IAMだけのセキュリティ対策では限界…… アイデンティティーを守るXDR選定のコツ：海外セキュリティリーダーからの提言

SaaSアカウントなどを狙ったサイバー攻撃が急増する昨今、企業システムを守るためにはアイデンティティーの保護が必要不可欠です。私たちはこれに向けてどのようなポイントを押さえるべきなのでしょうか。

[Kapil Raina，CrowdStrike]

この連載について

　サイバー攻撃の手法は日々進化しており多様化、巧妙化も著しい。またその攻撃対象も大手企業だけでなく中小企業や社会インフラにまで広がっている。こうした状況に向き合うわれわれも常に情報をアップデートし、手法や対策の在り方の更新が求められる。いち早く攻撃者の動向を察知し、対策を検討するセキュリティソリューションベンダーはこの状況をどう見ているだろうか。

　本連載はサイバーセキュリティベンダーなどのリーダーに、最新のサイバー攻撃の動向やその防御の考え方、技術的な課題などを解説いただく。

　連載2回目となる本稿は、サイバー攻撃者の攻撃トレンドと現状のXDR（Extended Detection and Response）ソリューションが抱える問題点、アイデンティティー／アクセス管理（以下、IAM）ソリューションの限界、アイデンティティーを狙った攻撃に対する組織の成熟度を図る質問、アイデンティティー保護を備えたXDRのメリットをお伝えします。

アイデンティティーを狙う攻撃にどう対処すべきか？

　ネットワークやエンドポイントの保護が強化されるにつれて、サイバー攻撃者が企業のシステムに侵入するための手段はアイデンティティーの不正入手が中心になってきました。そのためアイデンティティーを狙った攻撃は、近年急速な拡大を見せています。

　CrowdStrikeが発表した「2023年版グローバル脅威レポート」によると、80％近くのサイバー攻撃が認証情報の不正入手にアイデンティティーを利用し、ラテラルムーブメントなどの技法を使って検知の網を素早くくぐり抜けています。

　こうした脅威に対抗するソリューションとして近年、XDRに注目が集まっています。XDRは複数のセキュリティソリューションを統合してデータを収集・分析し、一貫した脅威の検知や調査を実現するものです。Gartnerは少なくとも、エンドポイントやデータレイク、オーケストレーション、相互関連付けのためのアイデンティティーデータソース、脅威インテリジェンスといった要素を含んだXDRソリューションを利用することを推奨しています。

　しかし現状、ほとんどのXDRソリューションはアイデンティティー保護機能を満足に統合できていません。最新のアイデンティティーベースの攻撃をリアルタイムで特定するためにどのようなテレメトリーが必要なのかを設計することは、ほとんどのXDRベンダーにとって難しいのです。

　さらにサイバー攻撃をリアルタイムで特定する際には、テレワークを含むハイブリッド環境や複数のアイデンティティーストアに対応しつつ、ユーザーに悪影響を及ぼさないことも求められます。

IAMは強力な味方だが、それだけでは限界もある……

　脅威を検知して対応するためには、サイバー攻撃者とその動機について深く理解する必要があります。サイバー攻撃者にとって昔も今も肝心なのは、扉をこじ開けるための鍵を手に入れられるかどうかです。彼らの最終的な目標が、重要なデータへのアクセス権（多くの場合特権ユーザーとしての権限）を入手し、検知されずに動き回れるようになることだというのは変わりません。

　IAMソリューションの利用は、プロビジョニングからデプロビジョニングまで、ライフサイクル全体にわたるデジタルアイデンティティーの管理、保護において極めて効果的です。組織はユーザーのデジタルアイデンティティーを管理できるようになり、全てのユーザーが職務遂行に必要なリソースを確実に利用できるようになります。多くの組織におけるゼロトラストの取り組みの一部をIAMソリューションが支えています。

　しかしIAMだけではアイデンティティーベースの攻撃を完全に防ぐことは困難です。また、IAMソリューションが長い間他のシステムから切り離されて孤立した存在になり、そこがセキュリティ上の盲点になる可能性があることは注意すべきでしょう。時には、IAMプロバイダー自身のインフラの保護に問題が起きることもあります。

　不正入手した認証情報を使えば、サイバー攻撃者はネットワークに侵入し、組織が導入しているセキュリティソリューションをかいくぐれてしまいます。この盲点は最近まで完全には理解されず、重視されることもありませんでした。このような行動を防ぐには、IAMソリューションとXDRソリューションを連携させ、検知と対応をシームレスに統合する必要があります。

