bok

IDPro Body of Knowledgeの日本語訳を載せていきます

View on GitHub

概要

あなたが誰で、何をすることを許されているか。情報システムでは、この問題は「アイデンティティとアクセス管理 (IAM)」の領域となる。アクセス管理システムは、その人が誰であるかを特定し、何にアクセスすべきかを判断し、実行するための仕組みを提供する。導入部パート2では、アクセス管理とは何なのかを歴史的観点から探ってみる。あなたは私たちがアクセス管理を使用して何をしているのか、そしてなぜ私たちの存在が重要なのかについて、ちょっとしたアドバイス、多くのコンテキスト、そして経験から得られた全体感を知ることが期待できる。

キーワード:アクセス管理、SSO、LDAP、フェデレーション、WAM、MFA

引用方法:

Dingle P., (2020) 「IDの概要-第2回:アクセス管理」、 IDPro Body of Knowledge 1 (2) 。

発行日

2020年6月18日

査読済み

ライセンス

CREATIVE COMMONS ATTRIBUTION-NONCOMMERCIAL-NODERIVS 4.0

IDの概要-第2回:アクセス管理

Pamela Dingle著

© 2020 IDPro, Pamela Dingle氏

用語

はじめに

アクセス管理とはどのようなものですか。また、なぜこれほど魅力的なのでしょうか。決断が下され、門が開かれ、貴重な資源が見知らぬ人の手に渡る瞬間には、何かスリルと切迫したものがある。適切な人材を生産的にしたのか、それともリスクのあるミスをしたのか。適切なアクセス管理は、適切なIDデータに依存する;また、企業の規則を表すポリシー、現在の環境および状況要因の正確な理解、定義されたリスク許容度に従って実施できるツールも必要です。多くの準備と考慮が、毎日行われ、インフラストラクチャ、ミドルウェア、アプリケーション層であらゆる種類の粒度で動作するランタイム決定に注がれます。

あなたが経験豊富なアイデンティティの専門家であれば、私たちのツールが進化するのを見てきたことでしょう。ここでは、ここまでの経緯と、後の章で説明する概念が現在のアクセス管理の世界にどのように発展してきたかについて、1つの見方を示します。

最初に、アクセス管理の世界で留意すべき重要な現実をいくつか紹介します。

リソースには安定性が必要

企業秘密、金融取引、個人的なコミュニケーションなどは、個人情報の専門家が守るべき貴重なリソースのほんの一例にすぎません。リソースは、アプリケーションプログラミングインタフェース (API) 、Webインタフェース、またはネイティブのモバイルアプリケーションを通じて公開されます。外部化されたアクセス管理機能を1つのリソースに追加するのは比較的簡単ですが、数百または数千に追加するのは大変です。これらのアプリケーションの所有者は、頻繁に変更を加えることを望まない。アイデンティティ・プロフェッショナルとして、100種類のアプリケーションの変更管理ウィンドウ内でアプリケーション・アクセス管理の更新をスケジュールしようとすると、同じことが起こります。

リソースはローカルID管理を実行しない

配備するすべてのリソースが独自のログイン機能を実行する場合、NIST 800-63 Bなどで詳細に説明されているようなベストプラクティスに従っているか、統一された企業ポリシーに従っているかを確認することはほぼ不可能です。認証情報を保存し、ログインページを保護し、アカウント回復プロセスを保護するために、それぞれが別々に試みている数百のアプリケーションは、莫大な攻撃表面を提示し、ユーザーがアプリケーション間でパスワードを再利用する可能性があります。このパターンは、あるアプリケーションのパスワードを推測する攻撃者が、他のアプリケーションにアクセスするために再生できるクレデンシャルを持っており、どのアプリケーションが危険にさらされているかを知る方法がないことを意味します。

