ISPM（アイデンティティセキュリティポスチャ管理）とは

ISPM（アイデンティティセキュリティポスチャ管理） は、組織のアイデンティティインフラストラクチャのセキュリティポスチャを強化、維持し、侵害を防ぐためのフレームワークです。ISPMでは、エコシステム全体にわたってアイデンティティ、アクセス権、認証プロセスを継続的に監視および分析します。これにより、アイデンティティのリスクプロファイルに関するインサイトを得ることができ、そのリスクを排除するための具体的なガイダンスを得ることができます。ISPMは、アイデンティティベースの攻撃を未然に防ぐための、セキュリティに対するプロアクティブなアプローチです。

ISPMが対処するセキュリティの課題について

アイデンティティセキュリティポスチャの管理は、ますます複雑化しています。アイデンティティ環境は、ITインフラストラクチャやマルチクラウドアーキテクチャにまたがり、複数のアイデンティティストアが含まれています。アイデンティティは単にユーザーだけを指すのではなく、マシン、サービスアカウント、ワークロードなども含まれます。アイデンティティ環境全体をエンドツーエンドで可視化できなければ、組織のセキュリティポスチャを正確に把握することは困難です。

適切に管理されていないアイデンティティは、攻撃者にとって格好のエントリポイントとなり、組織の重要なリソースへ迅速かつ容易にアクセスされる可能性があります。Gartnerによると、ISPMフレームワークを支援する予防的なセキュリティ制御によって、設定ミスや脆弱性、リスクエクスポージャーを未然に防ぐことが可能だとされています。

設定ミス

設定ミスは、組織を攻撃者の標的にしやすくし、侵害のリスクを高める原因となります。よくある設定ミスには、アカウントに過剰な権限を付与してしまうこと、アイデンティティのライフサイクル管理の不備、そしてMFA（多要素認証）の不適切な実装などが含まれます。

• クラウドストライクは、2023年のグローバル脅威レポートにおいて、侵入の10件中8件が、侵害されたアイデンティティや盗まれた認証情報を使用していると報告しています。

設定ミスを防ぐには、すべてのアカウントが適切にプロビジョニングされていることを確認する必要があります。デフォルト設定を避け、IAM（アイデンティティおよびアクセス管理） の制御を設定して、設定の不審な変更について継続的に監視します。

脆弱性

90％の組織が利用しているActive Directoryは、従来の技術であり、本質的に攻撃に対して脆弱です。アイデンティティストアに存在する一般的な脆弱性は、Pass-the-Hash (PTH) 攻撃などによってエクスプロイトされ、ラテラルムーブメントの手段となります。また、組織のアイデンティティインフラストラクチャに侵入することを目的としたさまざまな攻撃も存在します。

• 50%の組織が過去2年間にActive Directoryへの攻撃を経験しています。
• 2023年には、Kerberoasting攻撃が前年比で583％増加しました。

パスワードや条件付きアクセス制御など、アイデンティティの衛生状態を改善するための積極的な対策を講じることで、アイデンティティに起因する脆弱性に対応します。また、ISPMフレームワークに対応したアイデンティティソリューションを使用してセキュリティを強化することも検討できます。

リスクエクスポージャー

不要または過剰なアクセス権を削除することで、アイデンティティに関連する攻撃対象領域を全体的に削減します。これは、休眠パスワードを持つ休眠状態のアカウントなど、アカウント乗っ取りのリスクが高いアカウントへの対策にもつながります。さらに、最小特権アクセスを実装することで、ユーザー、アカウント、プロセスが業務上必要なリソースのみにアクセスできるように制限することを検討してください。

ISPM実装に欠かせない5つの要素

ISPMを実装する際に押さえておくべき5つの要素は、次のとおりです。

1. 包括的なアイデンティティの可視性

アイデンティティの環境は複雑で、クラウド、オンプレミス、ハイブリッドといった環境にまたがっています。そのため、場所を問わず、すべてのユーザーやアカウント（人間またはサービス）、アクセス権、設定に対してアイデンティティの可視性を確保することが重要です。

