アイデンティティ脅威の検知と対応(ITDR):完全ガイド

ディレクトリ、認証情報の悪用、ラテラルムーブメントを標的とする最新の攻撃から、組織がアイデンティティインフラを保護する方法

クラウドの普及により、アイデンティティは今やエンタープライズ環境における主要な攻撃対象領域となっています。Mandiantの「M-Trends 2025」レポートでは、45万時間を超えるインシデント対応調査に基づき、2024年のグローバル中央値の滞留時間は11日と報告されています。また、侵害を社内チームではなく外部の第三者が特定した場合、この数値は26日に上昇しました。有効な認証情報を使用して環境内を移動する攻撃者は、数週間にわたって検知されない可能性があります。

この変化により、従来のセキュリティツールでは埋められないギャップが明らかになりました。Endpoint Detection and Response(EDR)はデバイスを監視します。Identity and Access Management(IAM)は、誰が何にアクセスできるかを管理します。しかし、どちらもアイデンティティ層そのものを通じて進行する脅威を監視するものではありません。Identity Threat Detection and Response(ITDR)は、このギャップを埋めるためのものです。

NIST National Vulnerability DatabaseおよびCISAのKnown Exploited Vulnerabilitiesカタログはいずれも、多くの大規模なランサムウェア攻撃や国家支援型侵入において、認証情報の悪用やアイデンティティベースの攻撃が初期アクセスまたは永続化フェーズで頻繁に利用されていることを示しています。攻撃者はゼロデイ脆弱性を利用するよりも、サービスデスク担当者をフィッシング攻撃でだまし、そのADアクセス権を悪用する方が、より迅速かつ目立たずに侵入を進められます。アイデンティティインフラは、本来、脅威を検知するための対象領域として設計されたものではありません。ITDRは、それを脅威検知の対象領域へと変えるためのセキュリティ分野です。

アイデンティティ脅威の検知と対応(ITDR)とは

アイデンティティ脅威の検知と対応(ITDR)は、アイデンティティインフラの不正利用から組織を保護することに特化したセキュリティ分野です。IAMがアクセス権を管理するのに対し、ITDRは、Active DirectoryEntra ID(旧Azure AD)、特権アカウントストアなど、アイデンティティシステムそのものを標的とする脅威を検知し、対応します。

ITDRというカテゴリは、Gartnerが2022年に提唱したものです。アナリストは、IAM、PAM、MFA、EDRを導入している組織であっても、セキュリティアーキテクチャに一貫したギャップが存在することを確認しました。これらのツールはいずれも進行中のアイデンティティ関連の脅威を検知するよう設計されていなかったため、攻撃者は依然としてアイデンティティインフラを悪用することに成功していました。ITDRは、アイデンティティシステムを脅威検知の対象領域として捉えることで、このギャップを埋めます。

成熟したITDR機能は、侵害の兆候がないかアイデンティティインフラを継続的に監視し、認証情報の悪用や権限の不正利用に関連する異常な振る舞いを検知します。また、自動化された対応アクションやアナリスト主導の対応を実行し、調査担当者が影響範囲や被害状況を把握するために必要なフォレンジックコンテキストを提供します。

ITDRとIAM、PAM、EDR/XDR、SIEMの違い

ITDRを評価するセキュリティチームからは、既に導入しているツールとITDRがどのような関係にあるのかという質問がよく寄せられます。率直に言えば、ITDRはこれらすべてのツールと一部の領域で機能が重複していますが、そのいずれによっても代替できるものではありません。

Capability IAM / PAM EDR / XDR SIEM / UEBA ITDR
Primary focus Enforce who has access to what Detect threats on endpoints Correlate logs and detect anomalous user behavior across the environment Detect threats within identity infrastructure
Detection scope Policy violations, access requests Malware, process anomalies, file changes Aggregated log events, user behavior baselines, cross-source anomalies Credential abuse, lateral movement, privilege escalation
Response Revoke access, enforce MFA Isolate endpoint, kill process Alert SOC, trigger playbooks Disable account, force re-auth, alert SOC
Active Directory coverage Manages AD objects and permissions Limited (agent-based, device scope) Ingests AD logs; limited depth without identity-native telemetry Native AD monitoring, domain controller telemetry
Post-compromise value Low (attacker already has valid credentials) Moderate (if malware is involved) Moderate (detects patterns across logs but lacks identity-native context) High (detects living-off-the-land attacks)

