Identity Threat Detection and Response（ITDR）は、時間とともに巧妙化し続ける脅威を特定し、緩和し、対応するために設計されたサイバーセキュリティのアプローチである。その重要性の高まりは、ID ベースの攻撃のリスクとコストの増大によってもたらされる。これらの攻撃は、ユーザーの認証情報や特権アカウントをうまく狙うことで可能になる。ITDRは、インサイダーの脅威、侵害されたアカウント、権限の悪用を軽減することで、組織のセキュリティ態勢を強化します。

アイデンティティ脅威の検知と対応

どのようなサイバーセキュリティのトレンドが、ID脅威の開発と採用につながったのか。

プラットフォーム、システム、アプリケーションが脆弱性を解消し続けるにつれ、新参の部外者は、認証情報、設定ミス、公開された API などの他の弱点を悪用することが容易になることがよくあります。様々なフィッシング・テクニック、キー・ロガー、その他の自動化されたツールはすべて使用されており、アプリケーションやシステム・レベルのセキュリティに直接立ち向かうよりも実行しやすいことが証明されている。脆弱性調査には、悪用可能な弱点を特定するためにかなりの時間とスキル、そして広範なテストが必要だが、攻撃者はその代わりに、これらのサービスに素早くアクセスするためのクレデンシャル・スタッフィングに重点を置くようになってきている。攻撃者は、クレデンシャルベースのアプローチとともに、特権アカウントを特定し、他の侵害されたアカウントを促進する方法を特定するスキルを磨いてきた。このような攻撃は、数カ月から数年にわたる持続的な脅威となる可能性がある。もちろん、最も損害を与え、求められるIDは、情報所有者や特別なアクセス権限を持つその他の類似アカウントである。そのため、組織にとってのリスクは、クレデンシャルベースのアカウントだけでなく、最も特権のあるユーザーに対する攻撃も増えていた。なぜなら、部外者は従来、人やプロセスが自分自身を特定するために頼りにしてきた情報を持っているからである。

ITDRへの道

年	イベント
2000s	クレデンシャルベースの攻撃（フィッシング、ブルートフォース）の台頭。
2010s	盗まれた認証情報による大規模な個人情報漏えいは、その頻度においても、被害組織の価値の損失においても、増加傾向を続けている。IAM、MFA、PAMソリューションの成長。
2021	MITRE ATT&CKフレームワークがIDベースの脅威に拡大。
11月	ガートナーは ITDR に共同出資し、ID を中心とした脅威検知の必要性を強調している。
2023+	ITDRは企業のサイバーセキュリティ戦略の中核となる。

ITDRのプラクティスはどのように公式化されたのか？

2022年、ガートナーはサイバーセキュリティのプラクティスとしてITDRを導入した。その紹介の中でガートナーは、ITDRを、IDシステム、クレデンシャル、特権アクセスを標的とする脅威の増大に対応するための、組織のより効果的なアプローチとして説明している。組織がIDベースの攻撃をより効果的に検出、調査、緩和する能力を高める必要性を強調。従来のセキュリティ・ツールのアプローチとは異なり、ITDRは IDおよびアクセス管理（IAM）、ユーザーおよびエンティティの行動分析（UEBA）、拡張検出および応答（XDR）を統合し、クレデンシャルの不正使用、特権の昇格、および横方向の移動をプロアクティブに防御します。現在のセキュリティ手法ではサイバー脅威の潮流を食い止めることができないため、ITDRは組織が可視性を強化し、異常を検出し、より強力な認証とアクセス制御を実施できるよう支援します。

ITDRは何が違うのか？

ガートナーが2022年にITDRを認定したことは、IT技術を相乗効果のある新たなセキュリティ・レベルに統合し、独立したプラクティスを統合してシナリオを拡大するという意味深いマイルストーンとなった。IAMとセキュリティ情報・イベント管理（SIEM）を組み合わせることで、関連するイベントを特定し、リスクをより正確に割り当てるとともに、アプリケーション、サービス、その他のデジタルリソースレベルの対応を実行し、保護された情報を保護することができる。そのため、ITDRはIDベースの攻撃を防ぐための重要なサイバーセキュリティのカテゴリーとして勢いを増している。主なITDR推進要因には以下のようなものがある：

ID ベースの攻撃の台頭：クレデンシャルの盗難、横移動、権限の昇格が主な攻撃手法となった。現在のセキュリティ保護は効果がない。ITDRは、ユーザーやリソースのリスクが高まっていることを示す活動を特定するXDRタイプの情報を組み込んでいる。
IAMとPAMのギャップID およびアクセス管理の全体的な目的は、人とサービスが保護されたリソースに適切なタイミングで適切なアクセス権を持つことを保証することである。今日のIAMツールは、アクセスは管理するものの、リアルタイムの脅威検知には欠け、特権アクセス管理（PAM）は特権アカウントに焦点を当てるものの、一般的なIDの脅威には焦点を当てない。
ゼロ・トラストの採用：組織はアイデンティティ・ファーストのセキュリティに移行し、アイデンティティの脅威に対する継続的な監視と対応が必要になった。

