詳細情報:
OAuth フローの有効化: クライアントログイン情報フロー制御の無効化
このセキュリティ設定により、ユーザーが介入することなく、アプリケーションが独自のログイン情報のみを使用してデータを認証およびアクセスできるようにする OAuth 2.0 許可種別が無効になります。
コントロール名
外部クライアントアプリケーション: OAuth フローの有効化: クライアントログイン情報フローの無効化
推奨設定
[クライアントログイン情報フロー] を無効にします。
制御の概要
このセキュリティ設定により、ユーザーが介入することなく、アプリケーションが独自のログイン情報のみを使用してデータを認証およびアクセスできるようにする OAuth 2.0 許可種別が無効になります。
設定されていない場合のセキュリティリスク
このフローを有効にすると、1 つのクライアントログイン情報セットが侵害されると、攻撃者は多要素認証を完全にスキップして、高い権限レベルで組織全体のデータに永続的かつ自律的にアクセスできるようになります。
脅威のシナリオ
悪意のあるアクターは、設定ファイルに保存されているプレーンテキストのクライアントの秘密にアクセスし、その秘密を使用して、期限切れにならないバックグラウンドプロセスで機密レコードをプログラムで盗み出します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
無人のマシン間認証を許可すると、個々のユーザーパスワードが変更されたり、アカウントが無効化されたりしても、アクセス権は有効なままであるため、長期的なデータ侵害の可能性が高まります。
より高いリスク
関連付けられたインテグレーションユーザーに管理者権限または複数のオブジェクトですべてのデータを変更する権限が付与されている場合。
低リスク
会社が特定のインテグレーションに厳格な IP アドレス制限を適用し、認証ハンドシェイクに共有秘密ではなく証明書を使用している場合。
ビジネスと統合に関する考慮事項
このフローを無効にすると、ユーザー主導の認証プロセスをサポートしていない自動化されたバックエンドインテグレーション、スケジュール済みデータ同期、またはサーバー側アプリケーションがすぐに切断されます。
推奨される修復
外部クライアントアプリケーションの OAuth 設定に移動し、クライアントログイン情報フローのチェックボックスがオフになっていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、静的な無人ログイン情報を排除することで、優れた可視性と継続的な検証を提供する対話型または証明書ベースの認証方法を採用して、多層防御戦略の必須ステップとして特定します。
