詳細情報:
API (OAuth 設定の有効化): クライアントログイン情報フローの無効化
この制御には、JWT ベアラーフローや外部クライアントアプリケーション (ECA) などの高保証の証明書ベースの認証方法を使用する、安全でない「クライアントログイン情報」フローの無効化が含まれます。
コントロール名
接続アプリケーション: API (OAuth 設定の有効化): クライアントログイン情報フローの無効化
推奨設定
[クライアントログイン情報フロー] を無効にします。
制御の概要
この制御には、JWT ベアラーフローや外部クライアントアプリケーション (ECA) などの高保証の証明書ベースの認証方法を使用する、安全でない「クライアントログイン情報」フローの無効化が含まれます。
設定されていない場合のセキュリティリスク
これらのフローは多くの場合、「共有秘密」として機能する静的なクライアント ID とクライアントの秘密 (および場合によってはユーザーパスワード) に依存します。スクリプトでハードコードされている場合や、設定ファイルで公開されると、簡単に侵害されます。
脅威のシナリオ
攻撃者は、GitHub の公開リポジトリまたは内部ドキュメントでハードコードされたクライアントの秘密を発見し、その秘密を使用してプログラムで高権限サービスアカウントとして認証し、組織への完全な API アクセス権を取得します。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
安全でないログイン情報を使用すると、永続的で対話型のアカウント乗っ取りが発生し、攻撃者が従来の MFA の課題をトリガーすることなく大量のデータを盗取したり、システム設定を変更したりできます。
より高いリスク
クライアントログイン情報フローが「システム管理者」プロファイルまたは「すべてのデータの編集」権限を持つプロファイルに割り当てられたユーザーに関連付けられている場合。
低リスク
会社がインテグレーションユーザーに厳格なログイン IP アドレス制限を実装し、リアルタイム API 要求監視を使用して異常な大量トラフィックを検出している場合。
ビジネスと統合に関する考慮事項
これらのフローを無効にするには、証明書ベースの JWT フローを使用するように既存のミドルウェア (MuleSoft、Boomi、カスタム Python スクリプトなど) を移行する必要があります。これには、X.509 証明書の管理とクライアント側ロジックの更新が含まれます。
推奨される修復
[接続アプリケーションの OAuth 設定] に移動し、[クライアントログイン情報フローを有効化] ボックスをオフにして、デジタル証明書で JWT ベアラーフローを使用するようにインテグレーションを移行します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Reviewでは、IDセキュリティをモダナイズし、すべてのシステム間インテグレーションのZero Trustアーキテクチャに移行するために不可欠なステップとして、従来のパスワード ベースのログイン情報フローの削除が特定されます。
