「MFA」が鍵なら「UEBA」は何か IAMの今どきの常識：クラウド時代にIDを守るには【前編】

クラウドサービスへの不正アクセス対策は全ての組織にとって欠かせない。どのような手法を使うべきなのかを含めて、IAMを強化するためのポイントまとめた。

[Vladimir Jirasek，TechTarget]

　クラウドサービスの利用拡大やテレワークの普及によって、社内と社外という従来の分かりやすいセキュリティ境界が消えた。そうした中、以前にも増して重要になっているのが「IAM」（IDおよびアクセス管理）だ。

　IAMのセキュリティが甘ければ、ランサムウェア（身代金要求型マルウェア）をはじめとした攻撃を受けることにつながりかねない。MFA（多要素認証）をはじめとしたIAM強化のポイントとは何か。

「UEBA」で進化　IAM強化のポイントとは

併せて読みたいお薦め記事

「IAM」はなぜ重要か？

• いまさら聞けない「IAM」が「クラウド利用」に欠かせない理由
• 緩いIAMポリシーがクラウドを危険にする当然の理由

　社内のネットワークにいるかどうかを問わず、どこからでもクラウドサービスに接続できる。それは正規ユーザーだけではなく、攻撃者にとっても同じだ。クラウドサービスのIDやパスワードはフィッシング攻撃などによって流出しやすい傾向にある。クラウドサービスへのアクセス要求があったとき、本当に安全なユーザーなのかどうかを検証するための仕組みを作ることが重要だ。

　アクセス管理のための有効な技術の一つが、MFA（多要素認証）だ。MFAの手法としては、顔や指紋による生体認証や、トークンやワンタイムパスワード（OTP）を使った照合などがあり、それが認証のための“鍵”となる。

　ただし攻撃者も手をこまねいているわけではない。最近は、MFAを突破するために、

• 標的ユーザーの携帯電話番号を攻撃者のSIMカードに移行する「SIMスワップ」
• プッシュ通知による承認要求を繰り返すことでユーザーのミスを誘発し、不正なログインを承認させる「プッシュ爆撃」（MFA消耗攻撃）

といった手口が使われている。

　上記を踏まえると、MFAだけでは不十分だと言える。MFAに追加するとよい手法の一つが、「UEBA」（User and Entity Behavior Analytics：ユーザーおよびエンティティの行動分析）だ。UEBAは、ユーザーがクラウドサービスにアクセスする際の行動を監視。いつもとは違う行動を検出したら、パスワードのリセットを要求したり、セキュリティ担当者が確認するまでアカウントをロックしたりする。UEBAは監視カメラのような役割を果たす。

　近年、人工知能（AI）技術を使った捏造（ねつぞう）動画「ディープフェイク」が新たな脅威になっている。組織はビデオ会議において、攻撃者が上司やビジネス関係者になりすまし、機密情報の提供や送金を求めるといったシナリオに備えなければならない。IAMツールには今後、ディープフェイクを見破る「顔チェック」機能の追加が期待される。

---

　中編は、役割ベースのアクセス制御（RBAC：Role Based Access Control）の可能性を探る。

Computer Weekly発　世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。