人間には挑戦が必要だが、障害は必要ない

資源には安定性と一貫性が必要だが、人間には共感が必要だ。ユーザーは、自分が権利を有すると主張するデジタルアカウントの適切な運営者であることを示すために、コンピュータシステムと対話する必要がある;このプロセスは良いユーザーにとっては簡単で、詐欺師にとっては難しいはずです。ベスト・プラクティスは、 「セレモニー」 を作成することです。セレモニーとは、ユーザーが頻繁には見られない場所でナビゲートできる、予測可能な対話のことです。認証は最もよく知られたセレモニーですが、セルフサービスの登録やアカウントの回復、通知、トランザクションの承認など、人間が対話する方法は他にもたくさんあります。不正行為が発生していることを警告する可能性があるため、通常とは異なるセレモニーが行われていることをユーザーに通知します。新しい攻撃によって、管理者はユーザーエクスペリエンス (UX) 、認証要素、およびリスク検出の変更を含む追加の技術を試さざるを得なくなるため、セレモニーは変更されることが保証されます。攻撃者を締め出すことは重要だが、優秀なユーザーの体験はきわめて重要だ。困難な問題に直面したとき、人間はしばしば予測可能に行動し、予測可能性はそれ自体が攻撃ベクトルである。管理者がユーザーの生活を厳しくしすぎると、問題が発生します。ユーザーは、ユーザーを保護するためにユーザーが設定したコントロールを回避することになります。

ガベージイン、ガベージアウト

アクセス管理の最も目に見える部分は、その瞬間になされる決定であるが、それらの決定は真空の中には存在しない。アクセス管理の決定を行う前に、組織のビジネス目標(IAMプロジェクトの管理の詳細については、「IAMプロジェクトのプロジェクト管理の概要」を参照してください。)に非常に近いデジタル規則とポリシーを設定する必要があります。6ユーザ、グループ、およびロールコンテキストが存在し、デバイス、ネットワーク、およびリスクコンテキストの組み合わせも存在する必要があります。ユーザーが特定のリソースにアクセスしようとするまでに、アクセスの選択肢に入る可能性のあるすべてのデータが使用可能になっている必要があります。忘れてはならないのは、不適切な入力に基づいて意思決定を行う場合、アクセス管理インフラストラクチャがどれだけ優れているかは問題ではないということです。

では、楽しいパートに移りましょう。

アイデンティティの専門家は、長年の問題の最前線にいることになる。保護すべきリソース、アクセスを必要とするユーザー、アクセスを必要とし、ユーザーとの区別が非常に難しい攻撃者が存在します。正確なシステムが必要ですが、100%正確なシステムはありません。ですから、システムは0 trustの原則、最小権限から始めなければなりません。私たちは利用者を強力に認証し、詐欺を発見するために環境的文脈を活用しなければならない。1つの一貫したポリシー・ビューを、異なるリソースのランドスケープ全体に適用する必要があります。私たちは常にシステムが私たちが考えているように動いていることを確認しなければなりません。

進化したアクセス管理

この一連の知識によって、アクセス管理レジームにデプロイされている基本概念に関するあらゆる種類のデータが得られますが、なぜこれらのメカニズムが存在するのでしょうか。これらは、ビジネス要件とセキュリティの脅威の両方に対応して進化しました。管理者は、管理が不十分であることに気付き、大規模な管理を容易にし、大規模な攻撃を困難にするベスト・プラクティスを作成しました。

パスワードの拡散によってディレクトリが作成される

企業が最初に自社のプライベートネットワーク内にビジネスプログラムを蓄積し始めたとき、すべての新しいプログラムでユーザーアカウントを作成および削除する必要がありました。すべてのプログラムは、各ユーザーにパスワードの設定を求めました。企業が数百から数千のプログラムを持つようになるにつれて、ユーザーは覚えられるユーザー名とパスワードの数の限界に達していました。一部のプログラムでは、ユーザーが独自のユーザー名を選択できるようになっているため、ユーザー名はプログラム間で大きく異なります。多くのプログラムでは、パスワードポリシーが大きく異なっていました。それは野生の西であり、その野生の西から 「ディレクトリ」 の概念が来ました。アプリケーションは、ユーザ名とパスワードを別々に格納する百ものプログラムの代わりに、ユーザの外部ディレクトリを呼び出すようになりました。多くの場合、LDAPを使用します(Lightweight Directory Access Protocol (Lightweight Directoryアクセスプロトコル))。7、8突然、ユーザーは1つのパスワードをどこでも使用できるようになり、管理者は数千のアプリケーションを個別に管理する必要がなくなりました。すべて順調…しばらくの間。