認証情報が侵害された後に何が起こるかが、最も重要な違いです。IAMは、正規のユーザーと、そのユーザーのパスワードを盗んだ攻撃者とを区別できません。EDR/XDRは不審なプロセス活動を検知できる場合がありますが、攻撃者がPowerShellのようなネイティブツールや正規の管理者向けユーティリティを使用している場合、エンドポイントエージェントが検知すべき対象が存在しないこともあります。ITDRはアイデンティティプレーンそのものに着目します。そこでは、認証パターン、チケット要求、ディレクトリクエリを通じて、実際に何が起きているのかを把握できます。

ITDRソリューションを評価する際のポイント

ITDRを提供すると謳う製品であっても、すべてが同じレベルの機能を備えているわけではありません。信頼できるITDR実装を構成する主な機能には、次のようなものがあります。

アイデンティティセキュリティ態勢の継続的な評価。 ITDRは、振る舞いだけでなく、アイデンティティインフラそのもののセキュリティ設定も評価できなければなりません。これには、設定ミスのあるサービスアカウント、過剰な権限を持つユーザー、不要になった委任設定、そして悪用可能な攻撃経路を生み出すEntraの設定を特定することが含まれます。

実効権限の算出。 割り当てられたロールやグループメンバーシップは、そのアイデンティティが実際に実行可能な操作を正確に反映していないことがほとんどです。ハイブリッド環境やクラウド環境では、実効権限は、直接のロール割り当て、ネストされたグループメンバーシップ、継承された権限、サービスプリンシパルの委任、条件付きアクセスの例外などが組み合わさることで決まります。ITDRソリューションは、表面的なロール一覧に依存するのではなく、実効権限を算出できる必要があります。なぜなら攻撃者は、アカウントがアクセスできるように見える範囲と、実際に到達可能な範囲とのギャップを狙うからです。明示的な管理者ロールが割り当てられていなくても、管理者相当の実効権限を持つアカウントを把握することは、検知の優先順位付けや、インシデント発生時の影響範囲(Blast Radius)の評価において重要なコンテキストとなります。

リアルタイムの振る舞い検知。 システムは、クラウドアイデンティティプロバイダーやフェデレーションサービス全体にわたる認証・認可アクティビティを分析する必要があります。これには、サインインイベント、トークン発行、条件付きアクセス評価、APIコール、テナント間アクセスパターンなどが含まれます。対象はKerberosやLDAPにも及び、異常なOAuth同意、インポッシブルトラベル、トークンの再利用、セッションハイジャックといったクラウドシグナルが主要な検知指標となります。サービスプリンシパルによる未知のAPIアクティビティの開始、高リスクなアプリケーション権限の付与、あるいは既知のデバイス・ネットワークベースラインから逸脱した認証パターンなどの異常は、アラート疲れを増やすのではなく、高精度なアラートとして通知されるべきです。

クラウドアイデンティティおよびハイブリッドディレクトリの保護。 現代のアイデンティティインフラは、オンプレミスのActive DirectoryとMicrosoft Entra IDのようなクラウドプラットフォームの両方にまたがっています。ITDRソリューションは、サインインログ、監査ログ、トークンアクティビティ、ディレクトリ変更など、アイデンティティプロバイダーからネイティブテレメトリを収集するとともに、AD Connectのような同期メカニズムに対する可視性も維持しなければなりません。高リスクなシナリオには、ロール割り当てによる権限昇格、サービスプリンシパルの悪用、フェデレーション信頼設定の改ざん、バックドアアプリケーションや認証情報による永続化などがあります。クラウドとハイブリッドの両方のアイデンティティレイヤーをカバーできなければ、重要な攻撃経路は監視されないままとなります。

