2024年の脅威ハンティングレポートによると、アイデンティティベースの攻撃は組織に大損害を与え続けています。2023年7月から2024年6月までに観測された、上位10個のMITRE ATT&CK®手法のうち5個でアイデンティティの侵害が発生しています。一分一秒を争う環境では、リアルタイムのアイデンティティ保護が不可欠です。そこで、CAEP(継続的アクセス評価プロファイル)が役立ちます。
2024年版脅威ハンティングレポート
クラウドストライク2024年版脅威ハンティングレポートでは、245を超える現代の攻撃者の最新の戦術を明らかにし、これらの攻撃者がどのように進化し続け、正当なユーザーの振る舞いを模倣しているかを示します。侵害を阻止するためのインサイトをこちらから入手してください。
今すぐダウンロードCAEPとは
CAEPは、IAM(アイデンティティおよびアクセス管理)システムでユーザーアクセスを継続的に評価できるようにするために開発されたIETF(インターネットエンジニアリングタスクフォース)標準です。これを利用して、ユーザーの場所、デバイスのステータス、セキュリティコンテキストなどの変化するリスクシグナルに基づいて、リアルタイムでアクセスの決定を更新することができます。CAEPでは、潜在的な脅威が発生すると、それに合わせてリアルタイムでアクセスチェックを行うことができるため、組織のリスクエクスポージャーが大幅に軽減されます。
CAEPは、動的なセキュリティフレームワーク内でユーザーのアクセス権を継続的に再評価することで、ゼロトラストの原則を守る上で重要な役割を果たしています。CAEPは、ログイン時の1回のチェックに基づいてアクセスを許可するのではなく、ユーザーのセッション中継続してアクセスが適切であるかどうかを評価することで、ゼロトラストを維持します。この方法により、アクセス権が現在の状況に合っていることを確認し、絶えず変化する環境の中で、場所やデバイスのセキュリティといったリアルタイムのコンテキストを継続的に考慮して、アクセス制御を強化しています。
CAEPの仕組み
CAEPによってセキュリティが強化される仕組みを理解するために、主な機能を詳しく見ていきましょう。
イベントベースの評価
CAEPは、潜在的なセキュリティ脅威の兆候である高リスクイベントを継続的にモニタリングします。例えば、次のようなものがあります。
- 場所の異常:ユーザーが最後のセッションから数分以内に地理的に離れた場所からログインした場合(不可能な移動シナリオ)。
- デバイスのセキュリティの変更:ユーザーが管理されていないデバイスまたは侵害されたデバイスに切り替えた場合。
- 振る舞いの異常:複数のシステムへの短時間でのログインや、リスクの高いアプリケーションへのアクセス試行などの異常な認証パターン。
- 認証情報の取り消しまたはロールの変更:オフボーディングまたはセキュリティポリシーの更新によりユーザーの権限が取り消された場合、CAEPはアクティブなセッションを直ちに終了して、ポリシーの変更をリアルタイムで適用できます。
このようなトリガーが検知された場合、CAEPはユーザーのアクセス権を動的に再評価して調整します。これは、適切な条件下で適切なユーザーのみがアクセスを維持できるようにするための強力な方法となります。
例えば、ユーザーが突然普段と異なる場所からログインしたり、通常の振る舞いから逸脱した行動をした場合、CAEPは、検知されたリスクのレベルに基づいて、多要素認証などの追加の検証を要求する、アクセスを制限する、さらにはセッションを終了することで対応します。このアプローチにより、不正アクセスをリアルタイムで防止し、潜在的な侵害による被害が悪化する前に未然に防ぐことができます。
OAuth (Open Authorization) との連携
CAEPは、リアルタイムのトークンの失効とイントロスペクションを可能にすることで、OAuth 2.0のセキュリティを強化します。有効期限まで有効な静的アクセストークンではなく、CAEPを利用することで、アイデンティティプロバイダーとセキュリティプラットフォームでは次を行えるようになります。
- トークンの動的な取り消し:セキュリティイベントが発生した場合(デバイスの信頼性が失われるなど)、CAEPはトークンの有効期限前であっても、直ちにトークンの取り消しやリフレッシュを行えます。