パスワード疲労によるWebアクセス管理

ユーザー・ディレクトリとLDAPの利点は、ユーザーが1つのパスワードしか覚えていないことです。欠点は、その時点ですべてのアプリケーションが同じネットワーク境界内にあり、すべてLDAP統合されていたとしても、ユーザーが新しいアプリケーションを使用するたびにパスワードの入力を求められることです。これは、1日のうちに大量の入力が必要になります。その結果生まれた革新的な技術が、「Webアクセス管理」 (WAM) と呼ばれる新しいアクセス管理技術です。9 Webアクセス管理では、ユーザーはパスワードを使用して一度認証を受けると、複数のアプリケーションで読み取ることができる(通常は暗号化される)ドメイン全体のセッションCookieが生成されます。LDAPの 「バインド」 を実行する代わりに、アプリケーションはユーザーが有効なcookieを持っているかどうかをチェックできます。ほぼ同時期に、パスワードの疲労に対処するために、Kerberosを含む他の技術が開発されました。10これらの技術は最終的にユーザーを安心させる;ユーザーは一度にログインして複数のアプリケーションにアクセスできます。一度だけログインして複数のアプリにアクセスすることを 「シングルサインオン」 (SSO) と呼ぶようになった。

範囲の制限によりフェデレーションが提供される

企業がネットワーク境界内で業務を行っている限り、KerberosやWAMなどのアクセス管理機能は利便性とセキュリティの両方を提供します。しかし、インターネットは開放されつつあり、多くの企業は、従業員だけでなくパートナーや顧客にもリソースへのアクセスを許可したいと考えていました。企業は、他の企業との信頼関係を構築し、ユーザーが互いのアプリケーションにアクセスできるようにしたいと考えていました。この要求は、SAML (セキュリティアサーションマークアップ言語)と呼ばれる標準によって満たされました。11二つのドメイン間に信頼の 「連合」 を事前に確立し、ユーザーがリソースにアクセスしようとするたびにセキュアな紹介を要求する。SAMLとその他の連合ID仕様を使用すると、企業は自分のドメイン内とドメイン間の両方で、自分のユーザーのアクティビティーを制御できます。フェデレーションIDは引き続きアクセス管理のバックボーンであり、SAMLは依然としてクロスドメインアクセス管理のゴールドスタンダードです。

モバイルとAPIの革新がOAuthと委任承認フレームワークをもたらした

フェデレーションとSSOは、業界で 「ユーザーが存在する」 シナリオと呼ばれています。アクティビティがブラウザを使用して発生し、ブラウザには頭脳がないため、ユーザがフェデレーション要求に存在することがわかります。ブラウザは 「パッシブ」 クライアントであり、ボタンを押してリンクをクリックするには、誰かがそこにいなければなりません。2007年頃、ほとんどのビジネスアプリケーションの配信はブラウザに集中していたが、最初の 「スマートフォン」 のリリースは状況を変えた。モバイルアプリケーションはアプリストアからダウンロードでき、クラウドプラットフォームが一般的になってきたのと同じように、クラウドAPIからアクセスできるようになった。突然、 「アクティブな」 ソフトウェア・クライアントがユーザーと対話するための望ましい方法になりました。

ユーザーがモバイルアプリケーションのパワーに興奮している時でさえ、ID専門家は問題に突き当たりました。ユーザーがいない時にアプリケーションがAPIを呼び出していたのです。さらに悪いことに、多くのモバイルアプリケーションが、自分が所属していないクラウドプラットフォームのデータを消費して表示しようとしていました。モバイルアプリが提携していないクラウドプラットフォームにアクセスしたい場合、唯一の答えは、ユーザーにパスワードを尋ね、APIが取得するたびにパスワードを再生することだった。その結果、パスワードのアンチパターンと呼ばれるものが生まれた。ユーザは、要求したクライアントにクラウドプラットフォームのパスワードを渡すことに慣れ、そのクライアントはユーザの不在時にAPIコールを実行できるように、ユーザのクレデンシャルをモバイルデバイスにキャッシュする必要があった。

SAMLはモバイル環境に完全に適合するものではありませんでした。XMLパーサーはモバイル・プラットフォームに組み込まれておらず、暗号化の要件は厳しいものでした。その結果得られたアクセス管理パラダイムは、連合プロトコルとの階層化が可能な「委任許可フレームワーク」であるOAuth 1.0でした。OAuthは、「アクセストークン」のシナリオに対応しています。アプリケーションは、ユーザを紹介しないを要求し、受け取ります。代わりに、アクセストークンは、ユーザーに代わって厳密にスコープされたセットデータとサービスにアクセスする機能を表します。

