アイデンティティモニタリングの概要

クラウドサービスとハイブリッドIT環境が普及したことでアイデンティティ攻撃対象領域が拡大し、認証情報の窃取、権限の悪用、攻撃者によるラテラルムーブメントのリスクが高まっています。

ユーザーは複数のデジタルアイデンティティ（通常はSSO（シングルサインオン）対応の企業のEメールアドレス）を持っています。これらはそれぞれロールやアクセスレベルが異なり、ユーザーは異なる認証情報のセットで各アイデンティティを使用します。

システム内の各アイデンティティは組織の攻撃対象領域を増やし、攻撃者がシステムを侵害して機密データを漏洩したり、ランサムウェアをインストールするために利用する手段となります。アイデンティティベースの攻撃を防ぐためには、組織は継続的なアイデンティティモニタリングを導入して、疑わしいアクセスパターンを検知し、リアルタイムのセキュリティ制御を実施する必要があります。

この記事では、アイデンティティモニタリング、その主要コンポーネント、利点と課題、組織がデジタルアイデンティティを保護するための方法について説明します。

アイデンティティモニタリングとは

アイデンティティモニタリングとは、アイデンティティベースの脅威を検知し、不正アクセスを防ぐために、認証アクティビティ、アクセスパターン、権限の変更を継続的に分析することです。

ユーザーの認証情報を侵害した攻撃者の多くは、権限の昇格、ネットワーク内でのラテラルムーブメント、クラウドの設定ミスを悪用した永続的アクセスの取得を行います。アイデンティティモニタリングでは、このような逸脱をリアルタイムで検知し、脅威が拡大する前に阻止します。アイデンティティモニタリングは、これらの攻撃の兆候を見分けるために通常のユーザーアクティビティのベースラインを確立し、ベースラインからの逸脱が発生したときに自動応答をトリガーします。 

積極的なアイデンティティモニタリングは、次の機能によって、アイデンティティの窃取に対する保護における中心的な役割を果たします。

• 数日または数週間後の事後検証ではなく、アイデンティティの窃取や不正アクセスをその場で検出できるようにすることで、アカウント関連のリスクを軽減します。 
• 攻撃者が侵害したアカウントを利用して及ぼす可能性のある損害を食い止めることで、機密情報と重要なシステムを保護します。

主要機能

効果的なアイデンティティモニタリングソリューションは、組織が通常のユーザーの振る舞いを定義し、疑わしいアクティビティを検知し、アカウント侵害などの脅威に対処するのに役立ちます。アイデンティティモニタリングの3つの主要機能をそれぞれ詳しく見て、実際にどのように機能するかを理解しましょう。 

1：通常の振る舞いのベースラインを確立する（「パルス」の取得） 

アイデンティティモニタリングソリューションは、通常のユーザーの振る舞いのパターンを確立します。このパターンは「パルス」とも呼ばれ、脅威の兆候である可能性のある逸脱を検知するためのベースラインとして使用されます。アイデンティティモニタリングソリューションは、認証パターン、アクセス場所、デバイスの信頼レベル、権限の使用状況を分析して、振る舞いのベースラインを確立し、通常のアクティビティからの逸脱にリスクスコアを割り当てます。

2：アクセス権限と権限の変更をモニタリングする

ベースラインの確立に加え、アイデンティティモニタリングでは、アクセス権限の昇格や特権の割り当ての変更など、確立されたパルスへの変更を追跡します。これは、アクティブなアカウント関連の攻撃が発生していない場合にも役立ちます。例えば、正当な権限を持つ従業員が行った場合であっても、PCI準拠システムで機密性の高いクレジットカード情報にアクセスするためにユーザーがアイデンティティに対する権限を昇格したことを記録しておくことは重要です。

3：認証情報の不正使用やアカウント侵害の兆候を特定する

最後のアイデンティティモニタリングの主要機能は、認証情報の不正使用やアカウント侵害の兆候を検知することです。これには、ユーザーの異常なログイン時間や、ユーザーがこれまでに行ったことのない権限変更を行った場合などがあります。これらは、権限昇格攻撃の兆候である可能性があります。

アイデンティティモニタリングの4つの構成要素

組織はさまざまなアイデンティティモニタリングツールを導入することができますが、アイデンティティモニタリングソリューションが効果的であるためには、次の主要機能が備わっている必要があります。 

1. リアルタイム検知

リアルタイム検知機能は、疑わしい振る舞いが発生すると同時にアラートをトリガーします。モニタリングは、アイデンティティプロバイダーからの監査ストリームを追跡するなどして、継続的に行われます。これにより、疑わしいセッションのブロック、侵害された認証情報の取り消し、リスクの高いユーザーに対する適応型認証の適用などの応答アクションをリアルタイムで行えます。

2. 振る舞い分析 

振る舞い分析では、各ユーザーのベースラインパターンを特定し、ユーザーのログイン時刻、ユーザーのシステム滞在時間、使用されたアクセスレベルなどの、さまざまな振る舞いを追跡します。このベースラインを使用して、外れ値を特定することができます。アイデンティティモニタリングツールはこれらのパターンを使用して異常（アイデンティティがベースラインに一致しない振る舞いをした場合）を検知し、アラートを出すか、異常な振る舞いをブロックします。

3. アクセス制御と権限管理

アイデンティティモニタリングではPoLP（最小特権の原則）を使用して、不正な権限昇格を検知し、攻撃対象領域を削減し、ユーザーに必要なアクセス権のみが付与されるようにします。また、アクセス権が定期的に確認され、調整されるようにもします。IT部門はアイデンティティモニタリングによって、組織全体のユーザーアイデンティティの制御を把握、管理する能力を高めています。さらに、アイデンティティモニタリングツールは、特権/ルートレベルのアカウントに対して厳格なポリシーを適用して、特権アカウントの侵害による重大インシデントの発生リスクを軽減できます。 

