アイデンティティ脅威検知・対応 (ITDR) は、ユーザーアカウント、マシンID、およびそれらを管理するインフラストラクチャを標的とする、または悪用する攻撃の検知、調査、対応に特化したセキュリティ分野です。誰が何にアクセスできるかを管理するアイデンティティおよびアクセス管理 (IAM) とは異なり、ITDRは認証後に機能し、正当なアクセスメカニズムが悪用されている兆候を監視します。 ガートナーはITDRを独立したセキュリティカテゴリとして初めて命名しました 2022年3月に、予防的なアイデンティティ制御と広範なセキュリティ運用機能の間に欠けていた機能として特定しました。
ガートナーがITDRを独立したカテゴリとして確立した理由
簡単に言えば、IAMツールとSOCツールはそれぞれ問題の半分をカバーしていましたが、残りの半分はどちらもカバーしていなかったためです。
アクセス管理、特権アクセス管理 (PAM)、アイデンティティガバナンスおよび管理 (IGA)、多要素認証 (MFA) といったIAMツールは、予防的制御として設計されています。これらは権限を管理し、認証ポリシーを強制し、アイデンティティのライフサイクルを管理します。しかし、盗まれた認証情報を使用してすでに認証された攻撃者を検知したり、アクティブなアイデンティティベースの侵害にリアルタイムで対応したりするようには設計されていません。
SIEM、EDR、XDR、NDRといったセキュリティ運用ツールは、強力な検知および対応機能を備えています。しかし、これらはアイデンティティ関連のイベントを主要な検知対象としてではなく、追加のテレメトリとして扱います。認証情報の悪用、IAM設定ミスによる特権昇格、サービスアカウントを介したラテラルムーブメントなどを確実に検知するためのアイデンティティ固有のコンテキストが不足しています。
ガートナーのITDR導入に関する2026年の調査では、この点が直接的に述べられています。IAM制御は予防的であり、既存のアイデンティティを悪用する攻撃に対処するようには設計されていません。一方、インフラストラクチャセキュリティツールには、アイデンティティ固有の脅威検知および対応機能が不足しています。その結果、これら2つの分野の間に検知のギャップが生じ、まさに現代の侵害のほとんどがこのギャップを突いて行われています。
ITDRはそのギャップを埋めます。アイデンティティベースの脅威に特化した検知ロジック、行動分析、対応プレイブックを提供し、IAMに起因するインシデントをSOCの検知および対応プロセスに連携させます。
ガートナーのガイダンスがカバーする範囲
ガートナーのITDR導入フレームワークは、以下の3つの主要分野に対応しています。検知制御、機能ベンチマーク、SOC統合。
攻撃者の行動に基づいた検知制御
ガートナーのガイダンスは、シグネチャベースおよび異常ベースの検知から、同社が「攻撃者中心の検知」と呼ぶものへの移行を強調しています。これは、 MITRE ATT&CKフレームワークに文書化されている戦術、技術、手順 (TTP) を優先するものです。アイデンティティに特化したTTPには、パスワードスプレー、パス・ザ・ハッシュ、SAMLゴールデンチケット攻撃、認証情報スキャン、特権昇格、ラテラルムーブメントなどがあります。既知の攻撃者の行動に基づいて構築された検知ロジックは、攻撃者がツールを変更しても効果が持続するため、静的なルールよりも耐久性があります。
このフレームワークは、行動分析と欺瞞技術も強調しています。これには、内部システムに配置され、攻撃者が操作した瞬間にアラートをトリガーするトリップワイヤーとして機能するハニーポット認証情報などが補完的な検知制御として含まれます。
NIST CSF 2.0とのベンチマーク
ガートナーは、ITDR機能を NISTサイバーセキュリティフレームワーク2.0にマッピングすることを推奨しています。これは、特定、防御、検知、対応、復旧、ガバナンスの6つの分野にセキュリティ機能を整理しています。このマッピングの実用的な価値は、一般的な評価ミスを防ぐことにあります。すなわち、管理時における予防のみを提供するツールを、ITDRとして販売されているからといって購入してしまうことです。ガートナーのフレームワークによれば、真のITDRは、姿勢評価やアクセス制御だけでなく、ランタイムでの検知および対応機能を提供する必要があります。
IAMとSOCの統合は共有責任として
ガートナーの最も明確な推奨事項の1つは、ITDRの導入はIAMチームとインフラストラクチャセキュリティチームの間の共有責任として扱われるべきであり、どちらか一方のみが排他的に所有するべきではないというものです。 2024年ガートナーIAMリーダーシップ調査 は、IAMとサイバーセキュリティ機能間の連携が、IAMプログラム目標の達成において測定可能なより良い結果をもたらすことを発見しました。運用上、これはIAM、SOC、インフラストラクチャおよび運用部門のメンバーを含む多分野にわたるチームを結成し、実行を推進するための指定されたITDR担当者を置くことを意味します。
