マイクロソフトは火曜日、1日がかりの Microsoft Secure 仮想イベントを開始し、IT 部門が複数のクラウド環境にわたってユーザーとアプリケーションの ID を管理する必要性を強調した。
Windows の巨人である同社は、アイデンティティセキュリティを担当するスタッフの一部を解雇することでこれを裏付けた。
レドモンドは、「クラウドのアクセス許可リスクの現状」に関するレポート [PDF] を発表したほか、マイクロソフトのアイデンティティ部門プログラム管理担当コーポレートバイスプレジデントであるアレックス・シモンズによる付随ブログ投稿を公開し、イベント中に行われたいくつかのセッションでアイデンティティに焦点を当てました。
同時に、マイクロソフトの大規模なレイオフが同社のアイデンティティ管理チームにも影響を及ぼしているとの報道もある。LinkedInでAzure Active Directoryのプリンシパルプロダクトマネージャーとして紹介されているメリル・フェルナンド氏は、アイデンティティ管理チームのメンバーが職を失うとTwitterに投稿した。
「仕事に恋しちゃダメだってよく言われる」とフェルナンドは書いている。「私はマイクロソフト・アイデンティティという人々と文化に恋をした。だが、直属のチームの半分が去り、アイデンティティ部門全体もさらにその先へと移り、一つの時代が終わった。もう以前と同じには戻れないだろう」
The RegisterはMicrosoftに回答を求めており、回答があれば記事を更新する予定だ。また、Microsoftは以前に確認された人員削減の一環として、GitHub Indiaチームを解雇したとも聞いている。
- マイクロソフトは収益計算のため、パートナーエコシステムのセキュリティアップデートの延期を一時停止した。
- 攻撃者はマイクロソフトの「検証済み発行者」ステータスを悪用してデータを盗む
- マイクロソフト・エクスチェンジの略奪で医療データが盗まれた事件で弁護士が20万ドルを弁償
- マイクロソフトのAIの習慣がデータガバナンスツールPurviewに導入される
一方、レドモンドは、マルチクラウド戦略を採用する企業が増えるにつれ、それに伴う ID と権限の数の急増によって管理の複雑さが増し、サイバー セキュリティ リスクが増大しているというメッセージを推進しています。
レポートによると、企業は通常4万件以上の権限を管理しており、その半数以上が高リスクです。これらの権限に関連付けられるIDは、ますます人間ではなく、アプリケーション、仮想マシン、スクリプト、コンテナ、サービスへと変化しています。ワークロードIDの数は、人間のIDの数の10倍にも達すると報告されています。
それだけでなく、ワークロードIDの80%は通常非アクティブであり、これは2021年の2倍に相当します。また、付与された権限のうち、ワークロードIDによって使用されているのは5%未満です。さらに、スーパー管理者(広範囲にわたる権限を持つ人間またはワークロードID)の問題も加わると、問題はさらに深刻化するとMicrosoftは主張しています。
スーパー管理者は脅威である
完全な制御権限を持つ管理者は、すべてのリソースに簡単にアクセスでき、サービス構成設定を作成または変更したり、ID を追加または削除したり、データにアクセスしたり削除したりできます。
「当社の調査によると、スーパーIDに付与された権限のうち、実際に使用されているのは2%未満であり、スーパー管理者の40%はワークロードIDです」とサイモンズ氏は述べています。「監視が行われていない場合、これらのIDは侵害を受けた際に権限が不正使用される重大なリスクを伴います。」
マイクロソフトはコパイロットのコックピットをセキュリティまで拡張
続きを読む
報告書の中で、マイクロソフトの研究者は、付与された権限と現実世界で実際に使用される権限の差である「権限ギャップ」が拡大していると指摘した。
「権限のギャップは、偶発的および悪意のある内部脅威の増加の一因となっており、攻撃者が誤って設定された権限を持つIDを悪用し、重要なクラウドインフラにアクセスする可能性がある」と研究者らは書いている。
CIEMは重要なツールです
マイクロソフトは、企業がクラウドにおける非アクティブなワークロードや権限の問題に対処できるよう支援するための措置を講じてきたと考えています。今月初め、レドモンドはAzure Active DirectoryのApp Healthのプレビュー版をリリースしました。これは、非アクティブなアプリケーションや期限切れの資格情報を企業に警告するものです。
同社はまた、クラウド インフラストラクチャ エンタイトルメント管理(CIEM)ツールである Microsoft Entra Permissions Management も提供しています。このツールは、複数のクラウドにわたるすべての固有のユーザーとワークロード ID を継続的に検出、修復、監視します。CIEM サービスは機械学習と分析を活用し、企業が複数のクラウドにわたって取り組みを拡大できるよう支援します。
Microsoftの場合、CIEMツールはAzureだけでなく、AWSとGoogle Cloudにも単一のインターフェースを提供します。他のCIEMベンダーとしては、Zscaler、SailPoint、Sysdig Secure、CyberArkなどが挙げられます。
企業が取るべきステップ
組織にとって重要なのは、最小権限制御を実装するポリシーを採用することです。これは、ユーザー、アプリケーション、その他のワークロードには、業務を遂行するために必要な最小限のアクセスまたは権限のみを与えるという概念です。目標は、ネットワークにアクセスしようとする人やデバイスを暗黙的に信頼しないゼロトラストモデルを目指すことです。その代わりに、ネットワークを通過する各ステップで自動的に認証と検証が行われます。
「すべてのアイデンティティとすべてのクラウドにわたって最小権限の原則を適切に実装しないと、組織は重要なクラウドインフラストラクチャを権限の悪用や潜在的な侵害にさらしてしまうことになる」とレドモンドの研究者らは書いている。
これには、すべての ID に最小権限を実装し、オンデマンドで追加の権限を付与すること、マルチクラウド環境でサービスにアクセスしているユーザーを把握すること、アクセス アカウント キーとサービス アカウント キーを定期的にローテーションすること、すべての ID で使用される権限を追跡すること、非アクティブな ID を削除することが含まれます。
これらの対策は重要です。なぜなら、問題は今後も解消されないからです。組織は複数のクラウドインフラストラクチャを使い続けており、放置すればアイデンティティの問題は悪化する一方です。
Flexera社の「クラウドの現状 2023」レポートによると、調査対象となった企業の87%が現在、複数のクラウド環境を利用しています。約47%がAmazon Web Servicesで「相当数の」ワークロードを実行しており、41%がMicrosoft Azureでも同様のワークロードを実行しています。®
