Googleは、IDとアクセス管理のポートフォリオにおいて、証明書ベースのアクセス(CBA)の一般提供開始を発表しました。この機能は、アカウントのセキュリティを強化し、組織を資格情報の盗難やCookieの盗難から保護することを目的としています。
盗まれた資格情報は、攻撃者がユーザーアカウントへの不正アクセスを取得し、情報を盗むために使用する最も一般的な攻撃ベクトルの1つです。CBAは、クラウド リソースへのアクセスを許可する前に、相互TLS(mTLS)を使用してユーザーの資格情報がデバイス証明書にバインドされていることを確認することで、セキュリティを強化します。
CBAの重要な側面の1つは、デバイス識別子としてX.509証明書を使用していることです。これにより、信頼できるデバイスのみが機密性の高いリソースにアクセスできるようになります。攻撃者がユーザーの資格情報を侵害した場合でも、対応する証明書がないため、アカウントへのアクセスはブロックされたままになります。
さらに、このセキュリティアプローチは、最初のログインを超えて拡張され、リソースへのアクセスをさらに保護するために、すべての認証リクエストを評価します。これは、正しい証明書を持つ正当なユーザーのみがアクセスできるようにする、証明書ベースのアクセス制御ポリシーによって実現されます。
さらに、CBAは、強力な鍵保護のためにTPMやOSキーストアなどの安全な暗号化ストレージを利用し、システム全体のセキュリティをさらに強化します。
結論として、Google CloudによるCBAの提供開始は、アカウントの乗っ取りを防ぎ、資格情報を保護することにより、セキュリティのもう1つの重要な層を提供します。組織は、CBAをセキュリティ戦略に組み込むことで、データ保護を強化し、ユーザーの信頼を維持することができます。
