What does ITDR stand for?

Identity Threat Detection and Response

What is ITDR in cybersecurity?

Identity Threat Detection and Response (ITDR) is a cybersecurity framework designed to detect, investigate, and mitigate identity-based attacks in real-time. ITDR continuously monitors user activity, analyzes access patterns, and responds to identity threats, such as compromised credentials, privilege escalation, and lateral movement.

What is the difference between ITDR and EDR?

ITDR and Endpoint Detection and Response (EDR) complement each other but focus on different aspects of security. EDR monitors endpoints (laptops, workstations, servers) to detect malware, exploits, and system-level attacks. In contrast, ITDR monitors identity-related activity to detect credential abuse, privilege escalation, and unauthorized access attempts.

What is the difference between ITDR and IAM?

ITDR solutions detect and respond to attacks by continuously monitoring user activity, detecting unusual behavior, and alerting security teams. They also provide centralized visibility and control over all assigned user identities and privileges and can be integrated with existing identity and access management (IAM) tools to streamline and ease the complexity of user management in an ever-evolving environment.

What should be considered when implementing ITDR?

Must-haves for an ITDR solution include real-time identity visibility, proactive control, and risk-based control.

What is CrowdStrike ITDR?

Falcon ITDR applies adversary intelligence to detect credential abuse techniques. This allows organizations to automate identity-based threat containment before attackers escalate their privileges or establish persistence. By unifying endpoint and identity telemetry, the platform provides real-time correlation of threats with the combination of threat intelligence and adversary tradecraft.

ITDR（アイデンティティ脅威検知・対応）の解説

Ryan Terry - 3月 13, 2025

ITDR（アイデンティティ脅威検知・対応）とは

ITDR（アイデンティティ脅威検知・対応）は、アイデンティティベースの攻撃をリアルタイムで検知、調査、軽減するように設計されたサイバーセキュリティフレームワークです。ITDRは、ユーザーアクティビティを継続的にモニタリングし、アクセスパターンを分析し、認証情報の侵害、権限昇格、ラテラルムーブメントなどのアイデンティティの脅威に対応します。従来のセキュリティソリューションとは異なり、ITDRはアイデンティティに特化した可視性とリアルタイムの対応を可能にし、攻撃者が侵害された認証情報を悪用してラテラルムーブメントするのを阻止します。

この記事では、ITDR、ITDRが対処するセキュリティの課題、デバイスベースのセキュリティソリューションであるEDR（エンドポイント検知・対応）とITDRの違いについて説明します。

アイデンティティ保護戦略策定の完全ガイド

レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、アイデンティティ保護戦略策定の完全ガイドをダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。

今すぐダウンロード

ITDRが重大な理由：アイデンティティベースの攻撃による脅威の増大

現代のアイデンティティベースの攻撃は、組織にとって深刻な脅威となります。それは多くの場合、財務的、法的、レピュテーションの損失につながります。これらの課題に対処することは、非常に困難です。

現代の攻撃は高速化し、巧妙さを増している

悪意のあるアクターは、技術の進化に対応するために、攻撃のレパートリーを増やしています。アイデンティティベースの攻撃の速度と巧妙さは、従来のセキュリティツールを上回っています。攻撃者は今や、多要素認証バイパス手法、盗まれたCookie、クレデンシャルスタッフィングを使用して、わずか数分で組織に侵入します。

クラウドストライク2025年版グローバル脅威レポートでは、次のように述べられています。

アクセスブローカーの活動が50%増加
2024年には音声フィッシング（ビッシング）が442%増加
サイバー犯罪者の平均ブレイクアウトタイムは48分で、最速記録は51秒
観測された脆弱性の52%は初期アクセスに関連するもの

クラウドストライク
2025年版
グローバル脅威
レポート

必読の年次サイバーセキュリティレポートをご覧ください。

ダウンロード

ますます複雑化する環境とアイデンティティの状況

さらに、リモートワークとクラウド技術が組み合わされることで、攻撃対象領域管理が大幅に複雑になっています。

マルチクラウドアーキテクチャと複数のIDストアの複雑さにより、サイバー攻撃の検知と防御はより困難になり、エンドツーエンドの可視化が低下しています。
Fortune 1000組織の90％が、攻撃に対して脆弱なレガシー技術であるAD (Active Directory) を未だに使用して、アイデンティティインフラストラクチャを管理しています。攻撃者はオンプレミスからクラウドインフラストラクチャにラテラルムーブメントできるため、ADは攻撃可能な標的になります。複雑な環境により、定期的なユーザー監査の実行や、アイデンティティストアの潜在的なギャップの特定が困難になっています。