4. シームレスなIAM（アイデンティティおよびアクセス管理）統合

優れたアイデンティティモニタリングツールは、IAM（アイデンティティおよびアクセス管理）システムとシームレスに統合できる必要があります。そうすることで、セキュリティチームがアカウントをロックしたり、リスクの高い振る舞いにフラグを立てたりする際に、連携の取れた対応を取ることができます。IAMシステムはITシステムへのアクセスの管理において非常に重要であり、IAM権限の設定ミスは個人情報に対する深刻な脅威となります。 

アイデンティティモニタリングのビジネス上の利点

アイデンティティモニタリングは、現代の企業セキュリティにおいて重要です。これは、他の主要なセキュリティ目標を直接補完し、現実の複数のリスクを軽減します。これには、次のような具体的な利点があります。

セキュリティポスチャの強化 

アイデンティティベースの攻撃が広く蔓延していることで、組織の間に破綻のおそれが生じています。リアルタイム検知は、攻撃者による永続化を未然に阻止し、権限の不正使用、ラテラルムーブメント、データの流出を防ぎます。異常な振る舞いを示したり、今までにない権限昇格を行うアイデンティティをロックダウンすることで、組織はこの種の攻撃に対するレジリエンスを高めることができます。 

コンプライアンスと監査への対応

GDPR、HIPAA、SOC 2のすべてに、データ保護に関連する手順と標準が定められています。アイデンティティモニタリングシステムを使用すると、アイデンティティベースの攻撃からユーザーと組織のデータを保護するための規制を遵守していることを監査人や顧客に示すことができます。アイデンティティモニタリングソリューションは、アイデンティティアクティビティログ、アクセス制御の変更、セキュリティポリシーの適用を追跡することでコンプライアンスレポートを自動的に生成し、GDPR、HIPAA、SOC 2などのフレームワークに対する監査を簡素化します。

ITおよびセキュリティ運用の合理化 

リアルタイムで動作するツールによって、各アイデンティティが実行した手順をより明確に把握できるようになるため、インシデント対応をより迅速かつ効果的に行えるようになります。アイデンティティモニタリングは、セキュリティチームの作業負荷も軽減します。アイデンティティモニタリングソリューションがなければ、セキュリティチームは監査ログを手動で確認しなければならず、セキュリティインシデントに事後対応することになります。

課題と限界

アイデンティティモニタリングは有用ですが、セキュリティの万能薬ではありません。このセクションでは、アイデンティティモニタリングの有効性を低下させる可能性のある一般的な課題と制限について見ていきます。 

フォールスポジティブとフォールスネガティブ

アイデンティティモニタリングには課題があるため、組織は慎重にツールを選択する必要があります。フォールスポジティブとフォールスネガティブが大量に発生すると、ツールの信頼性が低下するおそれがあります。組織は、適切なバランスになるようアラートの感度と精度を調整する必要があります。AIを活用した分析を行うと、リスク検知モデルを継続的に改良して、フォールスポジティブを削減するとともに、新たなアイデンティティ脅威の検知を向上させることができます。

スケーラビリティの問題

組織のITインフラストラクチャが拡大するにつれ、さまざまなシステム（マルチクラウド、オンプレミスなど）にわたってモニタリングする必要があるアイデンティティの量も増加しています。アイデンティティモニタリングソリューションは、複雑な環境で大量のデータを処理できる必要があるため、ツールも組織のニーズに合わせてスケーリングします。そうすれば、組織の成長に伴ってツールを切り替えたり、学習し直したりしなくて済むようになります。

統合の複雑さ

アイデンティティモニタリングツールでは、統合も複雑になります。最新のアイデンティティセキュリティソリューションは、IAM、EDR（エンドポイント検知・対応）、SIEMプラットフォームとネイティブに統合され、ハイブリッド環境とマルチクラウド環境にわたり完全な可視性を確保します。そうでない場合、結局セキュリティチームは使用できず、組織にとっても役に立たないデータのサイロが残されることになります。

この問題を解決するには、複雑な統合に対処し、組織で使用するあらゆる種類のアイデンティティに対応できるツールが必要です。

クラウドストライクでデジタルアイデンティティを保護

アイデンティティベースの攻撃は増加の一途を辿っており、攻撃者は盗んだ認証情報や多要素認証バイパス技術を使用して組織に侵入しています。プロアクティブなアイデンティティモニタリングは、これらの脅威が拡大する前に検知して阻止します。アイデンティティモニタリングソリューションは、IAMシステムおよびアクセス制御と連携して攻撃を特定し、脅威を軽減しながら、ユーザーの振る舞いをリアルタイムで分析してシステムを保護します。 

CrowdStrike Falcon® Next-Gen Identity Securityは、デジタルアイデンティティを大規模に保護するために、リアルタイムのアイデンティティ脅威検知、プロアクティブなリスク軽減、および自動応答機能を提供し、侵害された認証情報が攻撃者によって悪用されることを未然に防ぎます。ITシステム全体の可視性を強化し、アイデンティティや特権レベルに関連する異常を検知し、デジタルアイデンティティで使用される認証情報を保護します。さらにCrowdStrike Falcon® Next-Gen Identity Securityは、既存のセキュリティインフラストラクチャとシームレスに統合されるため、最小限の中断で稼働でき、防御とセキュリティポスチャを強化できます。