脅威対応との統合。 対応を伴わない検知は、単なるアラート通知にすぎません。クラウド環境においてITDRは、条件付きアクセスポリシーの動的な適用、アクティブセッションやリフレッシュトークンの無効化、侵害されたアカウントの無効化または隔離、悪意のあるOAuth許可の削除、さらにはSOCワークフローの自動起動を実行できる必要があります。対応アクションはリスクシグナルと信頼度に基づいて実施されるべきであり、正当なアクセスを不必要に妨げることなく、アイデンティティベースの脅威を迅速に封じ込められる必要があります。

フォレンジック調査の支援。 アナリストがアイデンティティ侵害の影響範囲を把握するには、クラウドおよびハイブリッドのアイデンティティシステム全体にわたるタイムラインの再構築が必要です。これには、サインインアクティビティ、トークン利用状況、アプリケーションアクセス、権限変更、SaaS環境やインフラ環境におけるラテラルムーブメントの相関分析が含まれます。侵害されたアイデンティティが、フェデレーションアクセス、APIコール、委任権限を通じてどのようにシステム間を移動したのかを追跡できることこそが、ITDRを単なる異常検知と区別し、正確な影響範囲の特定と修復を可能にする要素です。

アイデンティティ攻撃対象領域管理

効果的な検知を実現するには、まずアイデンティティインフラをクラウドに公開された攻撃対象領域として理解する必要があります。これを担うのがアイデンティティ攻撃対象領域管理(IASM)です。IASMはITDRに隣接する分野であり、クラウドアイデンティティプロバイダー、SaaSアプリケーション、フェデレーションアクセス経路全体に存在する悪用可能な状態を継続的に特定することに重点を置いています。

Microsoft Entra IDのようなプラットフォーム上に構築された多くの企業環境では、時間の経過とともに設定ドリフトが蓄積します。アプリケーションには必要以上に広範な権限が付与され、サービスプリンシパルやOAuthアプリケーションは、本来の用途が終了した後も永続的なアクセス権を保持し続けます。ユーザーには一時的に特権ロールが付与されるものの、その後権限が削除されないケースも少なくありません。また、一貫したガバナンスがないまま、B2Bコラボレーションを通じて外部アイデンティティやゲストアカウントが増加していきます。さらに、条件付きアクセスポリシーが段階的に追加されることで、想定外の例外や設定上の抜け漏れが生じます。

これらはいずれも、マルウェアや目立つ不審な挙動を必要としない攻撃経路となり得ます。攻撃者がユーザーアカウントを侵害した場合、悪意のあるOAuthアプリケーションへの同意を与え、既存の権限を継承し、従来の検知メカニズムを回避したまま永続的なAPIアクセスを取得できる可能性があります。同様に、リフレッシュトークンの悪用やフェデレーション信頼設定の誤構成により、パスワードリセットを完全に回避する長期間のアクセスが可能になることもあります。これらは脆弱性の悪用ではなく、本来は正当な設定が意図しない形で利用されている状態です。

IASMは、既知の攻撃経路に照らし合わせながら、クラウドアイデンティティの設定やアクセス関係を継続的に評価することで、こうした問題に対応します。具体的には、過剰な権限を持つロール、リスクの高いOAuth許可、過大なAPI権限、不要になったサービスプリンシパル、不十分な条件付きアクセスの適用範囲、さらにはテナント間やハイブリッド環境間での横展開を可能にする信頼関係などを特定します。ハイブリッド環境では、クラウドアイデンティティとオンプレミスディレクトリ間の同期経路も対象となり、一方の環境で発生した侵害が他方へ波及するリスクを評価します。

