリート全体を管理するために必要なのはオンプレミスのIdPとMDMソリューションだけでした。しかし今日の組織では大多数の従業員がリモートで働いており、インフラストラクチャのデバイスとID管理を稼働させるだけでも、クラウドベースのIdP、MFA、MDMソリューションが必要になります。
この要件は、モバイル脅威防御や、ZTNAのようなアクセス管理能力にまで拡大する可能性があります。柔軟なIAMソリューションがあれば、現在、そして将来のニーズに対応する際に、大きな違いを生み出すでしょう。
話は再びパスワードに戻ります。もし、完全にパスワード不要で、リクエストにアクセスするための追加のセキュリティ層を提供するMFAソリューションを実装する方法があるとしたらどうしますか?パスワード不要のMac認証は可能?そして安全なのでしょうか?
その答えは、もちろん可能で、安全です。(あえて言うなら、より安全です。)
Jamf Unlockは、Jamf Connect + Jamf Proとバージョン14.0以降のiOSデバイスを統合することで、パスワード不要のワークフローを実現します。パスワードそのものが、データ侵害、フィッシング攻撃による損失、あるいは単に弱すぎたり推測が容易すぎることに起因するものを含め、セキュリティの弱点を生み出す可能性があり、パスワードレス認証ワークフローは、これらのセキュリティ問題を完全に回避することができ、ワークフォースのセキュリティとデータの保護を維持しながら、シームレスなエンドユーザ体験を提供します。
まとめ
- IDおよびアクセス管理は、現代の「どこでも働ける」職場のニーズに応えるための重要なステップ
- 脅威を軽減するために連携する多層型セキュリティソリューションの効果的な深層防御戦略におけるキー要素
- クラウドIdPを活用したゼロタッチプロビジョニングとアカウントプロビジョニングワークフローの合理化を実現
- ポリシーベースのIAMは、アカウント管理を組織のポリシーと整合させ、インフラストラクチャ内のすべてのデバイスにわたって標準化&拡張
- SSOとMFAを活用したシンプルな認証ワークフローにより、ユーザエクスペリエンスの向上と安全性の確保を実現
- ファーストおよびサードパーティのソリューションと統合することで機能を拡張し、現在のニーズを満たすと同時に、将来のニーズを満たす基盤を提供
- Jamf Unlockでパスワードレス認証ワークフローをシームレスに実装し、パスワードベースのセキュリティ問題を完全に回避
***
この投稿は、ホリスティックなセキュリティアプローチに関するシリーズの1つです。全投稿のまとめをご覧いただくか、以下の個別記事をご一読ください:
組織のリソースを安全に保つために、強力で複雑ではあるけれども、覚えられない、あるいは紛失しやすいパスワードに頼っていませんか?
従来の方法を見直し、最新のIDやアクセシビリティ管理ソリューションで、パスワードレスな未来を実現しましょう。
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。
