セキュリティー・ライフサイクル管理とは

平均的な企業ネットワークは、人間のユーザー（開発者やその他の利害関係者）から人間以外のアイデンティティ（AIエージェント、デバイス、ワークロード、サービスなど）に至るまで、数千から数万ものアイデンティティをホストしています。この集団は動的です。人間のユーザーは、頻繁に参加したり、離脱したり、役割を変更したりします。インフラがプロビジョニングされ、スケーリングされ、廃止される中で、新しい非人間的なアイデンティティが継続的に現れます。特に、CI/CDパイプラインや自動化されたワークフローが、短期間のサービスやワークロードを日常的にスピンアップするクラウドネイティブやDevOpsのコンテキストでは、その傾向が顕著です。

それぞれのアイデンティティは、潜在的な脆弱性でもあります。ユーザーが悪意または過失によってその権限を悪用・誤用し、内部脅威となる可能性があります。脅威アクターは、機密データやシステムに不正アクセスするために、盗んだ認証情報やブルートフォース攻撃を使用することで、人間や人間以外のアイデンティティを乗っ取ることができます。

実際、IDベースの攻撃（ハッカーが有効なアカウント認証情報を悪用してネットワークに侵入する）は、最も一般的なサイバー攻撃方法の1つです。その手法は、IBM® X-Force Threat Intelligence Indexに記録されたデータ侵害の30％を占めています。

セキュリティー・ライフサイクル管理は、こうしたIDとそれに関連する権限や認証情報を、単一のプラットフォームや緊密に連携されたツールで一元管理することで、IDの攻撃対象領域を縮小し、セキュリティー・ギャップを埋めることを目的としています。セキュリティー・ライフサイクル管理は、認証情報の作成・ローテーション、アカウントのプロビジョニング・デプロビジョニング、セキュリティポリシーの執行などの主要なサイバーセキュリティー機能を自動化し、ビジネスに不可欠なワークフローを妨げずにアクセス制御や秘密管理を強化します。

セキュリティー・ライフサイクル管理では、プラットフォームまたは一連の連携されたツールを使用して、主要なサイバーセキュリティー機能、特にアカウント・セキュリティー、認証情報管理、ユーザー・アクセス権限に関連する機能を一元的に監視および自動化します。

セキュリティー・ライフサイクル管理の中核となる機能には、ID管理、シークレット管理、安全なネットワーキングなどがあります。

セキュリティー・ライフサイクル管理は、以下のような人間および人間以外のアイデンティティのIDおよびアクセス管理（IAM）ワークフローを自動化することができます。

• アカウントの作成や権限の割り当てなど、新しいユーザーやエンティティーのオンボーディングを行う。
  
  
• ユーザーとエンティティーの役割が時間の経過とともに変化するにつれて、そのユーザーとエンティティーの権限を調整する。
  
  
• ロールベースのアクセス制御（RBAC）、継続的な認証と承認、ジャスト・イン・タイム権限などの手段を通じてセキュリティー・ポリシーを適用する。
  
  
• セッション記録を通じてユーザー・アクティビティーを継続的に監視する。
  
  
• ユーザーが離脱したり、サービスが廃止されたりしたときに、IDのプロビジョニングを解除する。

セキュリティー・ライフサイクル管理は、IDを保護するだけでなく、そのIDに関連する認証情報の保護にも役立ちます。以下のような重要な認証情報管理およびシークレット管理機能を自動化できます。

• 証明書、APIキー、パスワード、トークンを含む、新しい人間および非人間のIDの強力な認証情報を作成する。
  
  
• 資格を定期的にローテーションする。
  
  
• 機密情報やシステムへの高度な権限を要するアクセスを許可する管理アカウントやサービス・アカウントの資格情報など、価値の高い認証情報を保管領域に保管する。保管領域は、暗号化と多要素認証（MFA）などの強力な認証手段によって保護され、許可されたユーザーだけが必要なときにこれらの認証情報にアクセスできるようにする。
  
  
• 永続的な認証情報を一時的またはジャストインタイムの認証情報に置き換える。
  
  
• コード、リポジトリ、コラボレーション・プラットフォーム、開発者ツール、またはその他の場所に保存されている、公開状態にあるシークレットを自動的にスキャンして修正する。

一部のセキュリティー・ライフサイクル管理ツールは、認証情報の取り込み（ユーザーが認証情報を直接処理する必要がない認証プロセス）もサポートしています。代わりに、認証情報が安全な保管領域から適切なサービスに提供されるため、漏洩や盗難のリスクが軽減されます。

セキュリティー・ライフサイクル管理は、IDと認証情報の保護を基盤として、ID間、特にサービス間の安全な接続と通信を促進する上でも役立ちます。

セキュリティー・ライフサイクル管理ツールは多くの場合、以下を提供します。

• サービスIDに関する一元的な信頼できる情報源であり、サービスの正常性やその他の属性に関するリアルタイムの情報とともに、サービスの発見と追跡を可能にする。
  
  
• サービス間の暗号化、継続的な認証、属性ベースの承認を含むIDベースの接続。すべてのアクセス要求が精査され、サービスはネットワークの場所ではなく属性に基づいてアクセスが許可される。
  