IASM評価は、アイデンティティシステム全体において悪用可能な状態がどこに存在するかを明らかにします。一方、ITDRは、それらの攻撃経路が実際に利用されているタイミングを検知します。この2つのアプローチを組み合わせることで、組織は攻撃経路そのものを事前に排除できるため、アラート量を削減できます。その結果として残る検知は、すでに保護されているはずの領域で発生したアクティビティを示すものであり、より高精度なものになります。

このため、ITDRを評価する際には、振る舞い(ビヘイビア)検知だけでなく、アイデンティティ構成のセキュリティ状態を評価する機能も中核的な要件として含めるべきです。進行中のアクティビティのみを検知するシステムでは、休眠状態のOAuthアプリケーション、過剰なAPI権限、あるいは設定不備のある条件付きアクセスポリシーが、すでに永続的な侵害の経路となっていることを特定できません。

MFA疲労攻撃と最新の認証情報攻撃

ITDRが対処すべき脅威は、従来のActive Directoryへの攻撃だけにとどまりません。MFA疲労攻撃は、初期侵入手法として広く利用されるようになっています。MFA疲労攻撃では、有効な認証情報を入手した攻撃者が標的ユーザーのデバイスに対してMFAプッシュ通知を繰り返し送信し、通知を止めたいユーザーが最終的に承認してしまうことを狙います。

CISAは、この手法に関するガイダンスを公開しました。テクノロジー業界や医療業界における複数の大規模な侵害事例で確認されたことを受けたものです。この攻撃は、マルウェアも脆弱性も必要とせず、MFA承認前のネットワーク上での活動も不要です。ユーザーが要求を承認した時点で、攻撃者は正規ユーザーと区別のつかない有効な認証済みセッションを取得します。

ITDRによるMFA疲労攻撃の検知には、認証レイヤーにおける振る舞い分析が必要です。主なシグナルとしては、短時間に繰り返し発生するMFAチャレンジの失敗、当該アカウントに過去の利用履歴がないIPアドレスからの認証試行、そして複数回の拒否操作の後に成功した認証などがあります。これらのシグナルは単独では必ずしも異常とは言えないため、検知には閾値ベースのアラートではなく、相関分析が重要になります。

同じ考え方は、クレデンシャルスタッフィング攻撃にも当てはまります。この攻撃では、侵害された大量のユーザー名とパスワードの組み合わせが企業のログインポータルに対して試行されます。単発のログイン失敗にはほとんど意味がありません。しかし、48時間以内にローテーションされる複数のIPアドレスから、数千のアカウントに対して数千回のログイン失敗が発生している場合、それはクレデンシャルスタッフィング攻撃である可能性が高くなります。この種の攻撃は個々のエンドポイントを介さないため、検知にはアイデンティティレイヤーの可視性が不可欠です。

これらの攻撃パターンは、ITDRが単なるActive Directory監視では不十分である理由を示しています。アイデンティティ攻撃対象領域には、あらゆる認証システム、あらゆるフェデレーションアイデンティティプロバイダー、そして外部公開されたすべてのログインエンドポイントが含まれます。ハイブリッド環境では、Entra IDアカウントを侵害するクレデンシャルスタッフィング攻撃が、同期関係を利用してオンプレミスのActive Directoryへ横展開するための第一歩となる可能性があります。そのため、ハイブリッド環境全体をカバーすることは、選択肢ではなく必須要件です。

ITDRがラテラルムーブメントを防ぐ仕組み

Okta、Entra ID、Active Directoryをはじめとするアイデンティティサービスは、多くの大規模なランサムウェア攻撃や国家支援型攻撃の標的となっています。その理由は、Active Directoryを制御する者がネットワーク全体を制御できるためです。攻撃者がドメインコントローラーへのアクセスを獲得すると、アカウントの作成、パスワードの変更、セキュリティツールの無効化、さらにはドメイン参加済みのすべてのシステムへのペイロード展開を同時に実行できるようになります。

