休眠状態の特権ユーザー

休眠状態のユーザーとは、指定された期間 (デフォルトでは 90 日間、オプションによりカスタマイズ可能)、サインインが実行されていないために非アクティブになっているユーザーアカウントのことです。

休眠状態のユーザーは、次のセキュリティリスクと運用の複雑化をもたらす可能性があります。

• アカウントのパスワードが弱い場合、または変更されていない場合、攻撃者の標的となる可能性があり、侵害を誘発します。たとえば、CISA アラートは次のように報告しています。

キャンペーンは、被害を受けた組織でもう働いていないもののシステムにアカウントが残っているユーザーの休眠アカウントも標的にしています

• 潜在的な脆弱性を生み出すことにより、組織のアタックサーフェスが増大します。たとえば、同じ CISA アラート は次のように報告しています。

インシデント中のすべてのユーザーに対する強制パスワードリセットの後に、SVR 攻撃者が非アクティブアカウントにログインし、パスワードをリセットする指示に従っている様子も観察されました。これにより、攻撃者はインシデント対応の撤退アクティビティ後もアクセスを再取得することができました。

• このアカウントを使用したことのない元従業員や元インターンなど、アクセス権を必要としなくなった個人へのアクセス権付与。
• ライセンスなどのリソースの浪費。休眠状態のユーザーを定期的に特定、非アクティブ化、または削除することで、組織はリソース割り当てを最適化し、不要なコストを削減できます。

関連 IoE [使用されたことがない特権ユーザー] も考慮してください。この IoE は、事前作成されたものの 1 度も使用されていないすべてのユーザーを特定します。 特権ユーザーの場合、リスクが高くなります。非特権ユーザーについては、関連する IOE [休眠状態の非特権ユーザー] も参照してください。

注意: IOE は、既知の制限がある lastLogin プロパティに依存します: Okta は、ユーザーが Okta ダッシュボードにアクセスする時にのみこの値を更新します。そのため、SP が開始する認証、たとえば、ユーザーがアプリケーションに直接アクセスし、認証のために Okta に一時的にリダイレクトされる場合などについては、このプロパティを更新しないでください。このため、IOE は、Okta ダッシュボードにアクセスしたことのないユーザーが正常にアプリケーションに対して認証された場合に誤検出を報告する可能性があります。Okta は 回避策を文書化していますが、現在 Tenable Identity Exposure との互換性はありません。そのため、これらの誤検出を手動で除外する必要があります。

Tenable では、休眠状態のユーザー (特に特権ユーザー) を定期的に確認し、無効化または削除することを推奨しています。それらを特定したら、次のアクションを実行してください。

1. 無効化します。
2. 数か月など十分な期間、待機して意図しない影響が生じないことを確認します。
3. この期間を経て、問題が報告されず、かつ組織の情報セキュリティポリシーで許可されている場合は、削除します。

名前: 休眠状態の特権ユーザー

コード名: DORMANT-PRIVILEGED-USER-OKTA

深刻度: Medium

タイプ: Okta Indicator of Exposure