Skip to main content
Industry Perspectives

大規模な退職と貧弱なライフサイクル管理の増大する危険

  • by SecurID Blog

Blocks stacked in a pyramid with a magnifying lens

優れたライフサイクル管理により、アイデンティティ管理とアクセスの効率化、コンプライアンス・プロセスの合理化、従業員が必要なリソースに確実にアクセスできるようになり、組織のゼロ・トラストへの移行を支援できます。

優れたライフサイクル管理のメリットは重要ですが、ライフサイクル管理が不適切なことによるリスクはさらに大きくなります。適切なライフサイクル管理プラクティスを確立できない組織は、証明書ベースの攻撃への門戸を開き、壊滅的な結果を招く可能性があります。

これまで以上に多くの従業員が職務を離れ、新人研修や組織でのポジションを変更しているため、大規模な退職はこれらの結果を悪化させる可能性が高く、ライフサイクル管理の緊急の必要性を強調しています。ここでは組織が注意すべき危険性と、ガバナンスとライフサイクルのリスクを最小限にするためにできることを説明します。

ユーザーは自分の役割を放棄してリスクを残す。

ライフサイクル管理が適切でないと、管理されていないアカウント (サービス・アカウント、使用頻度の低いアカウント、持ち主不在のアカウント、過剰な権限を付与されたアカウントを含む) が作られる可能性があります。このようなアカウントは、セキュリティ・チームによって監視されておらず、認識されない場合もあります。このようなアカウントの可視性の欠如は、脅威のアクターが利用できる攻撃対象を拡大によりリスクが上がります。

ライフサイクル管理を向上させることで、ユーザーが誰か、何にアクセスできるのか、そのアクセス権を使って何を行っているか、なぜそのアクセス権が必要なのか、アクセスが終了または変更されたとき (おそらく最も重要) を常に把握できるため、リスクが減ります。セキュリティチームは、何を保護すべきか、正当なベースライン・アクティビティはどのようなものか、正当なユーザーは誰か (またはそうではないか)、アカウントがアクティブに使われなくなったためにアカウントをいつ削除すべきかを確認できるのです。

非アクティブなアカウントがあれば、ハッカーがオペレーションに簡単に侵入できてしまうのです。

アクティブに使われていないアカウントを誰も監視していなければ、潜在的な侵入者はそのようなアカウントを探し、ハッキング方法を見つけるために無限に時間を費やすことができます。このような事態が発生した場合、発生する可能性のある損害に限界はありません。ハッカーが検知されずに作業できる時間と、侵害されたアカウントが提供するアクセスの程度に左右されるのみです。

多くの場合、このような侵害はサイバー犯罪者に十分な時間と機会を与えます。IBMによると、認証情報の盗難が原因で発生したセキュリティ侵害は、平均して1年のほとんどを費やして封じ込められていたということです。また、脅威のアクターがその時点で実行できる最悪の事例を予期するなら、使われておらず、多要素認証がかかっていないVPNアカウントからハッカーが企業のネットワークに侵入したときに、コロニアル・パイプラインのランサムウェアが開始されたことを思い出してください。

非アクティブなアカウントに対して脅威を与えるのは、部外者だけではありません。たとえば人間関係の問題で組織を退職した人は、自分の資格情報で機密情報やリソースに無期限に (少なくともセキュリティチームが問題に気付くまで) アクセスし続けることで、大混乱に陥る可能性があります。また、アカウントが定期的に監視されていない、あるいは管理されていない場合、それが長期間に渡る可能性があります。

アカウントを忘れてしまう危険性と、ライフサイクル管理の価値。

規則的で統制のとれたライフサイクル管理の導入は、これまで以上に難しくなっています。人々はかつてないほど多くの資源にアクセスできるようになり、そのアクセスは絶えず変化しているからです。さらに、数年前に突然100%リモートになった従業員のアクセス管理という新たな課題のように、より広範な移行が必要となる以前の話もあります。このような大規模な流出は、かつて見たことのないものです。このような状況では、誰かが退職した、またはロールが変わったときに、アクセス権限の確認、権限の割り当てと管理、アクセス・アクティビティの追跡、アクセス終了にタイムリーに対応することは困難です。

今日のアクセスの変化に対応するためには、ライフサイクル管理を導入するだけでなく、アクセス・レビューやその他のライフサイクル管理アクティビティに関するプロセスを自動化するソリューションを探すことも重要です。自動化されたライフサイクル管理アクティビティが、セキュリティに対するゼロ・トラストアプローチの一部であり、ユーザーのアイデンティティとアクセス権限に対する信頼が決して前提とされない場合は、さらに優れたものになります。優れたライフサイクル管理が提供するアクセスの可視性は、組織をゼロ・トラストに向けて移行する上で不可欠です。

ライフサイクル管理の不備は悲惨な結果を招く可能性がありますが、効果的なライフサイクル管理は、組織が最悪の結果を回避し、新しいメリットを実現するのに役立ちます。

ソリューションで何を期待するべきか、またSecurIDガバナンスとライフサイクルがどのように役立つかを学びましょう。