あなたの組織はアイデンティティーを保護できている？　4つの質問

　アイデンティティーベースの攻撃は年々高速化しており、より短時間で組織に侵入して内部を移動できるようになっています。当社の調査によると、サイバー攻撃者がラテラルムーブメントを実行するまでに要する時間は平均1時間24分で、その多くがアイデンティティーベースの攻撃を使用しています。

　サイバー攻撃者に正規の認証情報を使われると、それが悪意ある攻撃だと判断するのは非常に困難です。悪意ある行動の可能性を特定して迅速に対応するには、セキュリティスタック全体にわたってリアルタイムで完全に可視化する必要があります。

　組織がアイデンティティーベースの攻撃を検知して防御できるかどうか、以下のような質問から考えてみてください。

1. ネイティブおよびサードパーティーのソースから、行動分析などの十分な情報を入手できますか
2. リアルタイムで事象の処理や停止ができますか。リスクベースの条件付きアクセスを利用して、誤検知を最小限に抑えられますか
3. 管理されていないシステムやレガシーシステムを含め、環境内のあらゆるものを把握し、保護できていますか
4. 侵害を封じ込めるためのプロアクティブな措置ができていますか（リスクスコアリングによる不正入手されたアイデンティティーの他のエンドポイントでの使用ブロック、確実なセグメンテーションによるラテラルムーブメントの防止など）

　今日のXDRソリューションの多くは、この要求を満たせていません。ネットワークから派生したものにせよ、SIEM（Security Information and Event Management）やSOAR（Security Orchestration and Automated Response）のソリューション改善にせよ、XDRベンダーの多くはそれぞれ特定の分野に強みを持っています。しかしGartnerの定義によれば、XDRソリューションと称するからには、これら全てができていなければなりません。

　XDRはエンドポイントから環境全体まであらゆる範囲の検知と対応を担いますが、それぞれに含まれる個人やアイデンティティー、脅威インテリジェンスのことも忘れてはいけません。

　最近のXDRソリューションでも、管理されていないエンドポイントをリアルタイムに特定したがアイデンティティーは既知といった場合、攻撃パターンを相互に関連付けて、アイデンティティーが不正入手されたものかどうかを判断することは困難です。攻撃が実行された事実やタイミングを把握するにはエンドポイントとアイデンティティーテレメトリーが必要ですが、サイバー攻撃者に関する豊富な知識で脅威ベクトルを特定することも必要です。

アイデンティティー保護を備えたXDRは収益も向上させる

　セキュリティツールが統合されておらず、個別にデータを確認しなければならないのは、ばらばらになったジグソーパズルの1ピースだけを見るようなものです。そのような場合、リアルタイムでの攻撃の特定と対応は、極めて複雑な作業になります。

　IAMはアイデンティティー保護というパズルの1ピースにすぎません。エンドポイントやアイデンティティー、脅威インテリジェンスを結び付け、クラウド、オンプレミス、モバイル、管理されていないデバイスなどあらゆるものを確実にカバーする統合的なXDRソリューションは、このパズルを効果的に解くための唯一の手段です。

　これがうまくいけば、組織はクロスドメインでの検知と調査を一元化できます。点と点を効果的に結び付け、コンテキストを理解し、リスク対応を自動化することで、攻撃の阻止や封じ込めが可能になります。

　アイデンティティー保護を備えたXDRは脅威を阻止するだけでなく、収益も向上させます。最近ある自動車ガラスメーカーの最高情報セキュリティ責任者（CISO）は自社の運用コスト削減について、サポートパスワードのリセットを75％、フィッシングの危険性を8％、不要なユーザーアクセス権を32％削減できたと話しました。

　ネットワークから電子メール、エンドポイント、アイデンティティー、Webアプリケーション、クラウド／SaaSアプリ、ワークロード、サードパーティーシステム、セキュリティツールその他もろもろに至るまで、ネイティブとサードパーティーのクロスドメインテレメトリーを相互に関連付けできる統合XDRソリューションに勝るものはないのです。間違ってもXDRソリューションでアイデンティティー保護機能を軽視しないようにしましょう。

執筆者紹介：CrowdStrike　アイデンティティ保護エバンジェリスト　カピル・レイナ（Kapil Raina）氏

カピル・レイナは、CrowdStrikeのアイデンティティ保護エバンジェリストです。20年以上のサイバーセキュリティの経験を持つレイナは、アイデンティティに関するサイバーセキュリティ業界の主要な発言者の一人となっています。PKI、バイオメトリクス、その他のセキュリティトピックに関する講演や書籍の執筆も積極的に行っています。