サンプル TMA: Enterprise Single Sign-On
このトピックでは、サンプル アーキテクチャのエンタープライズ シングル サインオン シナリオ向けの脅威モデル分析 (TMA) について説明します。
次の図は、基盤となるサンプル アーキテクチャを示し、エンタープライズ シングル サインオンのシナリオが含まれています。
図 1 エンタープライズ シングル サインオンのシナリオを含む基盤のサンプル アーキテクチャ
手順 1. 背景情報の収集 (エンタープライズ シングル Sign-On シナリオ)
このセクションでは、バックエンド ネットワークへの接続に使用する資格情報に Windows 資格情報をマップする際にエンタープライズ シングル サインオン シナリオを使用するためのデータ フロー ダイアグラム (DFD) について説明します。
その他の背景情報はすべて、すべての使用シナリオで同じであり、前述の 「サンプル シナリオの背景情報」で説明されています。
データ フロー図
次の図は、エンタープライズ シングル サインオン シナリオ用の DFD を示しています。
図 2 エンタープライズ シングル サインオン シナリオ用の DFD
データ フローは次のとおりです。
ユーザーまたはアプリケーションが Windows 資格情報を使用してログオンします。
エンタープライズ シングル サインオンが Windows 資格情報を使用して、バックエンド ネットワークの資格情報を要求します。
エンタープライズ シングル サインオンは Windows 資格情報を、SSO データベースに格納されたバックエンド資格情報にマップします。
エンタープライズ シングル サインオンはバックエンド資格情報を取得し、その資格情報を使用してユーザーまたはアプリケーションをバックエンド ネットワークに接続します。
手順 2. 脅威モデルの作成と分析 (エンタープライズ シングル Sign-On シナリオ)
このセクションでは、サンプル アーキテクチャのエンタープライズ シングル サインオン シナリオに対して実行した TMA の結果を示します。
エントリ ポイント、信頼境界、およびデータフローの識別 - 手順 1 で前述した背景情報と サンプル シナリオの背景情報を参照してください。
識別された脅威の一覧の作成 - DFD 内のすべてのエントリに対して次の分類を使用して、シナリオに対する潜在的な脅威を特定しました。 Spoofing identify、 Tampering with data、 Repudiation、 Information disclosure、 Denial of service、および Elevation of privileges。 次の表は、エンタープライズ シングル サインオン (SSO) を使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威を示しています。
表 1 特定された脅威の一覧
| Threat | [説明] | Asset | 影響 |
|---|---|---|---|
| マスタ シークレット サーバーで単一ポイントのエラーが発生する | 悪意のあるユーザーがマスタ シークレット サーバーに侵入すると、SSO コンピュータでは資格情報を暗号化できません (資格情報の暗号解読を続行できません)。 | BizTalk Server および SSO 環境 | サービス拒否 |
| 悪意のあるユーザーが、クライアントまたはサーバーを偽装できる | クライアントまたはサーバーで NTLM 認証ではなく Windows 認証が実行される場合、悪意のあるユーザーがクライアントまたはサーバーを偽装することがあります。 | BizTalk Server および SSO 環境 | ID 偽装 データの改ざん 否認 情報漏えい サービス拒否 Elevation of privileges (特権の昇格) |
| 悪意のあるユーザーが、あるサーバーから別のサーバーに移動中のデータを改ざんできる | サーバー間の通信がクリア テキストで行われていると、悪意のあるユーザーが移動中のデータを読み取る可能性があります。 | Data | データの改ざん 情報漏えい |
手順 3. 脅威の確認 (エンタープライズ シングル Sign-On シナリオ)
このセクションでは、サンプル アーキテクチャのエンタープライズ シングル サインオン (SSO) シナリオで特定された脅威に対して実行したリスク分析の結果を示します。 メイン脅威モデル会議の後、脅威を確認し、次の影響カテゴリを使用して、各脅威のリスクを特定しました:Damage potential、Reproducibility、Exploitability、Affected users、Discoverability。
次の表は、エンタープライズ シングル サインオンを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威のリスクの度合いを示しています。
表 2 特定された脅威のリスク評価
| 脅威 | 影響 | 潜在的な損害 | 再現性 | 悪用性 | 影響を受けたユーザー | Discoverability (探索可能性) | リスクの度合い |
|---|---|---|---|---|---|---|---|
| マスタ シークレット サーバーで単一ポイントのエラーが発生する | Denial of service (サービス拒否) | 2 | 3 | 2 | 1 | 2 | 2 |
| 悪意のあるユーザーが、クライアントまたはサーバーを偽装できる | ID 偽装 データの改ざん 否認 情報漏えい サービス拒否 Elevation of privileges (特権の昇格) |
3 | 2 | 2 | 2 | 1 | 2 |
| 悪意のあるユーザーが、あるサーバーから別のサーバーに移動中のデータを改ざんできる | データの改ざん 情報漏えい |
3 | 1 | 1 | 2 | 1 | 1.6 |
手順 4. 軽減手法の特定 (エンタープライズ シングル Sign-On シナリオ)
このセクションでは、サンプル アーキテクチャのエンタープライズ シングル サインオン シナリオで特定された脅威を緩和する方法について説明します。
次の表は、エンタープライズ シングル サインオンを使用したときに特定された脅威の緩和方法とテクノロジを示しています。
表 3. 緩和方法とテクノロジ
| 脅威 | 影響 | リスクの度合い | 緩和方法とテクノロジ |
|---|---|---|---|
| マスタ シークレット サーバーで単一ポイントのエラーが発生する | サービス拒否 | 2 | マスタ シークレット サーバーにアクティブ/パッシブ クラスタ構成を使用します。 マスター シークレット サーバーのクラスタリングの詳細については、「 高可用性 for Enterprise シングル サインオン」を参照してください。 |
| 悪意のあるユーザーが、クライアントまたはサーバーを偽装できる | ID 偽装 データの改ざん 否認 情報漏えい サービス拒否 Elevation of privileges (特権の昇格) |
2 | ネットワークが Kerberos 認証をサポートしている場合、すべての SSO サーバーを登録する必要があります。 マスタ シークレット サーバーと SSO データベース間に Kerberos 認証を使用する場合は、SSO データベースが存在する SQL Server コンピュータにサービス プリンシパル名 (SPN) を構成する必要があります。 サービス プリンシパル名を構成する方法の詳細については、 の Microsoft TechNet Web サイト https://go.microsoft.com/fwlink/?LinkId=61374を参照してください。 |
| 悪意のあるユーザーが、あるサーバーから別のサーバーに移動中のデータを改ざんできる | データの改ざん 情報漏えい |
1.6 | すべての SSO サーバーと SSO データベース間にインターネット プロトコル セキュリティ (IPsec) またはセキュア ソケット レイヤ (SSL) を使用します。 SSL の詳細については、 の Microsoft ヘルプおよびサポート Web サイト https://go.microsoft.com/fwlink/?LinkID=189708を参照してください。 すべての SSO サーバーと SSO データベースの間で SSL を使用する方法の詳細については、「 SSO で SSL を有効にする方法」を参照してください。 |
参照
小規模 & Medium-Sized 企業向けの脅威モデル分析サンプル アーキテクチャの脅威モデル分析サンプル シナリオ