アイデンティティ脅威検知・対応市場が成長している理由
市場の成長は、攻撃トレンドへの直接的な対応です。2025年には、認証情報の悪用がセキュリティ侵害における主要な初期アクセスベクターとなり、確認されたインシデントの22%で発生しました。これは Verizonのデータ漏洩/侵害調査報告書によるものです。 IBMデータ侵害コスト報告書 は、侵害された認証情報を常に上位の初期アクセスベクターとして特定しており、盗まれた認証情報に起因する侵害は、他の手段で開始されたものよりも特定と封じ込めに時間がかかることを指摘しています。
マシンIDが問題をさらに複雑にしています。 ガートナーの調査 は、マシンIDが現在、人間のIDを大幅に上回り、IAM環境で最も急速に成長しているコンポーネントの1つであり、適切に管理されない場合、かなりのセキュリティリスクをもたらすことを強調しています。多くの組織は、マシンIDの状況を可視化できておらず、一貫性のないガバナンスに苦慮しており、これがセキュリティインシデントの増加につながっています。サービスアカウント、APIキー、OAuthトークン、クラウドプロバイダーの認証情報が現在、企業のアイデンティティエコシステムを支配しており、多くの場合、監視、ライフサイクル管理、検知の範囲が限られた状態で運用されています。
ガートナーの将来を見据えたガイダンスは、さらに別の側面を追加しています。2027年までに、AIエージェントが認証情報の窃盗と認証チャネルの侵害を自動化し、攻撃者がアカウントの露出を悪用するのに必要な時間を50%短縮する可能性があると予測されています。この予測は、アイデンティティ攻撃がより高速化、自動化され、組織が現在導入しているツールでは検知が困難になっているという広範な傾向を反映しています。
アイデンティティ脅威検知・対応市場は、これらのトレンドに正比例して成長してきました。認識された機能ギャップとして始まったものが、今や明確な投資カテゴリとなり、ベンダーの状況は拡大し、ガートナーのセキュリティ調査におけるアナリストの注目度も高まっています。
ITDRベンダーの状況
ガートナーのフレームワークは、ITDRベンダーの状況を、機能提供への異なるアプローチを反映した3つの広範なカテゴリに分類しています。
最初のカテゴリは、IAMイベントを追加のテレメトリとして扱う既存の検知・対応プラットフォーム、EDR、XDR、SIEMツールです。これらのプラットフォームは成熟した分析機能と自動化を提供しますが、そのアイデンティティカバレッジはIAMシステムとの統合品質に大きく依存し、その検知ロジックはアイデンティティ固有の攻撃パターン向けに特別に構築されたものではありません。
IAMベンダーも、検知および対応機能で自社のプラットフォームを拡張しています。これらのツールは、自社のエコシステム内でのアイデンティティに特化した検知には適していますが、エンドポイント、ネットワーク、およびそのカバレッジ範囲外の環境全体での広範な脅威相関が不足している場合があります。
第3のカテゴリは、専用のアイデンティティカバレッジを持つサードパーティのITDRベンダーおよびマネージド検知・対応 (MDR) サービスです。ガートナーは、これらのソリューションの多くが現在、SaaSアプリケーション、クラウドインフラストラクチャ、マシンID(エージェント型AIシステムのカバレッジを含む)へのサポートを拡張しており、IAMネイティブツールでは通常対応できないギャップに対処できると指摘しています。単一のベンダーがすべてのITDRニーズをカバーできるわけではないため、ガートナーのガイダンスでは、ほとんどの組織が複数のカテゴリからソリューションを組み合わせ、ITDRの成熟度が高まるにつれてその組み合わせを進化させることを推奨しています。
Agentic SOCプラットフォーム は、ガートナーの初期フレームワーク以来、第4のカテゴリとして登場しました。これらは、アイデンティティ検知を、クラウド、SaaS、エンドポイント、アプリケーション環境全体にわたる広範なセキュリティ運用と統合します。これらのプラットフォームは、アイデンティティを独立した分野としてではなく、フルライフサイクルSOC機能内の1つの検知対象として扱い、専用のITDRツールや従来のインフラストラクチャセキュリティプラットフォームが通常個別に処理するクロス環境相関を可能にします。
評価におけるガートナーのフレームワークの活用方法
ガートナーが推奨するNIST CSF 2.0マッピングは、機能比較に迷うことなくITDRソリューションを評価するための最も実用的なツールです。テストは簡単です。そのソリューションはランタイムでの検知および対応機能を提供しますか、それとも主に検知として販売されている管理時における予防を提供しますか?