これにより、クラウド環境の可視性が低い組織は、非常に脆弱になります。

ITDRソリューションはユーザーアクティビティを継続的にモニタリングし、異常な振る舞いを検知し、セキュリティチームに警告することで攻撃を検知し、それらに対応します。ITDRソリューションは、すべての割り当てられたユーザーのアイデンティティや権限を一元的に可視化して制御できます。また、既存のIAM（アイデンティティおよびアクセス管理）ツールと統合することで、常に進化する環境での複雑なユーザー管理を合理化し簡素化できます。

ITDRとEDRの違い

ITDRとEDR（エンドポイント検知・対応）は相互に補完しますが、セキュリティの異なる側面に重点を置いています。EDRは、エンドポイント（ラップトップ、ワークステーション、サーバー）をモニタリングして、マルウェア、エクスプロイト、システムレベルの攻撃を検知します。一方、ITDRはアイデンティティ関連のアクティビティをモニタリングして、認証情報の悪用、権限昇格、不正アクセスの試みを検知します。

ITDRはユーザーアクティビティとアクセス管理ログをモニタリングして分析し、悪意のあるアクティビティにフラグを付けます。オンプレミスやクラウドなど複数のIAMソースからデータを収集します。一方、EDRはワークステーションやノートパソコンなどのエンドポイントデバイスをモニタリングして分析します。したがってこの手法では、システムログとネットワークトラフィックを収集して、組織の装置内で悪意あるアクティビティを検知します。

ITDRとEDRを併せて使用することで、総合的なセキュリティアプローチが生まれます。EDRシステムがエンドポイントで疑わしいアクティビティを検知すると、ITDRは侵害された認証情報、ラテラルムーブメント、特権の不正使用のいずれによって脅威が発生したのかを判別できるようにして、セキュリティチームが攻撃チェーンの全貌を理解するのを助けます。攻撃者がエンドポイントデバイスを介してネットワークにアクセスするシナリオでは、EDRソリューションはそのデバイスで疑わしいアクティビティを検知することになります。したがって、攻撃者がアクセス権を入手した方法と、それが認証情報の漏洩によるものかどうかを理解することが重要です。

一方、ITDRソリューションは、潜在的なID関連の脅威に関する詳細なインサイトを提供します。ITDRは悪意のあるアクティビティで使用された認証情報と認定ユーザーの認証情報の一致をすばやく判断できます。この可視性のレベルは、攻撃の根本原因を明らかにし、セキュリティ対策を強化して、将来同様のインシデントの発生を防止する機会を提供します。

ITDRとEDRの機能を組み合わせることで、組織は高度な侵害やラテラルムーブメントの試行の検知や対応を大幅に向上させることができます。

ITDRソリューションの必須項目

アイデンティティベースの侵入、特権の悪用、クラウドセキュリティの脅威の急増により、ITDRは現代のセキュリティアーキテクチャにとって重要な要素となっています。このため、このような攻撃を検知して防御したい組織は、そのニーズに適合したソリューションが必要です。

この点を考慮し、ITDRソリューションに関する3つの要素を見ていきましょう。

1. 継続的な可視性

リアルタイムのアイデンティティの可視化は、攻撃者が永続化する前にアイデンティティの脅威を阻止するために不可欠です。ITDRソリューションでは、ハイブリッドクラウドおよびオンプレミス環境全体で認証アクティビティ、ユーザーの振る舞い、権限昇格の試みを関連付ける必要があります。このため、ITDRソリューションは複数のソースからデータを常時集約し、脅威分析を実行します。

潜在的なセキュリティの脅威を特定するには、このアクションでは次の組み合わせを利用する必要があります。

ID分析
機械学習
振る舞い分析技術
異常検知

潜在的な脅威を特定する場合、ダッシュボードからの迅速な分析も重要な役割を担います。

2. プロアクティブな制御

アイデンティティベースの脅威の急速な進化を受け、リアルタイムで自動的に対応できるITDRソリューションが求められています。ITDRは疑わしいアクティビティを検知すると、直ちにアクセスを取り消し、危険なセッションを終了し、ラテラルムーブメントをブロックするか、リスクの重大度に応じてステップアップ認証を要求する必要があります。

3. リスクベースの制御

セキュリティソリューションで生成されたすべてのアラートが利用できるとは限りません。アラート対応疲れは、同様のアラートのバックログで遅延や脅威の喪失につながる可能性のある重大な結果をもたらします。

ITDRソリューションは、フォールスポジティブを認識し、特定の攻撃に関連付けられたリスクに市がたって優先順位を付ける必要があります。また、インフラストラクチャを定期的に攻撃する攻撃タイプを認識し、そのタイプに応じて脅威レベルを分類する必要もあります。

CrowdStrike Falcon® Identity Protection ITDR module data sheet cover

CrowdStrike Falcon® Identity Protection - ITDRデータシート

このデータシートをダウンロードして、クラウドストライクのITDRモジュールを使用してアイデンティティセキュリティポスチャを強化し、アイデンティティベースの攻撃をリアルタイムで阻止する方法をご確認ください。

