Table of Contents

機械のアイデンティティ危機:
制御不能に陥った原因と対策

コンテナ、ベアメタル、仮想マシン内のワークロードからアプリケーションやデバイスに至るまで、マシンの急激な増加は、マシンを適切に保護するための総合的な取り組みを上回っています。クラウド コンピューティング、コードとしてのインフラストラクチャ (IaC)、モノのインターネット (IoT)、自動化、エッジ コンピューティングが急速に進歩するにつれ、機械が人間の 50 倍も多くなる世界が生まれました。

業界レポートによると、これらのマシンの 68% が機密データにアクセスしており、これらのマシンを保護する緊急性が強調されています。ただし、ほとんどの場合、マシン ID は「シークレット ゼロ」と呼ばれるマスター トークンまたはキーを使用した単一要素認証で検証されます。このマスター トークンまたはキーが公開されると、攻撃者は侵害されたワークロードになりすまして、関連するすべてのシークレットにアクセスできるようになります。しかし、GitHub などのコード リポジトリ内のソース コードや Dev Ops スクリプトで、マシンの秘密が不注意に公開されているという証拠が引き続き見られます。これは、マシン ID 管理の複雑さの中では危険ではあるものの、よく使われる近道です。

これらの要因により、マシンは攻撃者にとって魅力的な標的になります。現実世界の事例は数多くあるが、最も注目を集めたのは2022年のUberの侵害事件だ。侵入したハッカーは、会社の特権アクセス管理プラットフォームにログインするためのハードコードされた管理者資格情報を含むスクリプトを発見しました。これにより、OneLogin、Amazon Web Services、Duo、G Suite を含む Uber のすべての機密サービスへの完全な管理者アクセス権が付与されました。この事件は消費者の信頼を揺るがし、修正が必要な機械アイデンティティ管理の重大な弱点に注目を集めた。

この記事では、私たちがここに至った経緯、マシン ID 管理がなぜそれほど重要なのか、そしてそれを非常に困難にしている問題の驚くべき複雑さについて検証します。しかし、まずは基本について説明します。


なぜマシン ID が必要なのでしょうか?

Uber で見られたようなセキュリティ侵害やエスカレーションを防止するには、マシン ID が不可欠です。信頼を確立し、マシン間通信を保護し、アクセス制御を実施し、会社のネットワークまたはインフラストラクチャ内のワークロードとデータの整合性を保護するには、一意の ID が必要です。

デジタル ID は、資格情報のセットとして、またはより広義には、デジタル証明書、アクセス トークン、暗号化キーなどのマシン シークレットとして各ワークロードに割り当てられます。これらは、マシンの ID を認証し、リソースまたは他のマシンへのアクセスを許可するために使用されます。

なぜマシン ID 管理は制御不能になっているのでしょうか?

まず、マシン ID 管理はまだ初期段階にあり、ほとんどの企業は追いつこうと奮闘している状況です。ガートナーは、2020 年の市場レポートで初めてマシン ID 管理を紹介しました。当社の最高アイデンティティ責任者であり、元ガートナー社の副社長アナリストでもある David Mahdi 氏がこの論文の共著者です。デイビッド氏は次のように説明しています。「ガートナーは、ガートナー ハイプ サイクルにマシン ID 管理を導入することで市場を創出しました。その後、私たちはこのテーマにさらに多くの時間と研究を捧げ始めました。」

「3 年が経過し、マシン ID 管理が環境のセキュリティ保護に不可欠であることを認識する組織が増えています。これらの非人間的存在は、私たちのデジタル世界の真の主力です。「マシンにはセキュリティが必要であり、その基礎となる層はアイデンティティです」とデビッド氏は言います。「これは、現在、人間に重点を置いた 160 億ドル規模の市場である ID およびアクセス管理の新たなフロンティアです。マシンのセキュリティを確保するには、IAM を拡張する必要があります。今は危機的状況です。何百人もの CISO や IT リーダーと会話をしてきた結果、ほとんどの人がマシン ID 管理の複雑さに圧倒されていることがわかりました。」

機械の多様性が複雑さを増す

機械の数は爆発的に増加しただけでなく、多様化も進んでいます。クラウド コンピューティング、インフラストラクチャ アズ コード (IaC)、マイクロサービスの時代では、仮想マシンとコンテナーが多くのクラウドおよび IT インフラストラクチャのバックボーンを形成します。これらのマシンは、重要なアプリケーションとデータベース、つまりさらに多くのマシンとワークロードをホストします。ワークロードの寿命はかつてないほど短くなり、ライフサイクル全体が 数か月や数年ではなく、時には数秒や数分という凝縮された時間枠で展開されます。それは蝶を追跡し、それらの相互作用を制御しようとするようなものです。

また、ハイブリッド クラウドや複数のクラウドがあるため、マシンは 1 つの ID プロバイダーだけでなく、多数の ID プロバイダーにアクセスします。アプリケーションでは、あるタイプのサービスには AWS を使用し、別のタイプのサービスには Google Cloud Platform (GCP) を使用している可能性があります。これらのインスタンスの管理には、クラウドでの安全な操作を確保するためのプロビジョニング、構成、アクセス制御が含まれます。

同時に、スマート ビルディングや工場自動化からサプライ チェーン管理、自動運転車、物流、車両管理に至るまで、相互接続されたさまざまな IoT デバイスが存在します。組織は、複数のネットワーク エコシステムにわたるすべてのマシンとその通信を認証および承認できる必要があります。

重複したIDの管理は難しい

マシン ID が重複することもあるため、管理はさらに複雑になります。たとえば、自動スケーリングを使用すると、オンデマンドでマシンの数を動的に増減できます。トラフィックが変動すると、新しいマシンが自動的に起動または終了します。これらのインスタンスは、一貫した動作を保証し、構成管理を簡素化するために、同じ ID を共有する場合があります。同じ ID を持つマシンが 100 台ある可能性があります。セキュリティ侵害が発生した場合、どのマシンが侵害されたかをどのように確認しますか?

マシンID管理の簡素化

複雑さとリスクを最小限に抑えるには、組織にはマシン ID のライフサイクル全体を保護および管理できるマシン ID 管理ソリューションが必要です。マシン ID に関する次のブログ投稿では、ID ライフサイクル、各段階で対処する必要があるリスク、攻撃対象領域を最小限に抑えるために何ができるかについて説明します。


大まかに言えば、組織がマシン ID を手動で管理することはできないことは明らかです。機械のスピードで前進する唯一の方法は、アイデンティティライフサイクル全体のプロセスを自動化する統合ソリューションを使用することです。同時に、セキュリティ チームと開発者は、環境内のすべてのマシン ID を完全に可視化する必要があります。

マシンとマシンの秘密の数が増えるほど、攻撃対象領域は大きくなります。そして、生成型 AI の時代においては、機械の数は増加する一方です。そこで疑問になるのは、あらゆる方法でリスクをいかに減らすかということです。次の 2 つのブログでは、マシン ID ライフサイクルの各段階におけるリスクと、マシン ID ライフサイクル全体でリスクを軽減するための推奨事項を使用してこれらの脆弱性を防ぐ方法について説明します。

Authors

  • Shmulik Regev, CTO
  • Brooks Flanders, Marketing Content Manager

    米国が全国的なサイバーアラートシステムを立ち上げた2004年、世界最大級のサイバーセキュリティ企業で執筆活動を開始。当時は、企業におけるセキュリティや、通常の防御を迂回することを意図した非常に巧妙な脅威について論じていました。それから16年が経ちますが、複雑なセキュリティ問題の解決に取り組む企業を支援することへの熱意は、一向に衰えを見せません。

    View all posts