- リアルタイムのイントロスペクションの実行:セキュリティシステムは、OAuthのイントロスペクションエンドポイントをクエリして、アクセストークンがまだ有効かどうかを検証し、アクセスポリシーを動的に更新できます。
実際の動作としては、CAEPは潜在的な脅威が発生するたびにユーザーを再認証することなく、リスクを検知して対応できるため、組織はユーザーの利便性を犠牲にすることなく高度なセキュリティを実現できます。
このような機能によって、ユーザーや環境が変化してもアイデンティティベースの攻撃を防ぎ、安全なアクセスを維持することができるCAEPという強力なツールが形成されています。
アイデンティティ保護戦略策定の完全ガイド
レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、アイデンティティ保護戦略策定の完全ガイドをダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。
今すぐダウンロードCAEPの主な利点
CAEPは組織にさまざまな利点をもたらします。これらの利点が、実際にどのように機能するかを次でご紹介します。
セキュリティの強化
CAEPはアクセス権限を継続的に評価して調整するため、古くなったセッション情報からセキュリティギャップが生じる可能性が最小限に抑えられます。具体的には、新しい場所からのログインや別のデバイスへの切り替えなど、状況が変化するとすぐに、CAEPがアクセスをリアルタイムで再評価します。
この継続的モニタリングによって、アカウントの乗っ取りやインサイダー脅威などのリスクを防ぐことができます。異常なパターンや振る舞いが検知された場合、CAEPは直ちにアクセス権限を調整し、データ漏洩の発生を防ぎます。
リアルタイムの適用
CAEPは異常や疑わしい振る舞いを検知すると、その場でセキュリティポリシーを適用します。この迅速な対応により、機密情報の漏洩が抑えられ、不正アクセスがその場で阻止されるため、ゼロトラストの原則に従ったセキュリティ対策を実施できます。
CAEPは、リスクの高いアクティビティが検知されるとすぐに対応して、脅威がシステム内で検知されないまま存続することを防ぎます。これは攻撃者の「滞在時間」を短縮し、脅威が環境内で足場を築く前に封じ込めることができます。
滞在時間とは、攻撃者がアクセスを不正に取得した後、環境内で検知されないまま存在している時間のことです。CAEPは、セッション権限を継続的に再評価することで、滞在時間を最小限に抑えます。攻撃者が盗まれた認証情報を使用してアクセスを取得した場合、CAEPは異常なデバイスの変更や権限昇格などのリスクシグナルを検知し、即座にアクセスを取り消して、攻撃者がラテラルムーブメントする前に排除します。
操作性の向上
頻繁なログインが必要なアクセスシステムとは異なり、CAEPの継続的な評価アプローチでは、ユーザーはポリシーチェックが行われるたびに再認証する必要はありません。CAEPは、トークンをリアルタイムで検証し、絶対に必要な場合にのみ検証を要求することで、ユーザーの作業を中断することなく安全な接続を維持します。
このアプローチによって、高品質でシームレスな操作性を円滑に提供しながら、厳格なセキュリティ標準を維持する最適なバランスが実現されます。
ゼロトラストアーキテクチャにおけるCAEP
CAEPは、更新された情報に基づいてアクセス権を継続的に検証することにより、IAMソリューションがセキュリティ状況の変化に迅速に対応できるようにします。例えば、ユーザーのデバイスが突然侵害の兆候を示したり、ユーザーが接続しているネットワークの信頼性が失われたりした場合、CAEPは機密リソースへのアクセスを即座に制限または取り消すことができます。このリアルタイムの応答性は、アクセスが安全であるとは決して想定せず、継続的かつ動的なリスク評価のみに基づいてアクセスを許可するゼロトラストの原則を実施する上で重要です。
CAEPは、状況に応じたリスク要因に基づいてアクセスポリシーをリアルタイムで動的に調整することで、ゼロトラストセキュリティを強化します。組織は、CAEPを使用して次を実施できます。
- JIT(ジャストインタイム)アクセス:必要な場合にのみ権限を付与し、使用後は直ちに権限を取り消します。
- RBA(リスクベース認証):リスクシグナルが定義されたしきい値を超えた場合にのみ、ステップアップ認証(多要素認証など)を実施します。