一般的な攻撃経路は、次のような流れで進行します。

クラウド環境におけるアイデンティティベース攻撃の検知と対応

攻撃の各段階には、ITDRが活用できるアイデンティティ関連のシグナルが存在します。しかしクラウド環境では、それらのシグナルはKerberosやLDAPではなく、認証フロー、トークンの利用状況、アプリケーションへのアクセス活動から発生します。OktaやMicrosoft Entra IDのようなプラットフォームでは、異常なサインインパターン、不審なMFAの挙動、地理的に離れた場所でのトークン再利用、高リスクなOAuthやSAMLのアクティビティなどがこれに含まれます。これまで利用していなかったSaaSアプリケーションへ突然アクセスし始めるユーザー、新たなAPIコールを開始するサービスアカウント、複数テナントにまたがって発生する認証試行の急増などは、いずれも認証情報の悪用やセッション侵害を示す兆候です。トークン発行時や異常アクセス発生時点での検知は極めて重要です。なぜなら、有効なセッションが確立されると、攻撃者は従来のネットワーク監視やエンドポイント監視では検知されることなく活動できるためです。

クラウドアイデンティティシステムにおける永続化は、多くの場合、アプリケーションやトークンの悪用という形で行われます。十分な権限を持つ攻撃者は、悪意のあるOAuthアプリケーションを登録し、継続的なAPIアクセス権を付与することで、元の認証情報がリセットされた後でもアクセス権を維持できます。同様に、リフレッシュトークンの悪用やフェデレーション設定の改ざんによって、パスワード変更や通常の復旧対応後も存続する長期的なアクセス権を確保することが可能です。これらの永続化手法は、脆弱性の悪用ではなく正規のアイデンティティ機能を利用するため、十分に検知されないケースが少なくありません。アプリケーション登録、同意付与(Consent)、トークンライフサイクル、フェデレーション設定の変更を監視するITDRソリューションは、多くのSIEM中心のアプローチが見逃したり、優先度の低いノイズとして扱ったりする領域に対する重要な検知レイヤーを提供します。

こうした攻撃が高い成功率を示す理由は、マルウェアを使用せず、不審なバイナリも実行せず、エンドポイント中心のセキュリティツールが検知対象とするアクティビティをほとんど発生させないためです。攻撃者は、有効な認証情報、信頼されたアイデンティティプロバイダー、そしてOAuthやSAMLといった標準プロトコルを利用して攻撃を実行します。クラウドサービス全体にわたるアイデンティティレイヤーの挙動を専門的に分析する仕組みがなければ、これらの攻撃は事実上見えないままとなります。

ITDRは、クラウドアイデンティティプロバイダーから取得されるアイデンティティイベントを主要な検知シグナルとして扱うことで、この可視性のギャップを解消します。SOCの検知・対応機能と統合することで、これらのシグナルをエンドポイントやネットワークのテレメトリと相関分析し、攻撃者の行動を包括的に把握できます。その結果、SaaS環境およびハイブリッド環境において、より迅速な調査と、より的確な封じ込め対応が可能になります。

ITDRとMITRE ATT&CK

MITRE ATT&CKフレームワークは、攻撃者が攻撃の各段階で使用する具体的な攻撃手法を体系的に整理したものです。ITDRの機能は、特に3つの戦術カテゴリと密接に対応しており、セキュリティチームはベンダーを評価する際、一般的な機能主張ではなく、個々の攻撃手法に対するカバレッジを基準に評価するべきです。

認証情報へのアクセス(Credential Access:TA0006): このカテゴリには、Kerberoasting(T1558.003)、AS-REP Roasting(T1558.004)、LSASS認証情報ダンプ(T1003.001)、DCSync(T1003.006)などの攻撃手法が含まれます。ITDRソリューションは、これらすべてをネイティブに検知し、ペネトレーションテストと実際の攻撃を区別できる十分なコンテキストを備えた高精度なアラートを生成できる必要があります。

情報収集(Discovery:TA0007): 攻撃者は偵察活動の一環として、アカウント探索(Account Discovery:T1087.002)、ドメイン信頼関係の探索(Domain Trust Discovery:T1482)、権限グループの探索(Permission Groups Discovery:T1069.002)といった手法を使用します。通常時のLDAPクエリパターンから構築された振る舞いベースラインにより、正規のアクセス権限を持つアカウントから実行された場合でも、こうした情報収集活動を検知できます。

