GitHubは、同社のリポジトリに不正アクセスがあったことを公表した。この問題から浮かび上がるのが、「マシンID管理」の重要性だ。なぜ重要なのかを、専門家の見解に沿って解説する。
ソースコード共有サービス「GitHub」を運営するGitHub社は2023年1月30日(現地時間)、同社のリポジトリ(保管場所)が漏えいした可能性があるとして緊急の警告を発した。
「今回の漏えいはマシンID(コンピュータを特定する識別子)管理の重要性を示すものだ」。マシンID管理ベンダーVenafiでセキュリティ戦略および脅威インテリジェンス担当バイスプレジデントを務めるケビン・ボセック氏は、そう強調する。これはGitHubの利用に限った話ではない。
漏えいしたのは、デジタル証明書の認証局を運営するDigiCertが発行する「コードサイニング証明書」2点と、Appleの「Developer ID証明書」1点だ。コードサイニング証明書は、ソースコードに付随する署名が信頼できることを証明し、Developer ID証明書は、ベンダーがAppleからアプリケーションを公認してもらうために用いる。
攻撃者はデジタル証明書を悪用し、悪意のあるコンテンツにGitHubの公式との認証情報を署名し、配布できる。「デジタル証明書は、他のソフトウェア開発者に対するサプライチェーン攻撃や、その他の未知の攻撃を可能にする強力な武器となる」とボセック氏は警告する。
ボセック氏は、マシンID管理の重要性を訴える。「コードサイニング証明書にひも付いたマシンIDを常に監視し、制御可能な状態に保つことは難しい」と同氏は言い、漏えいしたマシンIDを迅速に見つけて再発行することは「手動ではほぼ不可能だ」と続ける。
セキュリティチームは、今回のような攻撃からマシンIDを保護するために、マシンID管理を自動化するコントロールプレーン(制御機能)を導入する必要がある。
自動管理ツールを活用することで、セキュリティチームはマシンIDを攻撃から保護し、マシンIDの定期的な変更や失効を手動で実施せずに済む。これにより、開発チームの生産性低下や攻撃者による侵害を防ぐことが可能だ。
証明書管理ベンダーSectigoのシニアバイスプレジデントを務めるジェイソン・ソロコ氏は、「失効したものを含め、デジタル証明書のライフサイクル管理(CLM)を自動化することが重要だ」と話す。企業の経営陣には、「デジタル証明書を適切に管理する」という視点がしばしば欠けている。デジタル証明書を手動で管理、設定している場合、ヒューマンエラーにより、ビジネスの停止やサイバー攻撃に対する脆弱(ぜいじゃく)性の露呈を招いてしまう可能性がある。
「CLM管理システムは、デジタル証明書を更新もしくは無効化して、自社の収益を確保し、評判を守る助けになる」(ソロコ氏)
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。