詳細情報:
OAuth ポリシーの設定: クライアントログイン情報フローポリシー制御の設定
このセキュリティ体制では、より安全なユーザーコンテキストベースの認証方法を優先するためにクライアントログイン情報フローを使用することは避けてください。
コントロール名
外部クライアントアプリケーション: OAuth ポリシーの設定: クライアントログイン情報フローポリシーの設定
推奨設定
クライアントログイン情報フローポリシーを設定します。
制御の概要
このセキュリティ体制により、すべてのデータアクセスが特定の識別可能な個人に確実に関連付けられるように、より安全なユーザーコンテキストベースの認証方法を使用するクライアントログイン情報フローの使用を避けることができます。[Client Credentials (クライアントログイン情報)] フローでは、外部クライアントアプリケーションが人の介入なしでクライアント ID と秘密を使用してアクセストークンを認証および取得する機能を管理します。
設定されていない場合のセキュリティリスク
このフローを使用すると、ユーザーレベルの認証が迂回され、バックエンドサービスアカウントが組織データセット全体への永続的な自律アクセスで操作できるようになるため、データの悪用のリスクが高まります。
脅威のシナリオ
侵害された外部サーバーは、保存されたクライアントのログイン情報を使用して、対話型ログインや多要素認証の課題なしでプログラムで大量のレコードを盗み出したり、重要なシステム設定を変更したりします。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
権限が過剰なサービス ID を使用すると、個々の説明責任が欠落し、外部クライアントアプリケーションに関連付けられた静的ログイン情報が傍受または漏洩した場合に、大規模なデータ侵害が発生する可能性があります。
より高いリスク
クライアントログイン情報フローは、広範な管理者権限を持つ実行ユーザー、またはインテグレーションに IP アドレス制限と要求レート制限がない場合に対応付けられます。
低リスク
会社が一意のデジタル証明書を使用してクライアントログイン情報フローを JWT ベアラーフローに置き換えるか、サービスアカウントを非常に絞り込まれた権限セットと特定のネットワーク範囲に制限する場合。
ビジネスと統合に関する考慮事項
このフローは自動化されたサーバー間プロセスでは実装が容易ですが、サービスアカウントのライフサイクルとそれに関連付けられた権限を管理するための厳格な内部ガバナンスプロセスが必要です。
推奨される修復
クライアントログイン情報フローから JWT ベアラーフローなどのより安全な方法に移行するインテグレーションアーキテクチャを評価し、残りのサービスアカウントが、絶対的に最低限必要なアクセス権を持つ専用の実行ユーザーに割り当てられていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、インテグレーションの使用事例に応じて、これらのポリシーを強く推奨します。これは、自動化プロセスを回避または厳格に強化することで、大規模なデータの悪用を防ぐためにバックエンドシステムが制限された ID で動作できるようにするためです。