アクセストークンは大したことではないように思われるかもしれないが、アクセストークンを一次クレデンシャルではなくAPIに渡すことを考えると、結果は重要だ。APIエンドポイントがプライマリユーザクレデンシャルを収集または検証しないようにすることで、データ漏洩、man-in-the-middle攻撃、および不正な管理者がクレデンシャルを収集することを防ぐことができます。APIを認可するメカニズムはユーザーを認証するメカニズムとは分離されているため、ユーザーがアプリケーションの作業を行わずにパスワード以外の要素で認証できる世界への扉が開かれます。アクセス・トークンは安定した通貨として機能し、一元的に構築して拡張可能に導入できます。

多要素認証 (MFA) の現状と今後

上記のようなふざけた行動や悪意のある行動によって、パスワード攻撃はアイデンティティ管理者を悩ませました。攻撃者が所有していないアカウントから攻撃者を排除するために、あらゆる種類の規則が発展しました。より長く複雑なパスワードを設定させました;LDAPディレクトリーとログイン・フォームは、誤った試行が多すぎると応答しなくなるように設計されています。このようにリスクを軽減しようとしているにもかかわらず、人間が助けを借りずに設定して記憶できるパスワードのほとんどは、取るに足らない攻撃が可能だ。この記述に疑問がある場合は、Alex Weinert (@alex_t_weinert) の 「Your Pa$$word doesn’t matter」 をお読みください。12泣く覚悟をしなさい。

パスワードに根本的な欠陥があることが明らかになったのは新しいことではない。少なくとも70年代にさかのぼると、認証プロセスにおける人間の脳の必要性を回避する方法についての研究が行われている。13, 14我々は、パスワードは「あなたが知っていること」というシンプルなアイデアを開発したが、デジタルアカウントの人間の所有権を検証するための他のオプションとして、「持っているもの」や「あなたのような人」を含めることもできると説明した。このアイデアは、所有しているものを検証することで、所有しているものを置き換えることができるというものではなく、所有しているもの、所有しているもの、および知っているものの組み合わせによって、攻撃者がデジタル情報と物理情報の両方を侵害する必要があるというものです。今日、多要素認証の技術水準は非常に洗練されています。バイオメトリクスを使って携帯電話を保護したり、SMSメッセージをナビゲートして取引を確認したり、OTP (ワンタイムパスワード)を使って基本原理を理解することなくセキュリティーを向上させたりするユーザーが増えています。

私たちは皆、MFAがユビキタスになるためには使いやすさを改善し続けなければならないことを知っています。FIDO 2のような仕様は、アクセス管理のために業界を変えるものであり、問題が解決されたからではなく、問題が分離されたからである。FIDO 2 (W 3 C WebAuthnおよびFIDO CTAP 2)は、暗号鍵を交渉する問題と、ユーザーのジェスチャーを要求する問題を分離した。15暗号鍵交換の信頼性を維持できるようになった一方で、ユーザーとの対話における技術革新 (場合によっては革命) にも注目しています。

最高のセキュリティは目に見えないセキュリティ

私たちが資源へのアクセスを試みる人々の前で行う目に見える儀式に加えて、多くのことが水面下で起こっている。特定のトランザクションのリスクを計算する際に、アクティブなユーザーの課題を補足するためにコンテキストに依存することが増えています。ID詐欺を防止するための取り組みにおいて、IDに隣接する分野が今や重要な利害関係者となっています。具体的には、Cloud Access Security Brokers (CASB) 、16 Unified Endpoint Management (たとえば、Mobile Device Management (MDM;モバイルデバイス管理))、17、およびEUBA (エンティティおよびユーザー動作分析) 18などが、IDのアクセス管理体制を強化しています。攻撃者は静的なアクセス管理プロセスを破ることを学んできたので、我々はパスワードの複雑さを超えて、我々の防御を進化させてきました:新しく破られることがわかったパスワードのリストを含む禁止された文字列の急速に更新されたセットに対してパスワードをチェックしていない場合は、リアルタイムの脅威インテリジェンスでこれを補強して、あなたは深刻な問題に直面しています。

この物語の教訓は…

それは、今に私たちをもたらします。現在のアイデンティティプロフェッショナルは、ここに挙げた事例的な問題すべてに未だに苦しんでいますが、私たちは自由に使えるツールと、それらを最適にデプロイする方法についての慣習を持っています。詐欺行為を排除し、悪用を発見し、ユーザーを成功に導くために一緒に働くことができれば、誰もが幸せになれる。あなた以前の誰もが、一歩前進するために、彼らの同時代人の仕事を活用しました。これで、次のステップに進むことができます。

アクセス管理は将来どのようになるのか?

