ITDR（Identity Threat Detection and Response）とは?

ITDR（Identity Threat Detection and Response）とは、ユーザー ID と ID ベースのシステムをサイバー脅威から保護することに重点を置いた、最先端のサイバーセキュリティ・ソリューションです。ITDR には、セキュリティツール、プロセス、およびベストプラクティスを組み合わせて、ID（アイデンティティ） 脅威に効果的に備え、検出し、対応することが含まれています。

IDは新しいセキュリティ境界線と言われています。なぜなら、ネットワーク、エンドポイント、その他すべてのデバイスのセキュリティが万全であったとしても、サイバー攻撃者は1つの管理アカウントにアクセスするだけで、企業のリソースを侵害することができるからです。このため、ガートナー社は、ITDRを2022年のセキュリティとリスクマネジメントのトップトレンドの1つに選びました。

ITDR は、EDR（エンドポイント検出と応答）、XDR（拡張検出と応答）、NDR（ネットワーク検出と応答）、PAM（特権アクセス管理）システムなどの他のセキュリティソリューションに隣接するセキュリティカテゴリーです。それらのシステムの重要なセキュリティ上の貢献にもかかわらず、多くの ITDR 機能は、従来の EDR、XDR、および PAM 製品から大きく逸脱しています。

ITDR システムの必要性を理解するには、なぜ IDがセキュリティソリューションの独自のカ テゴリーに値するのかについての理解が必要です。そして、完全な ITDR システムには、ID と ID システムを保護するために特別に設計された、包括的な脆弱性と脅威の検知および対応機能が含まれます。

より具体的には、ITDR システムは以下の ID 中心のセキュリティ管理をサポートする必要があります。

• 組織のActive Directory環境のセキュリティ状態を評価するための構成、ポリシー、IDデータの分析
• 攻撃パスの管理と影響分析
• リスクスコアリングと修復の優先順位付け
• IDを中心とした侵害の指標となる実行時動作のリアルタイム監視
• 機械学習や分析による異常な動作やイベントの検知
• 自動化された修復とインシデント対応
• ダッシュボード、アラート、レポート、検索、インシデント管理
• SIEM（セキュリティ情報イベント管理）、XDR（拡張検出と応答）、SOAR（セキュリティオーケストレーション、自動化、対応）ツールとの統合
• 多要素認証（MFA）ソリューションとの統合により、リスクイベントに対応したステップアップ認証を実現
• PAM（特権アクセス管理）ツールとの統合により、高度な管理者アカウントの適用範囲のギャップを発見
• 追加製品（プロバイダー向け）やサードパーティツールとのリスクシグナルの共有により、セキュリティ担当者がリスク情報に基づいたより適切な意思決定をできるようサポート

ITDRの出現は、組織が従来エンドポイント、ネットワーク、システム、アプリケーションに適用してきたのと同じレベルの管理とコントロールがIDに必要なことを浮き彫りにしています。IDがサイバー攻撃の主要な攻撃対象となっている今、ITDRはかつてないほど重要になってきています。

サイバーセキュリティの状況においてより広く知られている ITDR の前身、IAM（IDおよびアクセス管理）は、情報システムやアプリケーションへのユーザーアクセスを管理および制御するために使用されるプロセスとテクノロジーを指します。IAM ソリューションは、ユーザーがそれぞれの役割と責任に基づいて適切な権限とアクセスレベルを持つことを保証するのに役立ちます。IAMは、機密データやシステムへの不正アクセスのリスクを最小限に抑え、データ漏洩やその他のサイバー攻撃のリスクを低減します。

ITDR は、ユーザー ID とアクセスに関連するセキュリティの脅威と脆弱性を検知、対応し、備えるために、より深いアプローチを取ります。ITDR は、機密情報およびシステムへのアクセスを制御および監視するための IAM フレームワークを拡張するため、IAM システムを補完する重要なものです。最も効果的なサイバーセキュリティ戦略には、以下のID指向のセキュリティ管理も組み合わせられています。

• 多要素認証： MFA は、システムまたはアプリケーションにアクセスするために、複数の本人確認形式を提供することをユーザーに要求します。たとえば、機密情報にアクセスするために、ユーザーはパスワードだけでなく、個人のモバイルデバイスに送信される6桁の暗証番号の提示を求められることがあります。
• 役割ベースのアクセス制御： IAMの基本的な要素、役割ベースのアクセス制御では、組織内での役割と責任に基づいてユーザーにアクセスレベルを割り当てます。例えば、若手社員は機密データへのアクセスを制限されるかもしれませんが、上級管理職はより多くのデータや関連システムへのアクセスを許可されるかもしれません。
• PAM（特権アクセス管理）： 役割ベースのアクセス制御と同様に、ユーザーには組織の役割と職務に基づいて一定の権限が割り当てられます。IAMの特殊なサブセットではありますが、進行中の内部脅威への対応には欠点があります。
• 継続的モニタリング： このセキュリティ規律は、ユーザーの行動をリアルタイムで監視し、異常な行動を検知することを中心としています。例えば、通常と異なる時間や場所でシステムにアクセスしようとするユーザーは、セキュリティ上の脅威を示す可能性があります。
• 脅威対応計画： このプロアクティブな対策では、セキュリティ上の脅威に迅速かつ効果的に対応するための行動計画を策定します。これにより、セキュリティ侵害の影響を最小限に抑え、さらなる被害のリスクを低減することができます。