各NIST CSF機能にわたってこのテストを適用します。
- 検知: そのソリューションは、お使いの環境におけるアイデンティティ固有のTTP向けに特別に構築された検知ロジックを備えていますか、それとも一般的な異常フラグ付けに依存していますか?
- 対応: そのソリューションは、IDプロバイダーとの統合を通じて、封じ込めアクション、セッション失効、アカウントロックアウト、アクセスレビューを開始できますか、それともすべての対応アクションがツール外での手動手順を必要としますか?
- 復旧: そのソリューションはアイデンティティ固有の修復ワークフローをサポートしていますか、それとも広範なインシデント対応プロセスに完全に引き渡されますか?
ガートナーのガイダンスは、ITDRプログラムの進捗状況を特定のKPIに対して測定することも推奨しています。それらは、検知ロジックでカバーされている既知のアイデンティティTTPの割合、新たな脅威に対する新しい検知ルールを実装するのに必要な時間、監視でカバーされているIAMインフラストラクチャコンポーネントの割合、およびアイデンティティ関連インシデントの検知から封じ込めまでの平均時間です。これらの指標は、現在の状況と評価するソリューションの有効性の両方を評価するための実用的な基準となります。
実際に強力なITDRプラットフォームとそうでないものを分けるものは何かについて詳しく知るには、 ITDRソリューションの評価 のガイドをご覧ください。このガイドは、これらの基準をベンダー評価に直接適用しています。 ITDRが実際にどのように機能するか(ITDRが標的とする脅威カテゴリや効果的なプログラムの構成要素を含む)のより詳細な技術概要については、完全なITDRガイドをご覧ください。
よくある質問
ガートナーによるITDRの定義は何ですか? ガートナーは、2022年10月にアイデンティティ脅威検知・対応 (ITDR) をセキュリティカテゴリとして導入しました。これは、アイデンティティシステムおよびそれらが管理するアカウントを標的とする、または悪用する攻撃の検知と対応に特化したツールとプロセスを説明するものです。ガートナーのフレームワークでは、ITDRは予防的なIAM制御に続く第2層および第3層の防御として位置付けられており、予防策がアクティブなアイデンティティベースの攻撃を阻止するのに不十分な場合に作動します。
ITDRはIAMと同じですか? いいえ。IAM (アイデンティティおよびアクセス管理) はアクセス権と認証を管理する予防的制御です。ITDRは、IAM制御を迂回または悪用する脅威を検知し、対応します。この2つの分野は補完的です。IAMは攻撃対象領域を減らし、ITDRはその領域が侵害された際に可視性と対応能力を提供します。
ITDR市場には何が含まれますか? アイデンティティ脅威検知・対応市場には、専用に構築されたITDRプラットフォーム、検知機能を拡張したIAMベンダー、アイデンティティカバレッジを持つ検知・対応プラットフォーム (EDR、XDR、SIEM)、および専用のITDR機能を備えたマネージドセキュリティサービスが含まれます。ガートナーは、ほとんどの組織が単一のベンダーに依存するのではなく、複数のカテゴリの機能を組み合わせることを推奨しています。
ITDRが市場カテゴリとして成長している理由は何ですか? 成長は、アイデンティティベースの攻撃の蔓延、VerizonのDBIRによると2025年に侵害の主要な原因となる認証情報の悪用、マシンIDの急速な拡大、そしてAI支援型脅威アクターによる認証情報窃盗の自動化の増加によって推進されています。従来のIAMツールとSOCツールは検知のギャップを残しており、ITDRはそのギャップを埋めるために特別に設計されています。