ラテラルムーブメント(Lateral Movement:TA0008): Pass-the-Hash(T1550.002)、Pass-the-Ticket(T1550.003)、およびリモートサービスの悪用は、いずれもITDRが検知可能なアイデンティティレイヤー上の活動を伴います。異常なKerberosチケット要求と、その後に発生する重要サーバーへのリモートログインとの相関関係は、ITDR分析機能が自動的に検出すべき典型的なマルチイベントパターンの一例です。

ITDRのカバレッジをMITRE ATT&CKへマッピングすることは、製品選定時の評価だけでなく、経営層に対して組織の検知態勢を説明する際にも有効です。CISAが公開しているアイデンティティベース攻撃に関するガイダンスでも、ATT&CKの攻撃手法が明示的に参照されています。そのため、この対応付けはセキュリティ担当者、コンプライアンス担当者、経営層の間で共通の評価基準として活用できます。

ゼロトラストアーキテクチャにおけるITDR

ゼロトラストの中核原則である「決して信頼せず、常に検証する(Never Trust, Always Verify)」は、アイデンティティの検証自体が信頼できることを前提としています。攻撃者がアイデンティティ基盤を悪用して有効なトークンを生成したり、特権アカウントになりすましたりできる場合、ゼロトラストモデルは内部から崩壊してしまいます。

ITDRは、ゼロトラストが依存するアイデンティティレイヤーの整合性を継続的に検証するためのコントロールです。これがなければ、ゼロトラストアーキテクチャには盲点が生じます。なぜなら、ゼロトラストはアイデンティティに基づく認証・認可情報を前提としてアクセス制御を実施する一方で、その認証・認可情報自体が侵害されているかどうかを検知できないためです。

実運用において、ITDRはIAMおよびPAMと並んで継続的な検証メカニズムとして機能します。IAMはアクセス制御ポリシーを適用し、PAMは認証情報を保護・管理します。一方、ITDRはそれらのコントロールが回避された兆候を監視します。AIネイティブなSOCアーキテクチャでは、これら3つのデータストリームを統合し、アイデンティティ異常とエンドポイントおよびネットワークシグナルを相関分析することで、複数の検知レイヤーを横断する攻撃を検出できます。

NISTサイバーセキュリティフレームワークでは、アイデンティティ管理とアクセス制御が「Protect(防御)」機能の基盤的な能力として位置付けられています。また、異常なアクセスの検知は「Detect(検知)」機能の要件とされています。ITDRは、この2つの機能を結び付ける役割を担います。アクセス制御によって保護されるべき資産に対して、検知ロジックを適用するのがITDRです。

オンプレミスのActive DirectoryとEntra IDの両方を運用するハイブリッド環境では、ITDRのカバレッジも両方にまたがる必要があります。近年の攻撃者は、オンプレミスADとクラウドアイデンティティの同期関係を悪用し、一方の環境からもう一方の環境へとラテラルムーブメントを行うケースが増えています。

Agentic AIがアイデンティティ脅威対応にもたらすもの

現在の多くのITDRソリューションは、システムが不審なアクティビティをフラグ付けし、アナリストが対応を判断する「アラートと調査」モデルで動作しています。アラート量が管理可能な範囲であればこのモデルは機能しますが、アイデンティティベースの攻撃では、短時間に相関するシグナルが数十件発生することも少なくありません。人間のアナリストがキューを確認し、調査を開始する頃には、攻撃者がすでに権限昇格を完了している可能性があります。

