多要素認証できない「非人間アイデンティティ」がサイバー攻撃の弱点に

画像提供：マイナビニュース

サイバーセキュリティ企業のSilverfortはこのほど、「Shining the Spotlight on the Rising Security Risks of Non-Human Identities」において、Active Directoryサービスにおける非人間アイデンティティ(NHI: Non-Human Identity)の調査結果を伝えた。Active Directoryが非人間アイデンティティの侵害を受けているとして、調査を実施したという。

○非人間アイデンティティのリスクとは

非人間アイデンティティとは、人間以外のサービスなどに与えられる認証情報のこと。APIキー、サービスアカウント、システムアカウント、OAuthトークンなどがこれにあたる。これら認証情報は多要素認証(MFA: Multi-Factor Authentication)などで保護できないため、サイバー犯罪者に狙われやすいとされる。

また、非人間アイデンティティを必要とするサービスは、広範囲のユーザー情報やデータを扱うことが多く、特権レベルで動作するため、侵害時の影響は深刻とされる。Silverfortは、非人間アイデンティティは人間に与えられるアカウントよりも潜在的なリスクは大きいと指摘している。
○調査結果の概要

Silverfortによる非人間アイデンティティの調査結果の概要は次のとおり。
○膨大な非人間アイデンティティ

大企業ではActive Directory内のアカウントの約23%を非人間アイデンティティが占める。企業規模が小さくなるにつれ比率は上昇する傾向にあり、小規模組織の場合は約48%に上昇する。

○非推奨の認証プロトコル

Windowsでは脆弱な認証プロトコルのNTLMがいまだに使用されている。非人間アイデンティティの約46%は脆弱なNTLMを使用している。

○その他の概要

非人間アイデンティティの可視化を実現している組織はわずか5.7%とされる。62%は部分的な可視化しか実現できていない。また、非人間アイデンティティをサイバー攻撃から保護できると確信している組織は20%程度。8割の組織が保護できないと認識している。
○非人間アイデンティティの保護

Silverfortは調査結果を基に、非人間アイデンティティの保護方法を提案している。その概要は次のとおり。

最小権限の原則を追求する。非人間アイデンティティに対しても、ソース、宛先、プロトコル、時間、その他の要因に基づいた最小権限を設定する
非人間アイデンティティに与えられる「正常な動作」を定義する
「正常な動作」に違反する異常な活動を検出し、警告する
異常な活動を検出した際には、自動で活動をブロックする
多要素認証と同様に、非人間アイデンティティに2重の保護を導入する