トレフォエース・センター | Human identities and machine identities: The modern identity perimeter

ヒューマン・アイデンティティとマシン・アイデンティティ:現代のアイデンティティ・ペリメーター

IdP、SSO、クラウド、ワークロード全体でヒューマン ID とマシン ID を保護する方法と、SOC チームが今すぐ利用できる検出アイデアを紹介します。

ネットワークはもはや境界ではありません。アイデンティティは。ほとんどの実際のインシデントでは、攻撃者はログインするほどハッキングしません。だからこそ、セキュリティリーダーは、現代の防衛の中核となるコントロールプレーンとして、人の ID とマシン ID を再考しているのです。

この投稿では、ヒューマンアイデンティティとマシンアイデンティティの違いについて、実際にはそれぞれ異なるリスクがある点と、SOCとITチームがアイデンティティの無秩序な増加を測定可能なリスク削減に変える方法を詳しく説明します。

ヒューマンアイデンティティとマシンアイデンティティが今や主要な攻撃対象となっている理由

ほとんどのセキュリティプログラムは、エンドポイント、ネットワーク、アプリを中心に構築されています。しかし、クラウドとSaaSはAPIとセッショントークンに価値を移し、DevOpsと自動化は人間以外のアクセスを増やしました。その結果、アイデンティティに関する2つの問題が生じています。

ヒューマンアイデンティティ：従業員、管理者、請負業者、パートナー、場合によっては顧客。IdPを通じて認証され、多くの場合はSSOを通じて連携されます。
マシンID: サービスアカウント、ワークロード、ボット、スクリプト、CI/CD ランナー、API キー、OAuth クライアント、証明書、またはワークロード ID フレームワークを介して認証されるアプリケーション。

敵はスケーリングできるので、アイデンティティが好まれます。認証情報が漏洩すると、複数のアプリのロックが解除され、有効なアカウント通常のアクティビティに溶け込みます。

シフトは以下にも一致しますゼロトラストガイダンスこの場合、アイデンティティは基本的な柱であり、アクセスに関する決定は想定ではなく継続的に評価されなければなりません。

人間のアイデンティティには何が含まれますか？

リーダーが「アイデンティティ」と言うとき、通常はディレクトリと IdP を指します。実際には、人間のアイデンティティは、加入者から脱退者まで、ライフサイクル全体にわたって複数のシステムや状態にまたがっています。

NIST のデジタル・アイデンティティ・ガイダンスは、保証、認証強度、およびライフサイクルの期待事項を明確にするために役立ちます。

人間のアイデンティティが実際には失敗する場合

人間のアイデンティティは、システム間の継ぎ目で壊れがちです。時間が経つにつれて、組織は SSO を介してフェデレーションされた SaaS アプリケーション全体で、権限のずれ、MFA の例外、一貫性のないエンタイトルメントモデルを蓄積していきます。アクセスが正当なものなのか、単に許可されたのかを確認するのが難しくなると、SOC は調査中にその複雑さを引き継ぎます。

多くの環境では、セッションリスクは十分に監視されていません。特にポリシーが機密性の高いアクションのステップアップチェックを強制していない場合、セッションの盗難やトークンの再生は、他の点では強力な認証制御を回避できてしまうため、これは重要です。

マシン ID には何が含まれるのか、なぜ管理が難しいのか

人間のアイデンティティが乱雑だとしたら、マシンのアイデンティティは指数関数的です。

1 つのアプリケーションで、クラウド IAM ロール、Kubernetes サービスアカウント、OAuth クライアント、および外部依存関係用の 1 つ以上のシークレットを使用できます。これらの ID の多くはインフラストラクチャーコードと CI/CD パイプラインによって作成されるため、ガバナンスプロセスが追随するよりも早く出現したり変化したりする可能性があります。

次のようなワークロード ID フレームワーク尖ったサービスの暗号化 ID と有効期間の短い認証情報を強調することで、静的シークレットの脆弱性を直接解決できます。

マシンアイデンティティが実際に失敗する場合

所有者の曖昧さやライフサイクルのギャップが原因で、マシン ID が失敗することがよくあります。サービスアカウントとアプリ登録は、本来提供する予定のアプリケーションよりも長く存続する可能性があります。付与された権限は一時的に永久的になります。シークレットは複数の場所にコピーされ、何が壊れるかは誰にもわからないため、ローテーションされることはありません。

クラウドアイデンティティ防衛および政府筋からのガイダンス人間以外のアクセスを誤って管理するとシステム上のリスクが生じる可能性があるため、非個人認証と証明書衛生を常に強調しています。

重要なコントロールの違い

セキュリティチームは両方に同じプレイブックを適用することが多く、そこでプログラムが行き詰まります。ヒューマンアイデンティティには、強力な認証、セッションリスク管理、ロールガバナンスが必要です。マシン ID には、暗号による証明、有効期間の短い認証情報、および厳格な秘密保護が必要です。

これが実際的な比較です。

Dimension	Human identities	Machine identities
Authentication goal	Strong, phishing-resistant user auth + session trust	Strong, non-replayable, workload-bound auth
Credential lifetime	Hours to weeks (sessions)	Seconds to days (tokens/certs)
Ownership	HR / IT + manager	App team / platform / nobody
Common weakness	MFA gaps, session hijack	Static secrets, over-privilege
Best control lever	IdP policy + JIT/JEA	Short-lived creds + rotation
SOC detection focus	Anomalous logins + access to sensitive apps	Abnormal service-to-service calls + token misuse