Agentic SOC機能は、人間のアナリストが各ステップを開始しなくても、アイデンティティベースの脅威に対する自動調査と対応を可能にすることで、この状況を変えます。ITDRシステムがEntra IDやOktaで、異常なトークン使用、Impossible Travel、リスクの高いサインイン、権限昇格イベントなどの不審なアイデンティティアクティビティを検知すると、Agentic AIは環境全体のシグナルを即座に相関分析できます。ユーザーセッションに紐づくエンドポイントテレメトリを取得し、直近の認証パターンや条件付きアクセスの判定を分析し、送信元IPやデバイスが脅威インテリジェンスフィードに含まれているかを検証できます。また、名目上のロール割り当てに依存するのではなく、ネストされたグループ、委任、継承ロールを横断してアイデンティティの実効権限を算出し、SaaSおよびクラウドワークロード全体にわたる潜在的な影響範囲をマッピングできます。並行して、アクティブセッションの取り消し、MFA再認証の強制、アカウントの無効化、アクセスポリシーの厳格化などの封じ込め計画を、アラートがアナリストのキューに届く前に生成できます。

これは、モデルがアラートの優先度をスコアリングし、人間が引き続き調査を行うAI支援型トリアージとは異なります。Agentic responseでは、調査そのものが自律的に実行され、重大なリスクを伴う、またはポリシー判断が必要な対応アクションに限ってHuman-in-the-loopの判断を残します。コンテキスト取得までの時間には大きな差があり、初期調査では数時間ではなく数分、高信頼度の脅威に対する自動封じ込めでは数分ではなく数秒で対応できます。

アイデンティティベースのインシデントでは、影響範囲の把握が特に重要です。侵害されたドメイン管理者アカウントは、数百のシステム、数十のアプリケーション、何年分もの機密データにアクセスできる可能性があります。被害を封じ込められる速度でその範囲を把握するには、人間のアナリストが時間的制約の中で手作業では実行できない並列調査が必要です。Agentic AIは、アカウントのアクセスグラフをたどり、最近認証されたシステムを特定し、アラートが発報される前にアクセスされた可能性のある下流システムを、アナリストが最初のチケットを開く程度の時間でフラグ付けできます。

アイデンティティ脅威のカバレッジを含むAI検知機能を評価するセキュリティチームにとって重要なのは、システムがアラートを生成するかどうかではありません。各ステップで人間の介入を必要とせずに、調査を完了し、対応アクションを推奨または実行できるかどうかです。

セキュリティプログラムにおけるITDRの重要性

現在、企業への侵害の多くはアイデンティティレイヤーを起点として発生しています。攻撃者は、境界防御を突破するよりも認証制御を回避する方が迅速かつ目立たずに侵入できることを理解しています。また、Active Directoryを足掛かりにすれば、侵害された単一の認証情報からネットワーク全体へのアクセス権を獲得できることも把握しています。

ITDR(Identity Threat Detection and Response)は、このような脅威パターンに対応するために設計されたセキュリティ分野です。ITDRはIAM、PAM、EDR/XDR、またはSIEM(システムがITDR機能を完全に備えている場合を除く)を置き換えるものではありません。これらのツールではカバーできない検知のギャップ、すなわち攻撃者が有効な認証情報を取得してから実際にレスポンスが開始されるまでの間に発生するアクティビティを対象とします。

最も効果的な導入形態では、ITDRは単独の製品としてではなく、SOCライフサイクル全体に統合された機能として運用されます。ITDRをネイティブコンポーネントとして備えたAI SOCは、アイデンティティシグナルをエンドポイント、ネットワーク、クラウドのテレメトリと単一の検知・対応ワークフロー内で相関分析できます。アナリストがアイデンティティツールとSIEMを行き来しながら何が起きたのかを再構築する代わりに、統合型AI SOCは、初期の認証情報悪用からラテラルムーブメント、権限昇格に至るまでの攻撃チェーン全体を、一つの調査コンテキスト内で可視化します。この統合こそが、実効性のある速度でのレスポンスを可能にします。アイデンティティベースの攻撃は極めて迅速に進行するため、検知機能が独立したサイロとして運用され、より広範なSOCへの手動引き継ぎを必要とする場合、脅威の進行速度に継続的に後れを取ることになります。

よくある質問(FAQ)

ITDRはIAMやPAMとどう違うのですか?