上記の対策に加えて、IAMの原則は、監査証跡とユーザーアクティビティログを提供することで、ITDRを強化するために活用することも可能です。これらのログは、セキュリティ上の脅威を示す可能性のある異常な行動を検知するために使用できます。例えば、あるユーザーがアクセス権限のないリソースにアクセスしようとした場合、IAMはこの行動を記録し、さらに調査するよう調査官に警告できます。

サイバー攻撃の頻度と巧妙さが増す中、ITDRはかつてないほど重要になっています。今日のサイバー犯罪者は、アカウントを侵害し、機密情報に不正アクセスするためにIDベースの戦術にますます精通しています。それに伴い、企業はデジタル環境における無数の脅威手法や新たな外部要因にさらされています。

• オープンソースの攻撃ツール: サイバー攻撃者は、オープンソースの攻撃（ペンテスト）ツールを頻繁に活用し、IDを漏洩させ、悪質な活動を隠し、最終的な行動を完了する前に攻撃の段階をより迅速に進めます。
• フィッシング詐欺: 別の例として、サイバー攻撃者は、ユーザーを騙してログイン認証情報やその他の機密データを開示させるために、フィッシングメールを使用することがよくあります。
• クレデンシャルスタッフィング: サイバー攻撃の一種で、攻撃者が盗んだ、または流出したユーザー名とパスワードを使用して、保護されたアカウントへの不正アクセスを試みます。
• ソーシャルエンジニアリング: サイバー犯罪者は、ソーシャルエンジニアリングの手口を使って正規ユーザーになりすまし、被害者を騙して情報やアクセスを共有させることもあります。
• リモートワーク: リモートワークの増加により、ID ベースの攻撃のリスクがさらに高まっています。在宅勤務や個人所有のデバイスを使用して会社のシステムにアクセスする従業員が増えているため、組織はユーザーアクセスの完全な可視化と制御を維持するのに苦労しています。
• 規制コンプライアンス: ITDRは、データプライバシーとセキュリティに関する規制要件の増加により、より重要になってきています。医療や金融など多くの業界では、データ保護に関する厳しい規制が適用されています。コンプライアンスを怠った組織は、多額の罰金や風評被害に直面する可能性があります。

このような課題に対処するため、企業はシステムを保護し、リスクのある特定の脆弱性に対処するITDRソリューションに注目しています。

ITDR （Identity Threat Detection and Response） と EDR （Endpoint Detection and Response)は、どちらもサイバー攻撃の検出と防止に重点を置くサイバーセキュリティ・ソリューションですが、重視するポイントが異なります。

ITDR ソリューションは、ユーザーアクティビティやアクセス管理ログを監視し、悪意のあるアクティビティにフラグを立て、複数のID及びアクセス管理（IAM）ソースからデータを収集することで、漏洩したユーザーアカウントや流出したパスワードなどの潜在的なIDベースの脅威を特定、削減、対応することに重点を置いています。

一方、EDR ソリューションは、ワークステーションやノートパソコンなどのエンドポイントデバイスの監視と分析に重点を置き、システムログとネットワークトラフィックを収集することで、組織の機器における悪意のある活動を検出します

ITDR と EDR の主な違いは以下のとおりです：

• 対象範囲： EDRは主に、デスクトップ、ラップトップ、サーバーなどの個々のデバイスのようなエンドポイントの監視と保護に重点を置いているのに対し、ITDRはプラットフォーム、環境、システム全体にわたってIDベースの脅威をスキャンするように設計されています。
• 収集されるデータ： EDRは通常、プロセス実行、ファイルアクセス、ネットワークトラフィックに関するデータを収集し、ITDRはユーザーアクティビティログ、アクセス管理ログ、IGAシステムデータを収集・分析します。
• 脅威の可視化： EDRは、エンドポイントの活動を可視化し、ユーザーデバイス上で発生する行動やイベントを分析します。ITDR は、ID ベースの脅威、特権ユーザーの行動、アクセス試行、認証パターン、および最小特権の原則に関する包括的な視点を提供します。
• インシデント対応： EDRは、主にエンドポイントレベルでの脅威の調査と対応に重点を置いています。ITDRは、アイデンティティベースの脅威を特定し対応するために、複数の環境にわたるユーザーの行動を分析します。