  
• サービス・メッシュ、ロード・バランサー、ファイアウォール、ゲートウェイなど、安全なネットワーク・インフラストラクチャーの自動プロビジョニング。サービスの作成、拡張、または廃止が行われる際に、安全な通信が自動的に確立、更新および廃止される。

セキュリティー・ライフサイクル管理は、通常、ID、認証情報、サービス、ソフトウェア・インフラストラクチャーに焦点を当てますが、デバイス管理機能が含まれることもあります。たとえば、ワークステーションやモバイル・デバイスへの自動パッチ適用、ハードウェア証明書管理、カメラや物理的アクセス制御などのオンプレミスのセキュリティー・システムに対する継続的な監視と修復などが挙げられます。

セキュリティー・ライフサイクル管理は、重要なIAMとシークレット管理機能を一元化および自動化することで、セキュリティー・チームが人間のユーザーと非人間のIDの可視性と制御を強化できるようにします。一元化と自動化により、アクティビティーの監視、アクセス制御、ポリシー適用を合理化し、IDベースの攻撃やその他のセキュリティー・インシデント、サイバー脅威のリスクを軽減できます。

複雑なITシステムでは、人間および非人間のIDがオンプレミス、リモート、クラウドのインフラストラクチャー上に存在し、それらの間で移動する可能性があります。これらのネットワークは分散する性質があるため、セキュリティー・チームにとって、それぞれのIDの状況を追跡することは困難です。さらに、DevOpsパイプラインでは、リソースは多くの場合動的かつ一時的なものです。新規の非人間IDは、セキュリティー・チームがその存在に気づく前に、システムに導入され、安全な情報にアクセスし、消えてしまう可能性があります。その結果、ポリシーの適用が困難になり、セキュリティー・リスクが増大します。

安全な管理と一元的な監視がなければ、個々のユーザーはセキュリティー衛生のベスト・プラクティスに従わない可能性があります。弱いパスワードを設定し、それを再利用したり、MFAの有効化を怠る可能性があります。DevOpsパイプラインは、リポジトリー、コード、データベースなどを通じて管理されていない機密が拡散する「機密の無秩序な拡散」が発生しやすく、潜在的な脅威にさらされた状態になることで知られています。

アプリの無秩序な増加（集中管理のないエコシステムにアプリを導入すること）特に認証および承認機能が既存のIAMシステムと統合されていないアプリによっても問題が発生します。個別のアプリに個別のIDディレクトリー、権限設定、認証情報がある場合、特権監査やプロビジョニング解除などの重要なセキュリティー・アクティビティがすべて簡単に見逃されてしまいます。

セキュリティー・ライフサイクル管理は、管理を一元化しコア・プロセスを自動化することで、脆弱なID、アクセス、認証情報によってもたらされるセキュリティー脅威を最小限に抑えることができます。

人間と非人間のすべてのIDを1つのシステムで管理することで、セキュリティー・チームはより一貫性のあるアクセス・ポリシーを設定できるようになります。自動化されたプロビジョニングとプロビジョニング解除により、これらのポリシーがタイムリーかつ標準化された方法で確実に適用されるようになります。

自動化された認証情報管理は、強力な認証情報が適切に使用、保護、ローテーションされるようにする上で役立ちます。一方、認証情報検知ツールは、管理されていない機密情報や保護されていない機密情報を見つけて修復するために活用できます。

セッション録画により、セキュリティー・チームはユーザーの行動をすべて追跡でき、ポリシーの執行と インシデント対応の両方を効率化します。セキュリティー侵害が発生した場合、調査官はその録画を使ってハッカーが侵害されたアカウントで何をしたかを調べることができます。

最後に、サービス間の接続を保護することは、ソフトウェア・サプライチェーンにおける最も重大な脆弱性の1つである、システム内のコンポーネント間の接続に対処するのに役立ちます。

IBM Distinguished EngineerでMaster InventorのJeff Crumeは、Security Intelligenceポッドキャストで次のように述べています。

「最大の脆弱性のいくつかは、インターフェースがある2つの異なるものをつなぐ中継点で発生します。双方のコンポーネントは完璧でも、インターフェースはそうではありません。そしてもちろん、悪意のある攻撃者は弱点がある場所を狙うでしょう。」

つまり、セキュリティー・ライフサイクル管理に対する包括的なアプローチにより、エコシステム全体にわたる人間および非人間のID、認証情報、権限に関する単一のデータ管理システムを組織に提供し、ゼロトラストと最小権限の原則をサポートできます。

セキュリティー・ライフサイクル管理ツールとプラクティスは、DevOpsパイプラインの迅速かつ革新的な活動をサポートすることを目的としていることに注意することも重要です。実際、開発者の手から認証情報管理を完全に切り離すことで、これらのプロセスを最適化できます。セキュリティー・ライフサイクル管理は、シークレットを自動的に作成、保管、ローテーション、保護することで、妨げになることなくITエコシステムを保護できます。