ユーザー認証ログのセキュリティモニタリング、何のために何をやる?:クラウドセキュリティモニタリングのベストプラクティス(5)
クラウド/クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第5回は、さまざまな認証サービスのセキュリティモニタリングについて解説する。
*本連載では、Datadogのホワイトペーパーよりベンダー中立的な部分を抜粋し、@ITの表記ルールに合わせるために改変を加えています。(編集部)
ユーザー向けのWebアプリケーションを実行している場合、ユーザーが安全にログインできるように、何らかの形態の認証フローを実装していることが多いだろう。また、目的やユーザーグループ別に、幾つかのシステムや認証方法を使い分ける場合もある。
例えば、従業員は会社が提供するGoogleアカウントで管理されるOAuthベースの認証で社内のサービスにログインし、顧客はユーザー名とパスワードや自分のGoogle認証情報を使用してシステムにログインすることがある。全ての認証イベントを記録、監視、分析する能力は、セキュリティの脅威を特定し、コンプライアンスのために顧客の記録を管理する上で重要な鍵となる。
これらのさまざまなソースや環境で発生する認証ログは、出力するフォーマットもバラバラで、異なるチームによって管理されている場合がある。また、Google、Okta、Auth0などの異なるサードパーティーのサービスが認証に使用されている場合もあり、このような環境で全ての認証アクティビティを効果的に分析することは難しいかもしれない。
アプリケーションが十分な情報を含む認証ログを、標準的で簡単に解析できる出力フォーマットに定義しておくと、全ての認証ログに対して複雑な分析を簡単に行うことができる。例えば、ログインに最も多く失敗しているユーザーやIPアドレスはすぐに特定できる。あるいは、ログインソース(ユーザー名、Okta、Google Workspaceなど)や認証フロー(パスワード、OAuth、SAML)の傾向を追跡することも可能だ。ログを標準化することの第2のメリットは、コンプライアンス対策のために特定のユーザーの認証イベントを迅速に監査または削除することが容易になる点にある。
本稿では、以下のトピックについて説明する。
- 認証ログを管理および出力するフォーマットを定義したときのベストプラクティス
- 認証イベントによって特定できるセキュリティの重大な脅威
認証ログを管理および出力するフォーマットを定義したときのベストプラクティス
認証イベントから有用な情報を最大限に引き出すためには、以下を行う必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.