シングルサインオン(SSO)とActive Directoryのセキュリティ問題

シングルサインオン(SSO)は、生産性を向上させる強力なツールです。SSOを使用すると、ユーザーは一度の認証で、オンプレミスだけでなく、クラウド上のアプリケーションにもアクセスすることが可能になるため、ユーザーエクスペリエンスは劇的に向上します。

ユーザーはWindowsにログインするだけで、設定されたすべてのアプリケーションを開くことができるようになりますが、SSOの利便性が高いほど、セキュリティのリスクも上がります。それでは安全なアクセスを確保しながらSSOの利便性を享受するには、どうすればよいのでしょうか。

シングルサインオン(SSO)セキュリティの留意点

まず、最初にリスクを知ることが重要です。SSOは、他のアクセスと同様に、セキュリティ上の脆弱性を内包しています。これらのリスクは、多要素認証(MFA)やセッション管理などの追加機能を実装して補完することにより、最小限に抑えることができます。このようにSSOの危険性を特定することは、企業や組織が安全なソリューションを実装する上で重要となります。

SSOのセキュリティリスクとは?

一般的にSSOはアクセスを制限することよりも、アクセスの提供に重きを置いています。また、マルウェアを使った攻撃が一般化している現在では、アクセスが増加することは必ずしも良いことではありません。SSOの活用には様々なメリットがありますが、その反面、様々なリスクもあります。

  1. エンドポイント以外もアクセス可能
    ログインの認証情報は、外部からの攻撃者にとって主要なターゲットとなっています(データ侵害の61%は認証情報が関係しています)。SSOを導入すると、悪意のあるユーザーが認証されたSSOアカウントに最初にアクセスすると、認証されたユーザーがプロビジョニングされたリンク先のアプリケーション、システム、データセット、環境すべてに自動的にアクセスすることができます。SSOがユーザーにとって素晴らしいものであることは、同時に危険なものでもあるのです。

    さらに、マルウェアを使用してエンドポイントを制御した外部の攻撃者は、感染後すぐにSSOで接続されたすべてのサービスにアクセスできるようになるため、企業や組織のネットワーク内の侵入被害が増加します。

  2. 一旦認証されたアクセスには制御が甘い
    あるユーザーがSSOでログインしてクラウド上の外部アプリケーションに追加でアクセスできるようになったとします。そして、そのユーザーがフィッシング攻撃の被害を受けた場合、攻撃者にエンドポイントへのアクセス権を与えることになってしまいます。

    検知された場合は、そのアカウントは確かに無効にすることができます。しかし、Windowsの仕組みを考えると、ユーザーはログインしたままであり、導入されているSSOソリューションとリンク先のアプリケーションのセキュリティモデルによっては、攻撃者が特定のアプリケーションにアクセスできる状態でログインし続ける可能性があるのです。

  3. 最少特権の原則の遵守ができていない
    最小特権の原則は、ユーザーが業務を遂行するために必要な最低限のデータ、アプリケーション、システムのみにアクセスできるようにすることを示すものです。また、昇格したアクセス権には別の認証情報を必要とします。

    SSOは1回の認証でアクセスできるようにするものなので、ユーザーが新しくアクセスをする必要があるたびに、認証を必要とするという考えとは相反します。

Active Directory SSOのリスクを
軽減するノウハウ

このようなリスクはあるものの、生産性の向上やサポートコストの削減など、SSOは依然としてメリットの高いソリューションです。では、SSOによるアクセスの簡略化の恩恵を受けつつ、強固なセキュリティ体制を維持するにはどうすればよいのでしょうか。

その答えは、可能な限り非分散型で、数種類の追加のステップを踏むことによる、セキュリティ・ギャップを埋める方法です。

ステップ1:
ユーザーアカウント管理のために、オンプレミスのActive Directoryを保持する

Active Directory(AD)を使用して、すべてのユーザー認証とアカウント管理を効率化します。ADは、従業員の役割、サービスの作成と設定を行い、退職時やアクセスが不要になった場合、アカウントを削除するための中心的な役割を担います。