要点は、人間のアイデンティティとマシンのアイデンティティを関連するものとして扱うことですが、互換性はありません。ツール、テレメトリ、ガバナンスにはその違いが反映されている必要があります。

SOCが求めるべきアイデンティティ・テレメトリ

SOCチームは、見えないものを守ることはできません。人間 ID とマシン ID のどちらについても、調査の 4 つの質問 (誰または何を認証したのか、何にアクセスしたのか、何が変更されたのか、何が予期されていたのか) にすばやく答えるのに十分なテレメトリが必要です。

この期待は、次の点に明確に対応しています。ゼロトラストガイダンスここで、アイデンティティシグナルと継続的な評価が基本となります。

実際の攻撃者の行動に関連する検知エンジニアリングのアイデア

1つのテクニックでまとめたいなら、まずは有効なアカウント。攻撃者は、初期アクセス、永続化、権限昇格のために正規の認証情報を日常的に悪用します。

以下は、SOCをルールファクトリに変えることなく、人間のアイデンティティとマシンのアイデンティティを観測可能な信号に結び付けるためのコンパクトな検出アイデアです。

ID 検出を運用するためのチェックリスト

役割や地域別に人間のアイデンティティの通常のログインパターンをベースライン化し、信頼性の高い異常（新しいデバイス、新しい場所、機密性の高いアプリへのアクセス）があればアラートを通知します。
新しい管理者ロールの割り当て、新しい OAuth アプリ権限、幅広いアクセスを許可するグループの変更など、特権アクセスパスの変更に関するアラートが表示されます。
予期しないランタイムからのトークンの使用や、サービスの通常のコールグラフと一致しない API 呼び出しなど、マシン ID の不可能なワークフローシーケンスを検出します。
特に価値の高いAPIに対して使用する場合、ポリシーウィンドウ内でローテーションされていないAPIキーやトークンなど、長期間使用中の認証情報にフラグを付けます。
ID イベントを相互に関連付けて、権限の変更とそれに続くデータアクセスの急増、メールボックスのルール、異常なエクスポート、インフラストラクチャの変更などのシグナルに影響を与えます。

そのチェックリストは意図的に短くしています。大量の脆弱な検出を行うよりも、適切に実行、調整、改善する方が簡単です。

ビジネスを減速させることなくリスクを軽減する統制の設計

純粋に制限があると、ID プログラムは失敗します。目標は、爆発半径を小さくし、信頼を得るまでの時間を短縮することです。

ヒューマン・アイデンティティについて：保証を高め、常設特権を減らす

フィッシングに強いMFA、条件付きアクセス、およびセッション制御はテーブルステークです。より大きなメリットは、常設権限を最小限に抑えて、侵害された人間の身元がすぐに被害を受けないようにすることです。影響の大きい役割には、ジャストインタイムアクセスとジャストインタイムの管理パターンを検討してください。

マシン ID の場合:静的シークレットは可能な限り削除してください

マシンアイデンティティに関しては、長続きする秘密を減らすか、なくすのが北極です。存続期間の短いトークンとワークロードに縛られた ID を使用し、必要のあるシークレットはローテーションと監査が可能な管理システムに確実に保存してください。

SPIFFE を含むワークロード ID フレームワークは、強く証明されたサービスの ID を中心に構築されています。これは、「設定ファイル内の API キー」症候群に対する直接的な対策です。

ほとんどの組織で機能する実用的なガードレール

承認された少数のマシン認証パターン (実行時にはワークロード ID、例外にはシークレットマネージャーなど) を標準化します。
マシンアイデンティティ (サービス名、チーム、環境、有効期限) の明示的な所有権メタデータを必要とします。
残っている静的認証情報にはローテーションSLAを適用し、違反があれば警告します。
ステップアップ認証やデバイスポスチャなど、人間のアイデンティティに関するより強力なシグナルの背後にある機密性の高いアクションをゲートします。
IDの変更は、管理者の雑音だけでなく、SOC相関のシグナルが高いイベントとして扱います。

これだけで、1か月にわたるプラットフォームの書き直しを行わずに勢いをつけることができます。

アイデンティティを境界線として扱い、その両側を管理する

侵害の可能性を大幅に削減する組織は、人的アイデンティティとマシンアイデンティティによって生じる攻撃対象領域を体系的に縮小し、残りの経路を調整して、SOCが意図を迅速に確認できるようにしています。

まずは、制御戦略を分離することから始めましょう。人間のアイデンティティにはより強力な認証と最小限の常設権限を使用し、マシンIDには短期間でワークロードに縛られた認証情報とローテーションの規律を適用します。検出を有効なアカウントなどの攻撃者の行動に結び付け、迅速な調査を可能にするIDテレメトリを徹底します。

SaaS、クラウド、ワークロードにわたるID主導のインシデントをチームがどれだけ迅速に調査できるかをプレッシャーテストする場合は、組織化された評価を検討してくださいエージェント型SOC アプローチ。

Go to

Text Link

次世代のスタートアップ企業からグローバル企業まで、SOCから信頼されています