IAMとPAMはアクセスガバナンスのためのツールです。これらは「誰が何にアクセスできるか」を定義し、制御します。一方、ITDRは、それらの制御を回避したり悪用したりする脅威を検知します。攻撃者が特権アカウントの認証情報を盗んだ時点で、すでにIAMやPAMは突破されています。ITDRは、その認証情報の不正利用をリアルタイムで検知するための仕組みです。

ITDRはEDR(Endpoint Detection and Response)の一部ですか?

いいえ。EDRは、マルウェア、プロセスインジェクション、ファイルベースの攻撃など、デバイスに対する脅威の検知と対応に重点を置いています。一方、ITDRは、Active Directory、Kerberos、認証システムなどのアイデンティティ基盤を標的とする脅威に重点を置いています。両者は競合するものではなく、相互補完的な関係にあります。多くのアイデンティティベースの攻撃では、正規の認証情報や標準ツールが悪用されるため、エンドポイント上に検知可能なシグナルが生成されない場合があります。

ITDRはSIEMやUEBAとどう違うのですか?

SIEMは環境全体からログデータを収集・相関分析する仕組みであり、UEBAはユーザー行動のベースラインを構築して異常なアクティビティを検知します。どちらも広範な領域を対象とするソリューションです。さまざまなソースからシグナルを収集・分析しますが、アイデンティティ関連イベントは数ある入力データの一つとして扱われます。一方、ITDRはアイデンティティレイヤー向けに特化して設計されています。転送されたログに依存するのではなく、Active Directory、Entra ID、クラウドアイデンティティプロバイダーからネイティブテレメトリーを収集するため、認証フロー、ディレクトリ変更、トークンの挙動をより詳細に可視化できます。SIEMは不審なログインを検知できるかもしれませんが、ITDRはアイデンティティ基盤レベルで何が発生したのかを説明し、それをラテラルムーブメントの兆候と関連付けて分析し、対象を絞ったレスポンスを実行できます。両者は相互補完的な関係にあり、AI SOCはこれら両方の機能領域を包含すべきです。

ITDRはActive Directory、Entra ID、またはOktaを標的とした攻撃を防ぐことができますか?

ITDRは主に検知とレスポンスのための機能であり、予防を目的とした機能ではありません。盗まれたパスワードの使用そのものを阻止することはできません。しかし、認証情報の窃取後に発生する挙動、例えばKerberoastingやラテラルムーブメントなどを検知し、ドメイン侵害が発生する前に攻撃を封じ込めることができます。アイデンティティベースの脅威に対する平均検知時間(MTTD)を短縮することが、ITDRの中核的な価値です。

ITDRソリューションの中核機能とは何ですか?

信頼できるITDRソリューションは、アイデンティティインフラストラクチャを継続的に監視し、認証およびディレクトリ活動における異常な振る舞いを検知します。また、Active DirectoryおよびEntra IDをネイティブにサポートし、SOCのレスポンスワークフローと連携するとともに、アイデンティティベースのインシデントに対するフォレンジック調査を支援します。

ITDRはどのMITRE ATT&CKテクニックをカバーしていますか?

ITDRは主に、Credential Access(TA0006)、Discovery(TA0007)、およびLateral Movement(TA0008)に対応しています。代表的なテクニックには、DCSync(T1003.006)、Kerberoasting(T1558.003)、Pass-the-Hash(T1550.002)、およびLDAPを利用した偵察活動(T1087.002、T1069.002)が含まれます。これらのテクニックに対する対応範囲や検知能力の深さは、ベンダーによって大きく異なります。

理想のSOCチーム。
24時間365日、お客様とともに稼働します。

お客様の環境を一元的かつリアルタイムに把握する4つのエクサボットが、検出、トリアージ、調査、対応をカバーします。プラットフォームを自社で運用することも、エクサフォースに運用を任せることもできます。
アイテムが見つかりません。
アイテムが見つかりません。