詳細情報:
OAuth フローの有効化: JWT ベアラーフロー制御の有効化
このセキュリティ設定により、証明書ベースの OAuth 2.0 フローが有効になり、静的な共有秘密を使用する代わりに、非公開鍵を使用して JSON Web トークン (JWT) に署名することでアプリケーションを認証できます。
コントロール名
外部クライアントアプリケーション: OAuth フローの有効化: JWT ベアラーフローの有効化
推奨設定
[JWT ベアラーフロー] を有効にします。
制御の概要
このセキュリティ設定により、証明書ベースの OAuth 2.0 フローが有効になり、静的な共有秘密を使用する代わりに、非公開鍵を使用して JSON Web トークン (JWT) に署名することでアプリケーションを認証できます。
設定されていない場合のセキュリティリスク
JWT ベアラーフローを使用しない場合、多くの場合、インテグレーションでは、クレデンシャルスタッフィング、ブルートフォース攻撃、ソースコードやログの偶発的な公開に対して脆弱な、安全性の低いパスワードベースまたは秘密ベースの方法が使用されます。
脅威のシナリオ
攻撃者はプレーンテキストのクライアントの秘密を傍受または発見し、その秘密を使用して API への永続的な接続を確立します。一方、JWT ベースのシステムでは、攻撃者は厳重に保護された非公開鍵ファイルを所有する必要があります。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
侵害された秘密はデジタル証明書よりも検出と循環が困難であるため、非対称暗号化ではなく静的秘密に依存すると、長期的なデータ侵害の可能性が高まります。
より高いリスク
インテグレーションユーザーに高度な管理権限があり、接続がパブリックまたは未管理ネットワークセグメントを介して確立されている場合。
低リスク
組織がすでに堅牢な鍵管理サービスを使用して非公開鍵を保護し、すべての受信 JWT 署名要求に厳格な IP 許可リストを適用している場合。
ビジネスと統合に関する考慮事項
このフローを実装するには、開発者がデジタル証明書を管理し、トークンに署名するためのローカルコードを実装する必要があります。これにより、単純な秘密ベースの認証よりも複雑さが増します。
推奨される修復
外部クライアントアプリケーションの OAuth 設定に移動し、有効なデジタル証明書をアップロードして、JWT ベアラーフローを有効にするチェックボックスをオンにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review では、ログイン情報を簡単にコピーまたは傍受できないように、マシン間認証に非対称暗号化が使用されていることが高セキュリティ環境の必須標準として識別されます。
