ナビゲーションをスキップする
BlackBerry ブログ

ゼロトラストを活用し、認証とセッション管理の不備にまつわる落とし穴に対処するには

原文のブログはこちらからご覧いただけます。

認証とセッション管理に不備があると、ユーザーのセッションをエンドツーエンドで保護できなくなり、ユーザーとその所属組織が攻撃を受けやすくなります。

この問題に対処するため、組織とソリューションプロバイダの双方において、OpenID Connect(OIDC)やセキュリティアサーションマークアップ言語(SAML)標準などの認証・認可・アカウンティング(AAA)標準の採用が進んでいます。

アクセスのセキュリティを高め、より強固なアイデンティティ管理を実現するには、管理者が認証にまつわる次の 2 つの重大な落とし穴を認識しておく必要があります。

  1. ブラウザーによるユーザー認証情報のキャッシュ(自動またはユーザー主導)
  2. Web ベースのアクセスやアイデンティティ認証に対するシングルサインオン(SSO)の適用

これらの認証上の抜け穴は、ユーザーのアイデンティティが十分に認証されなくなる危険をはらんでいます。多くの場合は 2 要素認証(2FA)の要求さえも行われません。 

現代の認証ツールは、セッションをエンドツーエンドで保護しながら、SSO の設定やブラウザーのキャッシュの有無に関わらず、ユーザーの完全な再認証を伴うアイデンティティ検証を実施できる必要があります。
 

セッション管理

セッションとは、アプリケーションサーバーが認証したユーザーや訪問者の状態を追跡するために作成するものです。セッションにはサーバー上のメモリ領域やストレージのほか、サーバー側でそのセッションを参照するためのセッション ID が必要です。セッション ID はランダムで推測が困難な一意の文字列であり、一定期間だけ有効です。セッション確立後のリクエストの送信元を検証するために、アプリケーションサーバーによって使用されます。

セッション管理は通常 Web フレームワークによって処理されるため、多くの場合、確認方法さえわかっていればセッション ID を見ることができます。また大抵の場合、セッション確立後に認証を証明するために必要なのはセッション ID だけです。そのため、このセッション ID は保護する必要があります。

OIDC/SAML 標準に準拠することで、強固なセッション保護が実現できます。この場合、すべてのセッション検証は、JSON Web トークン(JWT)アクセスと、必要な認可が付与されたベアラートークンによって実施されます。また、ポリシーで制御される多要素認証(MFA)により、継続的な認証が強化されます。標準に準拠し、高信頼な MFA ツールと統合され、かつセッション管理に重きを置いたゼロトラストネットワークアクセス(ZTNA)ツールを使用すると、強固なセッション保護がさらに促進されます。
 

継続的認証

ゼロトラストの鍵となる考え方は、特定の条件下でユーザーの再認証を実施し、身元を明らかにすることです。この条件は、さまざまな攻撃につながる侵害の指標となり得ます。リスク体制を継続的に評価してユーザーに再認証を強制することにより、ZTNA が強化されます。

その結果、一度認証されたユーザーが後で侵害された場合でも、悪意のある活動が行われる前に侵害の影響を緩和できるようになります。
 

NIST によるベストプラクティス

米国国立標準技術研究所(NIST)は、ZTNA を通じてネットワークアクセスの新時代を切り開くという世界的な使命の一環として、ゼロトラストアーキテクチャを計画・導入するための一般的なベストプラクティスを取りまとめ、公開しています。そこでは、ゼロトラストの原則として以下が挙げられています。

  • すべてのリソースの認証と認可は、アクセスを許可する前に動的かつ厳密に実施する。

  • すべてのデータソースとコンピューティングサービスをリソースと見なす。

  • 企業は、所有するすべてのリソースと関連リソースの整合性とセキュリティ体制を監視し、測定する。

  • ネットワークの場所に関わらず、すべての通信を保護する。

  • 個々のリソースへのアクセスはセッション単位で付与する。

  • リソースへのアクセスは動的なポリシーによって決定する。このポリシーには、クライアントアイデンティティ、アプリケーション/サービス、および要求する資産の観測可能な状態のほか、場合によってはその他の行動属性や環境属性も含まれる。

  • 企業は、資産、ネットワークインフラ、および通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する。

ゼロトラストアーキテクチャへの移行は簡単なことではありません。時間をかけてアップデートや変更を何度も行う必要があります。しかし、上記のゼロトラスト原則をゼロトラストへの移行の中心に据えることで、管理者が組織を次世代のネットワークアクセスへと適切に導くことが可能となります。

CylanceGATEWAY:認証とセッション管理のための ZTNA ソリューション

CylanceGATEWAY® ソリューションは各種の認証ツールを統合し、現代の ZTNA のニーズに応えます。CylanceGATEWAY のトンネル再認証ポリシーは、そうした認証ツールとの連携を通じて、ユーザーの SSO 設定やブラウザーのキャッシュの有無に関わらず、再認証が何度も頻繁に実施されることを保証します。このポリシーによりセッションハイジャックが防止され、プライベートリソースの安全が確保されます。また、ソース IP の固定機能とそれに伴うプライベートアプリケーションへのアクセス制限は、Cookie ハイジャックを防止する抑止力として働きます。

OIDC/SAML 標準に厳密に準拠した認証ツールが採用できれば、それらのツールが CylanceGATEWAY との連携の下でもたらすセキュリティについて、管理者が確信を持てるようになります。セッションの検証は、JWT アクセスと必要な認可が付与されたベアラートークンによって実施するのが理想的です。これには、ポリシーで制御される MFA ベースの継続的認証が含まれます。この組み合わせは CylanceGATEWAY ソリューションの本質であり、真のゼロトラストネットワークアクセスを実現する認証統合に他なりません。

また、CylanceGATEWAY は BlackBerry® Enterprise Identity サービスとの統合により、任意のアイデンティティプロバイダ(IDP)との認証を仲介します。組織が IDP を利用していない場合は、BlackBerry Enterprise Identity サービスを通じて認証機能がネイティブにサポートされます。

適切なツールを連携させ、適切なポリシーによって構成すれば、安全につながり合う世界を実現することができるのです。

 

参照資料

イベント日程

Sriram Krishnan

About Sriram Krishnan

Sriram Krishnan は BlackBerry の Senior Director of Product Management です。