今日のアクセス管理の世界を振り返ったとき、私たちの貢献はどのようなものになるでしょうか。ユーザーが複数の要素を採用するのを支援することで、私たちの成功が評価されるでしょう-私たちは成功しましたか?チャンスを逃したのか?私たちが臆病である限り、私たちの当面の未来の大部分は、すでにほとんど予防可能であることがわかっている攻撃を緩和するために費やされるでしょう。今日、アクセス管理のプロフェッショナルとしてMFAに注目することは、レポートの提出期限が(それ自身の名前を持つのに十分に一般的な行動:アカシア) 19であることを知っているときに、ソーシャルメディアに追いつくようなものです。その後、なぜ自分たちのやり方でやってしまったのか自問してみますが、良い答えはないでしょう。

ある時点で、十分な数の管理者がMFAを採用し、単一要素のパスワードである簡単なジャックポットを排除すれば、この業界は次のような驚くべき賞を獲得するでしょう。

まったく新しい独創的な攻撃の波!

大したことないように聞こえるかもしれませんが、本当です。今日では、攻撃者はほとんどお金も時間もかけずに、インターネットから無料のフィッシングスクリプトを実行することで生計を立てています。厳格に認証された世界がジャックポットを排除するわけではありませんが、それは犯罪者のプールをはるかに優れたグループに賞を獲得することができます。攻撃者は、トークンの盗難や同意の乱用など、認証後の攻撃に移行します。そして、その間ずっと、アイデンティティの専門家やその他の人々が新しいものを作っているのです!より良い方法を発明する!企業が必要とするリソースとコンテンツをご紹介します。私たちはウェアラブルをセキュリティデバイスとして採用し、悪意のある場所でも安全な取引を行い、最小特権の測定をさらに厳しくします。私たちは、製品が私たちにもたらす約束をよりよく追跡し、私たちのデータを台無しにした人々をより厳しく罰することができるようになるでしょう。私たちは個人的なことを共有する方法を見つけ、そのような個人的なことは決して公にならないという本当の自信を持つだろう。私たちは、量子メルトダウンと新しいソーシャルネットワークを乗り越え、それはすべて戦う価値のある戦いになるだろう。

ここまで読んできたアイデンティティ管理の専門家は、明らかに献身的であり、それは素晴らしいことです。私たちは次世代の専門家を必要としていますすべての前提に疑問を投げかけリスクが低く生産性が高く新しい課題が私たちの生活を面白くしてくれる未来へと私たちを駆り立てるのです。

著者Bio

Pamela Dingle氏は、アイデンティティ管理業界の長年のメンバーであり、Microsoftでアイデンティティ標準チームを運営するDirectorです。アイデンティティ標準チームは、W 3 C、IETF、OpenID Foundationなどの標準化団体と協力して、OAuth 2.0、FIDO、SCIM、OpenID Connectなどの仕様を策定しています。Pamelaは、顧客、製品グループ、業界のすべてが、標準やその他のアイデンティティに関するベスト・プラクティス・パターンの価値を理解していることを確認するために活動しています。Pamela氏は、アイデンティティアーキテクトとして8年間、Ping IdentityのCTOとして8年間勤務し、Women in Identityの創設者である。

  1. Raible, Matt, “What the Heck is OAuth?” DZone Security Zone,、2018年4月28日、https://dzone.com/articles/what-the-heck-is-oauth。↩

  2. Wikipediaコントリビュータ、「統合されたアイデンティティ」 Wikipedia、The Free Encyclopedia、https://en.wikipedia.org/w/index.php?title=Federated_identity&oldid=949399706 (2020年6月6日にアクセス)。↩

