詳細情報:
接続アプリケーションのセッションポリシーの管理: セッションタイムアウト制御
この制御では、アクセストークンが期限切れになり、ユーザーまたはシステムが再認証または更新トークンを使用する必要があるまで、アプリケーションセッションをアイドル状態にしておくことができる最大時間を定義します。
コントロール名
接続アプリケーション: 接続アプリケーションのセッションポリシーの管理: セッションタイムアウト
推奨設定
Timeout Value (タイムアウト値) - [1hour (1 時間)] を選択します。
制御の概要
この制御では、アクセストークンが期限切れになり、ユーザーまたはシステムが再認証または更新トークンを使用する必要があるまで、アプリケーションセッションをアイドル状態にしておくことができる最大時間を定義します。
設定されていない場合のセキュリティリスク
タイムアウト値が長い場合や無期限の場合、デバイスまたはサーバーで有効なセッションが残り、権限のないユーザーが無人のワークステーションや侵害されたモバイルデバイスを乗っ取る可能性が大幅に高まります。
脅威のシナリオ
従業員がタブレットを公共エリアに置き忘れたり、ブラウザーベースの攻撃でセッションが傍受されたりすると、セッションがタイムアウトしないため、攻撃者は数時間から数日にわたって機密データにアクセスし続けることができます。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
盗まれたトークンは長期間環境への「ライブ」鍵のままであるため、セッション有効期間が超過すると、不正なデータ漏洩が長期化し、インシデント対応が複雑になります。
より高いリスク
[セッションタイムアウト時に強制的にログアウト] が無効になっている場合、または物理的なセキュリティが保証されていない共有デバイス、公開デバイス、未管理デバイスでアプリケーションが使用されている場合。
低リスク
このアプリケーションは、ハイジャックされたセッションが別のネットワークに移行されないようにする高保証 MFA 要件と IP 制限付きログインポリシーと組み合わされています。
ビジネスと統合に関する考慮事項
タイムアウトを 1 時間に設定すると、セッションの中断が頻繁に発生するため、ユーザーエクスペリエンスに影響する可能性があります。開発者は、ユーザーがバックグラウンドトークンの更新を JAR なしでシームレスに処理できるようにする必要があります。
推奨される修復
接続アプリケーションの OAuth ポリシーに移動し、[タイムアウト値] ドロップダウンを見つけて、[1 時間] を選択し、より厳格なセッション終了を適用します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、1 時間のセッションタイムアウトが「最小権限の保持」の基準として識別されるため、高セキュリティ体制を維持するためにアクセスが頻繁に再検証されます。
