クラウドサービスへの不正アクセス対策は全ての組織にとって欠かせない。どのような手法を使うべきなのかを含めて、IAMを強化するためのポイントまとめた。
クラウドサービスの利用拡大やテレワークの普及によって、社内と社外という従来の分かりやすいセキュリティ境界が消えた。そうした中、以前にも増して重要になっているのが「IAM」(IDおよびアクセス管理)だ。
IAMのセキュリティが甘ければ、ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃を受けることにつながりかねない。MFA(多要素認証)をはじめとしたIAM強化のポイントとは何か。
社内のネットワークにいるかどうかを問わず、どこからでもクラウドサービスに接続できる。それは正規ユーザーだけではなく、攻撃者にとっても同じだ。クラウドサービスのIDやパスワードはフィッシング攻撃などによって流出しやすい傾向にある。クラウドサービスへのアクセス要求があったとき、本当に安全なユーザーなのかどうかを検証するための仕組みを作ることが重要だ。
アクセス管理のための有効な技術の一つが、MFA(多要素認証)だ。MFAの手法としては、顔や指紋による生体認証や、トークンやワンタイムパスワード(OTP)を使った照合などがあり、それが認証のための“鍵”となる。
ただし攻撃者も手をこまねいているわけではない。最近は、MFAを突破するために、
といった手口が使われている。
上記を踏まえると、MFAだけでは不十分だと言える。MFAに追加するとよい手法の一つが、「UEBA」(User and Entity Behavior Analytics:ユーザーおよびエンティティの行動分析)だ。UEBAは、ユーザーがクラウドサービスにアクセスする際の行動を監視。いつもとは違う行動を検出したら、パスワードのリセットを要求したり、セキュリティ担当者が確認するまでアカウントをロックしたりする。UEBAは監視カメラのような役割を果たす。
近年、人工知能(AI)技術を使った捏造(ねつぞう)動画「ディープフェイク」が新たな脅威になっている。組織はビデオ会議において、攻撃者が上司やビジネス関係者になりすまし、機密情報の提供や送金を求めるといったシナリオに備えなければならない。IAMツールには今後、ディープフェイクを見破る「顔チェック」機能の追加が期待される。
中編は、役割ベースのアクセス制御(RBAC:Role Based Access Control)の可能性を探る。
米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
XがAIチャットbot「Grok」に新機能を追加 OpenAIやGoogle、Metaとの競争の行方は?
Xが、AIチャットbot「Grok」に自分のプロフィール情報を伝えられる新たな機能追加を実施...
AIがキーワードを提案 「Yahoo!広告 検索広告」に追加された新機能のメリットは?
LINEヤフーは「Yahoo!広告 検索広告」に、AIがリンク先URLからキーワードを提案する新機...
アパレル大手TSIのマーケターが語る「ユーザーコミュニティー」でなければ学べなかったこと
トレジャーデータのユーザーコミュニティーである「Champ」のリーダーに、コミュニティー...
ITmediaはアイティメディア株式会社の登録商標です。
