The Hacker Newsはこのほど、「Human vs. Non-Human Identity in SaaS」において、SaaS環境においてサードパーティーアプリを連携する時に発生する人間以外の認証の安全性をいかにして確保するか、その手法について伝えた。
人間以外の認証が抱えるリスク
SaaS環境ではさまざまなサービスがユーザーに提供される。時には数百にも及ぶサービスが稼働していることもある。SaaSのコアシステムの一部として提供されるサービスは自身の持つアカウント制御下で動作するが、追加されたサードパーティーアプリはコアシステムに接続するために認証を必要とする。
この認証要求は人間からではないため、人間に対するものとは異なったセキュリティ対策が求められる。例えば、人間は深夜帯にアクセスする可能性が低いため、そのようなアクセスには厳重な調査が行われることがある。しかしながら、アプリからの認証では時間という評価基準は存在しない。また、人間が長時間連続してアクセスすることは稀だが、アプリは基本的に一度接続すると問題が発生しない限りアクセスを停止することはない。
さらに、このようなアプリは広範囲の権限を必要とすることが多く、最小権限の適用は難しい。そのため、一度サードパーティーのアプリが侵害されると、システムの広範囲を静かに長時間侵害され続けることになる。
人間以外のアカウントの保護
The Hacker Newsはこの問題への対策として、SaaS Security Posture Management(SSPM)とアイデンティティ脅威の検出とレスポンス(ITDR: Identity Threat Detection and Response)を連携して使用することを推奨している。これらを使用することで人間以外のアカウントを効果的に管理し、異常な動作を検出できるとしている。
SSPMはSaaSアプリケーションのセキュリティ設定を評価・監視・管理するセキュリティソリューション。不要な設定やユーザーアカウント、過剰な権限、コンプライアンスリスクなどを検出する。もう一方のITDRは認証情報の定期的な監視、機械学習や分析による異常動作の検出、自動化されたインシデント対応などを実現する。
SSPMによりアカウントを可視化し、ITDRにより人間以外のアカウントの動作を可視化することで、リスクの管理と特定が可能となる。