クラウドストライクのITDRデータシートをダウンロード

クラウドストライクのアプローチ

CrowdStrike Falcon®プラットフォームは、アイデンティティ脅威をリアルタイムに検知して防ぐ業界唯一の統合ソリューションです。セキュリティギャップがあると攻撃者による認証情報のエクスプロイト、ラテラルムーブメント、検知の回避が可能になりますが、FalconはITDRとEDRを組み合わせることでそうしたセキュリティギャップを排除します。スタンドアロンのIAMやEDR（エンドポイント検知・対応）ソリューションとは異なり、FalconのITDRは攻撃者のインテリジェンスを適用して、ゴールデンチケット攻撃、Pass the Hash、多要素認証バイパスの試行といった認証情報の悪用手法を検知します。攻撃者が権限の昇格や永続性の確立を行う前に、アイデンティティベースの脅威の封じ込めを自動化できます。エンドポイントとアイデンティティのテレメトリを統合することで、プラットフォームは脅威インテリジェンスと攻撃者の手口の組み合わせと脅威のリアルタイムの相関関係を提供します。

攻撃経路を完全に可視化することで、CrowdStrikeは、マルウェアの配信、ファイルレス攻撃、認証情報の盗難、侵害されたIDなど攻撃者ツールキットのあらゆる側面に対応します。

クラウドストライクは、お客様の環境の任意の場所に展開できる単一センサーを備えたクラウドネイティブソリューションを作成しており、（エンドポイントまたはアイデンティティからの）テレメトリ収集を大幅に簡素化できます。CrowdStrike Falcon® Next-Gen Identity Securityは、CIEM（クラウドインフラストラクチャエンタイトルメント管理）を統合して、設定ミスによるクラウド権限、不正なAPIアクセス、過剰な権限を検知することで、従来のIAMを超えてセキュリティを拡張し、エンドツーエンドのアイデンティティ保護を実現します。

ITDRに関するFAQ

Q：ITDRとは何の略ですか？

A：アイデンティティ脅威検知・対応です。

Q：サイバーセキュリティにおけるITDRとは何ですか？

A：ITDR（アイデンティティ脅威検知・対応）は、アイデンティティベースの攻撃をリアルタイムで検知、調査、軽減するように設計されたサイバーセキュリティフレームワークです。ITDRは、ユーザーアクティビティを継続的にモニタリングし、アクセスパターンを分析して、認証情報の侵害や権限昇格やラテラルムーブメントといったアイデンティティの脅威に対応します。

Q：ITDRとEDRの違いは何ですか？

A：ITDRとEDR（エンドポイント検知・対応）は、相互に補完し合いますが、セキュリティの異なる側面に重点を置いています。EDRは、エンドポイント（ラップトップ、ワークステーション、サーバー）をモニタリングして、マルウェア、エクスプロイト、システムレベルの攻撃を検知します。一方、ITDRはアイデンティティ関連のアクティビティをモニタリングして、認証情報の悪用、権限昇格、不正アクセスの試みを検知します。

Q：ITDRとIAMの違いは何ですか？

A：ITDRソリューションはユーザーアクティビティを継続的にモニタリングし、異常な振る舞いを検知して、セキュリティチームに警告することで攻撃を検知して対応します。割り当てられたすべてのユーザーのアイデンティティや権限を一元的に可視化して制御できるほか、既存のIAM（アイデンティティおよびアクセス管理）ツールと統合することで、常に進化し続ける環境での複雑なユーザー管理を合理化および簡素化できます。

Q：ITDRを実装する際に考慮すべきことは何ですか？

A：ITDRソリューションに必須の要素として、リアルタイムのアイデンティティ可視化、プロアクティブな制御、リスクベースの制御などがあります。

Q：クラウドストライクのITDRとは何ですか？

A：Falcon ITDRは、攻撃者のインテリジェンスを適用して、認証情報の悪用手法を検知します。攻撃者が権限の昇格や永続性の確立を行う前に、アイデンティティベースの脅威の封じ込めを自動化できます。エンドポイントとアイデンティティのテレメトリを統合することで、プラットフォームは脅威インテリジェンスと攻撃者の手口の組み合わせと脅威のリアルタイムの相関関係を提供します。

ライアン・テリーは、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、アイデンティティセキュリティを担当しています。サイバーセキュリティの分野で10年以上のプロダクトマーケティングの経験を持ち、以前はSymantec、Proofpoint、Oktaに勤務していました。ブリガムヤング大学で経営学修士号 (MBA) を取得しています。

ITDR（アイデンティティ脅威検知・対応）の解説

ITDR（アイデンティティ脅威検知・対応）とは

アイデンティティ保護戦略策定の完全ガイド