- セッションリスクスコアリング:ユーザーとデバイスの振る舞いを継続的に評価して、アクティブなセッションを維持するか、制限するか、終了するかを決定します。
CAEPを使用して、現在のリスクコンテキストに応じて調整される適応型アクセスポリシーを適用することもできます。CAEPによってポリシーをリアルタイムできめ細かく調整することで、IAMツールは変化するセキュリティの状況に迅速に対応できるようになります。この継続的な検証と適応力によって、CAEPは、静的な権限ではなく、継続的かつ動的なリスク評価に基づいてアクセスを許可するゼロトラストを実施するための基礎となっています。
Pella Corporationのお客様事例
米国有数の窓およびドア製造会社であるPella Corporationが、クラウドストライクのマネージドサービスおよびアイデンティティ保護を利用して社内セキュリティチームを強化した方法をご紹介するお客様事例をお読みください。
Pellaのお客様事例を読むクラウドストライクによるCAEP
CrowdStrike Falcon® Next-Gen Identity Securityは、アクセスを継続的に分析し、新たに出現する脅威に動的に対応することで、堅牢なリアルタイムの保護を提供します。Falcon® Next-Gen Identity Securityでは、CAEPを使用してリアルタイムでアクセスを分析し、リスクを評価することで、あらゆるアイデンティティ攻撃の兆候や疑わしいアクティビティに即座に対応できるようにしています。Falcon Identity Protectionは、トークンを動的に取り消し、疑わしいアクセスをブロックし、潜在的な脅威を発生時に阻止することで、強固なプロアクティブセキュリティを提供しています。
クラウドストライクの優れた脅威インテリジェンスネットワークを活用することで、Falcon Identity Protectionは、新たな脅威に関するグローバルインテリジェンスから得られたコンテキストに応じたインサイトを利用して、継続的なアクセス評価を強化します。この広範なインテリジェンスネットワークがプロアクティブな脅威検知と対応を支え、アイデンティティベースの攻撃に組織が先手を打って対応できるようにしています。進化するリスクに即座に対応するCAEP機能によって、Falcon® Next-Gen Identity Securityは、回復力と応答性を兼ね備えたアイデンティティセキュリティを提供し、デジタル環境全体でアクセス制御に対する信頼を維持しています。
CAEPに関するFAQ
Q:CAEPとは何の略ですか?
A:Continuous Access Evaluation Profile(継続的アクセス評価プロファイル)です。
Q:CAEPとは何ですか?
A:CAEPは、IAM(アイデンティティおよびアクセス管理)システムでユーザーアクセスを継続的に評価できるようにするために開発されたIETF(インターネットエンジニアリングタスクフォース)標準です。これを利用して、ユーザーの場所、デバイスのステータス、セキュリティコンテキストなどの変化するリスクシグナルに基づいて、リアルタイムでアクセスの決定を更新することができます。
Q:CAEPの利点は何ですか?
A:CAEPは、セキュリティの向上、リアルタイムの適用、操作性の向上など、さまざまな利点を組織にもたらします。
Q:CAEPとゼロトラストはどのように連携しますか?
A:CAEPは、状況に応じたリスク要因に基づいてアクセスポリシーをリアルタイムで動的に調整することで、ゼロトラストセキュリティを強化します。組織はCAEPを使用して、ジャストインタイムアクセス、リスクベースの認証、セッションリスクスコアリングを実施できます。また、現在のリスクコンテキストに応じて調整される適応型アクセスポリシーを適用することもできます。
ライアン・テリーは、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、アイデンティティセキュリティを担当しています。サイバーセキュリティの分野で10年以上のプロダクトマーケティングの経験を持ち、以前はSymantec、Proofpoint、Oktaに勤務していました。ブリガムヤング大学で経営学修士号 (MBA) を取得しています。
