アイデンティティセグメンテーションとは
アイデンティティ(ユーザー:人間のアカウント、サービスアカウント、特権アカウント)は、ゼロトラストセキュリティフレームワークの重要な柱の一つです。攻撃の80%以上がユーザー認証情報を悪用しているため、境界はユーザーにより近づけるべきです。つまり、「最後の防御線」となります。
アイデンティティセグメンテーションは、アプリケーションやリソースへのアクセスをアイデンティティに基づいて制限する方法です。
アイデンティティ保護戦略策定の完全ガイド
レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、アイデンティティ保護戦略策定の完全ガイドをダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。
今すぐダウンロードアイデンティティセグメンテーションとアイデンティティベースのセグメンテーションの比較
クラウドストライクのアイデンティティセグメンテーションの定義は、Gartnerのアイデンティティベースのセグメンテーションとは異なる点に注意が必要です。クラウドストライクのアイデンティティセグメンテーションは、従業員のアイデンティティに基づいて、リスクベースのポリシーを適用し、リソースへのアクセスを制限するものです。
一方、Gartnerのアイデンティティベースのセグメンテーションは、本質的にはマイクロセグメンテーションの手法であり、「アプリケーション/ワークロードのアイデンティティ」(タグやラベルなど)に基づいてポリシーを適用します。これらは設定時に手動で定義する必要がある場合もあります。従業員のアイデンティティとは関係がありません。
アイデンティティセグメンテーションとネットワークセグメンテーションの比較
以下に、ネットワークセグメンテーションとアイデンティティセグメンテーションの機能の違いを示します。
| 役職 | ネットワークセグメンテーション | アイデンティティセグメンテーション |
|---|---|---|
| 可視性とセキュリティ制御 | ネットワーク接続およびゾーンを対象とします。 | ユーザーのアイデンティティ、攻撃経路の可視化、認証の痕跡、振る舞い、リスクを対象とします。 |
| ポリシー | ポリシーは、リソース/ワークロードに接続するワークロードのアイデンティティ、ポート、およびIPアドレスに対して適用されます。 | ポリシーは、振る舞い、リスク、100を超える分析に基づき、アイデンティティに対して適用されます。 |
| レガシーシステムの保護 | レガシーシステムの保護は難しい場合があります(例:侵害された認証情報を使用してラテラルムーブメントを開始するランサムウェア攻撃)。 | リスクベースのアイデンティティ検証(多要素認証)を拡張することにより、レガシーリソースと独自のアプリケーションを保護します。 |
| 操作可能化 | ネットワークの範囲やアプリケーションの種類、特にSaaSアプリケーションやプライベートクラウドにおいて制限があります。ゾーンの作成やポリシーの適用はさらに複雑になります。 | 場所を問わず、オンプレミスおよびSaaSアプリケーションを保護します。 |
| 連携 | アクセス制御を適用するには、脅威インテリジェンスの統合、振る舞い、その他の統合が必要です。 | オンプレミスのActive Directory (AD) またはクラウド (Entra ID) におけるすべての自動分類された従業員アイデンティティに対して、CrowdStrike Security Cloudによって提供される組み込みのリアルタイム脅威インテリジェンス、脅威検知および防御が行われます。また、APIはOkta、AD FS、PingFederateなどのSSOおよびフェデレーションソリューション、およびUEBA、SIEM、SOARなどの他のセキュリティツールと統合されます。 |
アイデンティティセキュリティに対するクラウドストライクのアプローチ
CrowdStrike Falcon® Next-Gen Identity Securityは、次の方法で、アイデンティティセグメンテーションを使用して境界を「最後の防衛線」に近づけます。
- 詳細なマルチディレクトリの可視性と、すべてのアカウントに関する継続的なインサイトを提供
- すべてのアカウント(人間のユーザー、サービスアカウント、特権アカウント、パスワードが侵害されたアカウント、古いユーザーアカウントなど)を自動分類
- 100を超える振る舞い分析から得られる個々のリスクスコアに基づいてセキュリティギャップを特定
- 攻撃パスの可視性を有効にして、偵察、ラテラルムーブメント、永続化など、キルチェーンの複数のステージにわたる脅威を検知
- セグメンテーションポリシーを適用し、アイデンティティに基づいてリソースへのアクセスを制限
ナレンドランは、CrowdStrikeのID保護およびゼロトラストの製品マーケティングディレクターです。同氏は、サイバーセキュリティのスタートアップ、およびHPやSolarWindsなどの大企業で製品マーケティングとGTM戦略の推進業務を17年以上努めてきました。以前は、CrowdStrikeが買収したPreempt Securityで製品マーケティングディレクターを務めていました。ナレンドランは、ドイツのキール大学でコンピューターサイエンスの修士号を取得しています。