理想的な形として、従業員のAD IDを作成する際、ADはその従業員がアクセスする必要のあるクラウドアプリケーションを決定するためにも使用されるべきです。

こうすれば、従業員はAD IDを経由したSSOアクセスをバイパスしてアプリケーションに直接アクセスすることができなくなります。Windowsセッション全体へのアクセスを拒否できるため、オンプレミスでもクラウドでも、アクセス可能なデータセット、システム、アプリケーションはすべて同じように安全となります。

UserLockを導入することで、既存のオンプレミスのADをID管理ソリューションとして、クラウドの連携を拡張することが可能になります。

  • ユーザーIDを新しいディレクトリに統合する必要はありません。
  • ADへの既存の投資を活用することができます。
  • アカウント、サービス、ロール、グループポリシーは引き続き適用されます。
  • オンプレミス認証を維持し、セキュリティを最大限に高めることができます。
  • 主要なクラウドアプリケーションやカスタムアプリケーションのためのSSOを追加することができます。
  • 障害時のリカバリー機能で安心です。

ステップ2:
SSOと多要素認証(MFA)を組み合わせて、パスワードの脆弱性を保護する

SSOと多要素認証(MFA)を組み合わせることで、ユーザーの本人確認、ADのアカウントを保護するための追加のセキュリティレイヤーが導入されます。リモートワークの増加に伴い、MFAの導入が進んでいますが、エンドユーザーにとっては設定が複雑で、管理にはコストと時間がかかるという認識がMFAにあります。残念ながら、このようなMFAの悪いイメージが、重要なセキュリティツールであるMFAの導入を妨げていることがよくあります。
実際には、MFAを使用すると:

  • データ漏洩を被害が出る前に食い止めます。
  • 最も特権的なユーザーを含む、すべてのユーザーを保護します。
  • 漏洩した認証情報を攻撃者にとって無用なものにします。
  • あらゆるユーザー、ユーザーグループ、企業単位でカスタマイズ可能です。
UserLockでは、きめ細かいMFAをSSOと簡単に組み合わせることができ、ユーザーに大きな負担をかけることなく、強力なセキュリティを提供します。「YubiKey」や「Token2」といった認証アプリケーションやワンクリックでプログラム可能なトークンにも対応しているため、UserLockのMFAは企業や組織のセキュリティポリシーに沿って、カスタマイズすることも可能です。また、管理者は、ユーザーが認証を試みたコンテキストを活用して、生産性とセキュリティのバランスの最適化を図ることが可能です。

ステップ3:
SSOをさらにセキュアにするコンテキストアウェアテクノロジー

コンテキストアウェアセキュリティとは、ある人物がアクセスしようした場合、その状況を分析してログインしようとする人が本人であるかどうかを判断する技術です。これにより、攻撃者が侵入する機会を低減することが可能となります。

例えば、Windowsの初回ログイン時のセキュリティ制御には、以下のようなものがあります:

  • 特定のユーザーアカウントで、ログイン時間、エンドポイント、場所、IPアドレスでのログイン制限。
  • ログイン頻度または同時ログインの制限。
  • セッションの種類(ローカル、RDP等)に基づく制限。
  • 不審なアクセスに対してリアルタイムで監視、アラート発出。
  • エンドユーザー自身へのAD IDの使用に関する警告表示。
UserLockでは、ログインプロセスの一部としてコンテキストアウェアセキュリティが実行されるため、SSOを導入する際、生産性を損なわずに、高度なログインセキュリティとして機能します。

UserLockのMFAとセッション管理で
セキュアなSSOを実現

SSOはあらゆる規模の企業や組織でも活用できます。また、セキュリティ上のリスクは内在していますが、それらを特定し軽減することが可能です。

UserLockを活用することで、SSOのメリットを享受しながら、多要素認証やコンテキストアウェアセキュリティなどの追加対策により、それぞれの企業や組織に最適なセキュリティを実現します。