ITDRとEDRは互いに補完し合い、インシデント分析時に貴重な洞察を提供することが重要です。攻撃者がエンドポイントデバイスを通じてネットワークにアクセスした場合、EDRソリューションはそのデバイス上の不審なアクティビティを検出し、ITDRソリューションはユーザーIDとアクセス管理に関連する悪意のあるアクティビティを検出します。つまり、ITDR と EDR の違いを理解し、それらがどのように連携して包括的なサイバーセキュリティ保護を提供できるかを理解することが重要です。

ガートナー社のレポート「ITDRでサイバー攻撃への備えを強化する2022」のリリースに伴い、セキュリティおよびリスク管理の専門家は、IDセキュリティ問題に対処するための調査、洞察、および推奨事項にアクセスできるようになりました。これらの事実と傾向は、ITDR に対する関心と需要の高まりを浮き彫りにしています。

サイバー攻撃の最大の標的はID

COVID-19がきっかけとなり、攻撃者はリモートワークへのシフトに影響を与えるIDを利用しました。ガートナー社は「共同作業、リモートワーク、および顧客によるサービスへのアクセスを可能にするために、組織が ID インフ ラストラクチャに依存していることが、ID システムを主要な標的へと変貌させた」と述べています。セキュリティチームは、オフィスに出勤できない労働力の運用上の現実と向き合ってきました。

IDは新たな脆弱性

クラウドコンピューティングの採用と在宅勤務をサポートする必要性により、ID に焦点を当てたソリューションは、サイバーセキュリティプログラムのさらに中心的な基盤となっています。ガートナー社は「ID の脅威は多面的である。ID インフラの設定ミスや脆弱性が悪用される可能性がある」と述べています。さらに、Identity Theft Resource Centerのデータによると、ランサムウェア関連の攻撃は、通常、侵害されたIDに大きく依存しており、2020年に倍増し、2021年に再び倍増しました。

攻撃者は ID とセキュリティシステムの間のギャップを突く

IAM、PAM、および MFA などの ID システムの導入は、多くの場合、複数のフェーズにまたがるプロジェ クトであるため、導入が完全に完了するまで、ID は公開されたままになります。これらの配備は、ID の絶え間ない変更によってさらに困難になり、これらのシステムを成功させるためには、時間の経過とともに繰り返し再発見する必要があります。さらに、アカウントを発見し監査するプロセスは、多くの場合、時間がかかり、手作業で、ミスを犯しやすいです。また、監査が完了する頃には、ID はすでに大幅に変更されていることが多くあります。

ITDRはサイバーセキュリティの最優先課題

ガートナー社は「現代のIDの脅威は、多要素認証（MFA）などの従来のIAMの予防的コントロールを覆す可能性がある。このため、ITDRは、2022年以降におけるサイバーセキュリティの最優先事項となっている」と述べています。攻撃者は現在、脆弱なIDを悪用することに注力しており、組織は今、IDの安全確保を最優先事項として取り組む必要があります。

PAM、MFA、およびその他のIAMソリューションのようなシステムを使用してIDが悪用されないように保護しているにもかかわらず、脆弱性が残ることがよくあります。ID の脆弱性の原因は、管理されていない ID、設定ミスの ID、および公開された ID の 3 つに分類されます。

管理されていないID

• サービスアカウント: マシンIDは、実装中に発見されなかったため、PAMシステムで管理されないことが多いです。さらに、最新化コストが桁違いのレガシーアプリケーションなど、すべてのアプリケーションがPAMと互換性があるわけではありません。
• ローカル管理者: ローカル管理者特権は、さまざまなITサポートニーズを可能にしますが、しばしば発見されなかったり、作成後に忘れられたりして、管理されないままになっています。
• 管理者アカウント: その他の多くの管理者アカウントは、PAMまたはMFAソリューションによって管理されません。なぜなら、それらは配備中に発見されない（つまり未知の）ままだからです。

設定ミスのID

• シャドウ管理者: ネスト化されたIDの複雑なグループ化により、すべてのIDの完全な権利と権限を確認し、理解することが非常に困難になっており、ユーザーが意図しない、つまり過剰な権限を付与される原因となっています。
• 脆弱な暗号化とパスワード: 脆弱な暗号化または欠落した暗号化を活用するように構成された ID、または強力なパスワードポリシーが適用されない ID。
• サービスアカウント: 特権アクセス権を持つマシン ID が誤って設定され、人間によるインタラクティブなログインを誤って許可している可能性があります。

公開されたID

• キャッシュされた認証情報: 一般的にエンドポイントのメモリ、レジストリ、ディスクに保存されるアカウントとクレデンシャルの情報は、一般的に使用される攻撃者ツールによって容易に悪用されます。
• クラウドアクセストークン: エンドポイントに保存されたクラウドアクセストークンは、攻撃者がクラウドベースのシステムにアクセスする一般的な方法です。
• オープン RDP セッション: RemoteApp セッションが不適切にクローズされる可能性があり、攻撃者はオープンなセッションとその特権を、ほとんど検知されることなく利用できます。