  3. Wikipediaコントリビュータ、「最小特権の原則」 Wikipedia、The Free Encyclopedia、https://en.wikipedia.org/w/index.php?title=Principle_of_least_privilege&oldid=950981064 (2020年6月6日にアクセス)。↩

  4. Rose, Scott, and Oliver Borchert, Stu Mitchell, Sean Connelly, 「0 Trust Architecture (2番目のドラフト)、」 SP 800-207 (ドラフト)、 National Institute of Standards and Technology, 2020年二月、 https://csrc.nist.gov/publications/detail/sp/800-207/draft。↩

  5. Paul A.Grassi、James L.Fenton、Elaine M.Newton、Ray A.Perlner、Andrew R.Regenscheid、William E.Burr、Justin P.Richer。2017.デジタルIDのガイドライン-認証とライフサイクル管理。技術報告書。NIST特別公開800-63 B, ↩

  6. グレアム・ウィリアムソンとコーリー・ショールフィールド。IAMプロジェクトのIAMプロジェクト管理の概要。IDPro Body of Knowledge、第1巻、第1号、2020年3月31日。https://bok.idpro.org/article/id/25/です。↩

  7. Wikipediaコントリビュータ、「Lightweight Directory Access Protocol、」 Wikipedia、The Free Encyclopedia、https://en.wikipedia.org/w/index.php?title=Lightweight_Directory_Access_Protocol&oldid=960496535 (2020年6月6日にアクセス)。

  8. 「これまでにないディレクトリサービスの完全な歴史」ブログ、Easy Identity、2020年4月13日、https://idmdude.com/2012/04/13/the-most-complete-history-of-directory-services-you-will-ever-find/ (2020年6月12日にアクセス)。

  9. Wikipediaコントリビュータ、「Webアクセス管理」 Wikipedia、The Free Encyclopedia、https://en.wikipedia.org/w/index.php?title=Web_access_management&oldid=959341667 (2020年6月6日にアクセス)。

  10. Wikipediaコントリビュータ、「Kerberos (プロトコル)」 Wikipedia、The Free Encyclopedia、https://en.wikipedia.org/w/index.php?title=Kerberos_(protocol)&oldid=960957884 (2020年6月6日にアクセス)。↩

  11. Wikipediaコントリビュータ、「セキュリティアサーションマークアップ言語」 Wikipedia、The Free Encyclopedia、https://en.wikipedia.org/w/index.php?title=Security_Assertion_Markup_Language&oldid=956779073 (2020年6月6日にアクセス)。

  12. Weinert, Alex, 「Pa$$という単語は関係ありません。」 Azure Active Directory Identity Blog, Microsoft Corporation, 2019年7月9日、 https://techcommunity.microsoft.com/t5/azure-active-directory-identity/your-pa-word-doesn-t-matter/ba-p/731984。

  13. モリスロバートケントンプソン。「パスワードセキュリティ:ケース履歴」ACM 22.11 (1979) の通信:594-597。

  14. Feldmeier D.C., Karn P.R. (1990) UNIX Password Security -10年後。In:Brassard G. (編) Advances in Cryptology:CRYPTO’89 Proceedings。暗号1989。コンピュータサイエンスの講義ノート、 vol 435。スプリンガー、ニューヨーク、ニューヨーク

  15. 「FIDO 2:WebAuthnとCTAP」 FIDO Alliance、https://fidoalliance.org/fido2/。

  16. Wikipediaコントリビュータ、「クラウドアクセスセキュリティブローカ」 Wikipedia、The Free Encyclopedia、https://en.wikipedia.org/w/index.php?title=Cloud_access_security_broker&oldid=949494699 (2020年6月6日にアクセス)。

  17. Raam、Giridhara、「Unified Endpoint Managementの概要、理由、および方法」 Integration Zone、DZone、2019年7月8日、https://dzone.com/articles/the-what-why-and-how-of-unified-endpoint-managemen。

  18. ペッターズ、ジェフ、 「UEBAとは何ですか?『Complete Guide to User and Entity Behavior Analytics』、Inside Out Security Blog、Varonis、2020年3月29日。https://www.varonis.com/blog/user-entity-behavior-analytics-ueba/

  19. Clear, James, 「アクラシア効果:私たちがやろうとしていることと、それについて何をすべきかをフォローしない理由」 Atomic Habits, https://jamesclear.com/akrasia (2020年6月6日にアクセス)からの抜粋。