高木 健太郎
ゼロトラスト時代の到来
コラム「注目されるゼロトラストセキュリティ」で「ゼロトラスト」について触れました。新しいセキュリティフレームワークとして、急速に日本でも導入が進んでおり、その中心となる考え方はID(アイデンティティ)に基づいた認証および認可への転換です。
IDを中心に置くということは、攻撃者からすればこのIDを攻撃ターゲットとすればいいということを意味します。Active Directoryをはじめとしたディレクトリサービス、Azure ADのようなクラウドで提供されるIDおよびアクセス管理を行うIAM(Identity and Access Management)サービスなどのインフラを対象として、特権IDなどのクレデンシャル情報が狙われることとなります。
ID保護の取り組みはまだ十分とは言えません。従来のセキュリティ対策では実現が困難なうえ、IDaaSなどアイデンティティの活用に着目をするものの、その保護については見過ごされています。
IDは攻撃されるものだという前提に立ち、この脅威を検知し対応するソリューションを検討する必要が出てきました。そこで注目されるのが、ID攻撃に対する防御策「ITDR(アイデンティティ脅威の検知と対応)」です。
ITDRとはどういうもの?
ITDRは、侵入を前提とした防御でセキュリティ強化を図るEDR(Endpoint Detection and Response)やNDR(Network Detection and Response)などに近い新しいカテゴリのソリューションです。
EDRがエンドポイント・デバイスの振る舞いを分析するように、ITDRは、Active DirectoryやAzure ADなどで行われるIDの振る舞いを分析します。
普段とは異なる振る舞いや脅威インテリジェンス*1 を示す怪しいIDを検知し、ID管理ソリューションなどと連携して該当IDからの認証をブロックしたり、追加の認証(多要素認証)を要求したりするといった様々な対応を実現するものです。
*1 攻撃者の意図や能力、設備などに関する情報を整理および分析することで有益な知識を導き出し、使用可能なものに変えた情報を、脅威インテリジェンスと言います。この活用によって従来のセキュリティ対策で見逃されていた高度なサイバー攻撃を防御・検知できるようになると言われています。
ITDRはどう使うもの?
ITDRは継続的なモニタリングと脅威分析によりIDの異常を早期に検知し、事前のリスク評価結果を反映したポリシーを活用して、早期対応を図る持続的な取り組みです。ITDRでは「検出と検査」「分析」「ポリシー評価」「インシデントの管理と修復」のサイクルを高速に回す事が必要になります。
ITDR導入へのステップには次のようなものがあります。
- システムやネットワークにおけるIDに関する脅威を理解し、リスクアセスメント*2 を行い、それをもとにどう備えるべきかの対策を計画する
- IDに関する各種ログを監視/収集して、個々のユーザーの普段の行動パターンを学習する
- 普段の行動に一致しない異常な振る舞いや不審な活動を検出する
- 異常な振る舞いの検知を早期に把握するための監視体制を整備する
- 最小権限を原則としたアクセス権限管理を行う(特権権限の利用はワークフローで運用するのが望ましい)
- ID認証をより安全にするために多要素認証(MFA)を導入する
- インシデント発生に備えて対応手順を整備する(ユーザーへの通知、アカウントの一時停止などでインシデントの影響を抑制)
*2 一般的に「リスクアセスメント」とは、作業における危険性や有害性を特定し、それらが引き起こす可能性のある労働災害の重大さからリスクを見積もり、そのリスクの大きさに合わせて優先順位を決めて、リスクの除去や低減をしていく一連の手法を言います。情報セキュリティにおけるリスクアセスメントは、組織や企業が抱える情報資産に対するリスクを洗い出し、分析・評価を行い、これが許容できるかどうかを決定する一連の手法を表します。
上記ステップの中にはすでに取り組まれている要素も含まれますが、新しいセキュリティインシデントに対しては常に分析と改善を繰り返す必要があります。
その他、セキュリティ意識向上のためのトレーニングを行う(個々人のITリテラシーを高める)こと、内外の監査を実施し、セキュリティ対策の効果や業界基準・ガイドラインへの適合を確認することも重要です。
ITDRソリューション提供ベンダーの状況
各ステップの内容は理解はできてもその実現にかけられるリソースにも、個別対応をすることによって得られる効果にも限界があります。そこでITDRの複数あるステップをひとまとめにしてシステム化した、ITDRソリューションと呼ばれる製品が提供されています。
新興ソリューションであるITDRを主戦場とするITDRベンダーは、国外を中心に10以上存在し各社が特色を出しあってしのぎを削っている状況です。
また、IDへの脅威が急拡大している状況やXDRと呼ばれる複数の検知技術の統合の高まりもあり、EDRベンダーによるITDRベンダーの買収・統合が急速に進んできています。
このような動きは新興カテゴリのIT市場にはつきものと言われており、大手セキュリティベンダーによるITDRベンダーの買収がしばらく続くと予想されています。
まとめ
「IDへの脅威検知と対策」を効果的に実現することは、現在のデジタル社会において非常に重要といえます。
サイバー犯罪の脅威とデータ侵害のリスクが進化して拡大している状況下では、ITDRソリューションへの積極的な投資が加速し、ソリューションとしても益々洗練されていくことが予測されます。これからもITDRに注目していきたいと思います。
参考
ITDRとは?~ID脅威を検知・対応する注目の新ソリューション~ | MNB(マクニカネットワークスブログ)
ゼロトラストにも急所、アイデンティティ攻撃から組織を守る「ITDR」とは | 日経クロステック Active
アタック・サーフェスやITDRなど、ガートナーが指南するセキュリティの7大トレンド |ビジネス+IT
XDR と アイデンティティの脅威検知とインシデント対応 (ITDR) の融合 – SentinelOne JP
アイデンティティ脅威検知/対応:サイバー攻撃対策としての新たな施策
アイデンティティ脅威の検知と対応 (ITDR)
急増中!EDRでは防げないID攻撃に対する防御策とは!? CrowdStrike ITDRで実現するID対策について – ZDNET Japan