どのような ID でも、複数の方法で、これら 3 つの脆弱性カテゴリにわたって脆弱である可能性があることに注意が必要です。これらの特定のIDは、多くの場合、組織を最大レベルのID リスクにさらします。

たとえば、1つのIDが意図しないシャドウ管理者権限を保持するように誤って設定されることがあり、その性質上、このIDが保持する権限を持つアカウントに意図された特別なアクセス管理保護（PAM、MFAなど）を通常トリガするIT知識の欠如により、このIDが管理されなくなります。

包括的な ITDR ソリューションには、組織の ID 体制のギャップを発見して是正する「予防」 機能と、侵害が発生したときにその兆候を正確に警告する「検知」機能を含める必要があります。侵害の前と後の両方の管理があって初めて、ID は信頼できるセキュリティと見なされます。

ITDRの予防的コントロール

ITDRの予防的コントロールは、脅威アクターがIDの脆弱性を悪用しようとする前に、IDの脆弱性を発見し、優先順位を付け、多くの場合自動的に修復します。

従来の脆弱性およびリスク管理プログラムと同様に、ITDR の発見機能によって、組織はID「資産」のリスクを確認し、目録化することができます。最も効果的な ITDR ソリューションは、自動化され、継続的で、包括的なIDディスカバリを提供します。これには、管理されていない、設定ミスのある、公開された管理者アカウントの可視性も含まれます。

この可視性により、IGA、PAM、MFA、SSOなどのシステムを活用して、これらのリスクをさらに軽減するための効果的なITおよび情報セキュリティの意思決定が可能になります。実際、あらゆる複雑なシステムを効果的に管理するためには、問題の継続的なスキャンが必要であることが知られており、ID管理も例外ではありません。

ITDR検出的コントロール

ITDR 検出的コントロールは、脅威アクターまたは内部関係者が、組織にとってのリスクを示す方法で ID を侵害または活用しようとしている兆候がある瞬間に警告を発します。インシデント対応者が警告を受け、攻撃発生時に迅速に対応できるよう、防止できないリスクを発見し、軽減するために検出的コントロールが必要です。

攻撃が完了する前にIDの脅威を効果的に検知することは、以下の理由により難しいと言えます。

• 攻撃の検知時間の短縮： ランサムウェアなど、多くの攻撃タイプにおける攻撃者の滞留時間は、多くの場合、数カ月から数日に短縮されています。システムに侵入するためのIDの侵害に集中することで、攻撃者はより迅速に攻撃を行うことができます。
• 既存のセキュリティ管理の有効性の低下： 攻撃者が最終的な標的への重要な経路としてIDを悪用し続ける中、攻撃者はこれまでの多くのテクニックを放棄しており、これらのテクニックを防御するセキュリティツールの有効性が低下しています。攻撃者はまた、いったん特権をエスカレートさせれば、それを検知する役割を担うエンドポイント（EDR）エージェントを含むセキュリティ制御を無効にできることも、定期的に実証しています。
• 管理者アカウントの活動から不正を正確に検出できない： 特権ユーザーのシグネチャおよび行動ベースの分析では、不正な特権の更新や横方向の移動を正確に検出できないことが証明されています。管理者アカウントの許容される行動が十分でないため（データ科学者はこれを「情報エントロピーが高い」と呼びます）、誤検出を最小限に抑えるために必要な効果的なベースラインを確立することが困難になっています。もちろん、誤検出がセキュリティチームの時間と集中力を浪費することは大きな問題です。

そのため、侵害された管理者アカウントをより正確に検知する必要があります。デセプションと、攻撃者をおびき寄せるために詐欺的なコンテンツを仕込むという高度に決定論的なアプローチは、特権の昇格と横方向の移動を正確に検出するための行動分析に代わる、実行可能で実績のある選択肢を提供します。

適切に実装されていれば、攻撃者のテクニックとツールの理解に基づいて、攻撃者だけがやりとりできるようなルアーを仕掛け、攻撃者が罠にかかっていると思うような手がかりも残しません。

効果的なITDRに対する高まる要求に応えるため、Proofpointは包括的な ITDR ソリューションを提供しています。Proofpointのソリューションは、IDの脆弱性を悪用される前に継続的に発見し、修復する予防制御を提供する一方、脅威アクターによる特権の昇格、アカウントの乗っ取り、横移動の活動を発生時に正確に検知するための詐欺的手法を採用した検出的コントロールも提供します。Proofpointがお客様のID中心のセキュリティ向上にどのように貢献できるか、詳しくはこちらをご覧ください。