2. リスク評価

組織は、定期的にリスク評価を実施して、アイデンティティ管理システムに潜む脆弱性を特定し、それらのリスクを軽減するための措置を講じることができます。リスク評価には、アイデンティティセキュリティのギャップの発見、侵害された認証情報や影響を受けたアカウントの特定、攻撃者がエクスプロイト可能な攻撃経路の把握などが含まれます。

3. 継続的モニタリング

組織が自社のアイデンティティセキュリティポスチャをより深く理解できるようになると、ユーザーおよびデバイスの通常のアクティビティに関するベースラインを作成できます。これにより、組織はユーザーやデバイスを継続的に監視および分析し、潜在的なセキュリティ脅威を示す異常なアクティビティや不審な振る舞いを特定できます。

4. 多要素認証

ISPMでは、認証プロセスに追加のセキュリティ層を加えるために多要素認証の使用を推奨しています。MFA（多要素認証）では、ユーザーが複数の認証要素、例えば「知っている情報（パスワード）」と「所持しているもの（モバイルデバイス）」を提供する必要があります。MFA（多要素認証）によって、組織の重要なリソースへの条件付きアクセスが可能になります。

5. CIEM（クラウドインフラストラクチャエンタイトルメント管理）

アイデンティティセキュリティポスチャは、組織内でユーザーが持つ制御やアクセス権にとどまりません。組織は、クラウドベースの環境に対応できる追加のセキュリティ層を必要とします。CIEMは、組織がすべてのクラウドインフラストラクチャリソースにわたってエンタイトルメントを管理するのに役立ちます。これにより、クラウドリソースへの過剰な権限の非意図的でチェックされていない付与から生じるリスクが軽減されます。

包括的なアイデンティティセキュリティ

現在のアイデンティティセキュリティポスチャは、リソースとアプリケーション、人とマシン、クラウド環境とオンプレミス環境などにまたがっています。この複雑さにより、アイデンティティは攻撃者にとって非常に魅力的な標的となっています。攻撃が成功すれば、攻撃者は組織の最も重要なリソースへと迅速にアクセスする道を切り開くことができます。

企業は、アイデンティティベースの攻撃から身を守るために、包括的なアプローチを検討する必要があります。アイデンティティセキュリティの重要な要素には、ISPM、CIEM、そしてITDR（アイデンティティ脅威検知・対応） が含まれます。GartnerはITDRを「アイデンティティシステムを防御するためのツールとベストプラクティスの集合体」と定義しています。ITDRツールは、アイデンティティシステムを保護し、侵害された際に検知し、迅速な修復を可能にします。

複数のアイデンティティセキュリティ層を追加することで、組織は侵害から自身を守る能力を高めることができます。さらに、統合されたアイデンティティセキュリティソリューションは、コスト削減、運用効率の向上、脅威の迅速な修復など、ビジネス価値の向上にも貢献します。

クラウドストライクのアプローチ

CrowdStrike Falcon®プラットフォームは、ISPM、CIEM、ITDRといったセキュリティフレームワークを単一の場所でサポートする、完全に統合されたソリューションです。クラウドストライクは、アイデンティティベースの攻撃に対する包括的なリアルタイムの保護を提供します。シンプルで軽量なセンサーを備えたFalconプラットフォームは、アイデンティティおよび設定データをすべて収集、分析し、アイデンティティ環境全体を即座に可視化します。

Falconプラットフォームは、次の方法でISPMフレームワークをサポートします。

• アイデンティティエコシステム全体で可視性と最小特権の適用を統合する
• 潜在的なリスクを強調し、アイデンティティインフラストラクチャ内で攻撃者がエクスプロイトする可能性のあるアイデンティティベースの攻撃経路に関する重要なインサイトを提供する
• アイデンティティストア（Active Directoryを含む）の健全性や、侵害された可能性のある認証情報を即座に可視化することで、セキュリティの脆弱性を排除する
• マルチクラウドの権限管理を簡素化し、アイデンティティベースの脅威を継続的に検知して防止する
• アイデンティティの攻撃の痕跡 (IOA) と設定ミスの痕跡 (IOM) を検知して修復する
• アイデンティティ、エンドポイント、クラウド全体の脆弱性を単一のプラットフォームから修正することで、脅威への対応を迅速化する
• アイデンティティ全体にわたるコンプライアンス要件とセキュリティポスチャを満たす