ITDRの主な構成要素とは？

TDRはリアルタイムの監視と自動対応に優れているが、攻撃を特定のIDに時間をかけて添付することができないため、その効果には限界がある。不審な行動を特定するTDRの能力を拡大するためには、さらに多くのコンポーネントが必要である。

拡張された検出と対応
XDR（Extended Detection and Response）は、複数のセキュリティ・ツールとデータ・ソースを統合し、組織の攻撃対象領域全体にわたる脅威の検知、調査、対応に統一的なアプローチを提供する高度なサイバーセキュリティ・ソリューションである。

従来のSIEMやEDRソリューションとは異なり、XDRは複数のセキュリティレイヤーにまたがる脅威データを収集し、相関させます。従来のSIEMやEDRソリューションとは異なり、XDRはエンドポイント（EDR）、ネットワーク（NDR）、電子メール、クラウドワークロード、アイデンティティ・アクセス管理（IAM）など、複数のセキュリティレイヤーにまたがる脅威データを収集し、関連付けます。これにより、複数のエントリーポイントにまたがる複雑な攻撃の可視性が向上する。

自動化された脅威の調査と対応-XDRは、アラートに自動的に優先順位を付け、関連するセキュリティ・インシデントを関連付けることで、アラートによる疲労を軽減します。AIと機械学習を用いて攻撃パターンを特定し、脅威を迅速に軽減する。

プロアクティブな脅威ハンティング-セキュリティ・アナリストは、過去のデータと行動分析を使って隠れた脅威を探索することができます。MITRE ATT&CK フレームワークはしばしば XDR に統合され、敵の戦術とテクニックをマッピングする。

セキュリティスタックとの統合-XDRは、SIEM、SOAR、ITDR、およびEDRソリューションと連携し、セキュリティ運用（SOC）を合理化します。また、さまざまなセキュリティ・ツールにまたがるリアルタイム・アラートと自動修正アクションも提供する。

他のセキュリティ・ソリューションに関連するXDR
以下の表は、脅威の検出と自動応答を強化するために IT セキュリティチームが現在使用しているテクノロジの一覧です。それだけでは、XDRほど完全でも統合されているわけでもない。

セキュリティ・ソリューション	フォーカスエリア	主な違い
EDR（エンドポイント検出と応答）	エンドポイント（ノートパソコン、サーバーなど）	個々のデバイス上の脅威を検出するが、ネットワーク/クラウドの可視性に欠ける
NDR（ネットワーク検出と応答）	ネットワーク・トラフィック	ネットワーク環境内の脅威を検知するが、エンドポイントやクラウドは対象外
SIEM（セキュリティ情報・イベント管理）	ログ管理& 分析	セキュリティ・ログを収集するが、脅威対応機能が組み込まれていない
SOAR（セキュリティ・オーケストレーション、自動化、レスポンス）	インシデントレスポンスの自動化	セキュリティ・ワークフローを自動化するが、ネイティブな検出機能はない
XDR（拡大検出と対応）	クロスドメインセキュリティの可視化	エンドポイント、ネットワーク、クラウド、IDベースの検出を統合し、相関性の向上と迅速な対応を実現

ITDRにはどのような対応メカニズムがあるのか？

XDRは、通常とは異なるログイン、急激な権限の変更、信頼できない場所からのアクセスなど、不審な挙動が確認されると、侵害されたアカウントのロック、MFAの実施、未承認セッションの即時終了などの自動化されたアクションをトリガーします。ID 情報を XDR ドライバに関連付ける ITDR は、XDR 由来の情報を活用し、アクセスを制限して動的な認証制御を実施することで、攻撃者が盗んだ認証情報を悪用するのを防ぐために必要な対応を自動化します。特権活動は継続的に監視され、不正なエスカレーションは侵害につながる前にブロックされます。XDRのオーケストレーション機能は、ITDRがSIEM、SOAR、IAMシステムとシームレスに統合し、自動化された修復ワークフローを合理化することを保証します。ITDRを活用したこの自動応答は、自動化されたプロアクティブな防御でセキュリティチームを強化し、ID主導の攻撃が本格的な侵害に拡大する前に阻止します。

アイデンティティ・セキュリティ態勢管理
ITDRのレスポンス・エンジンのコア・コンポーネントは、組織のセキュリティ状況を継続的に管理（評価と対応）する能力であり、アイデンティティ・レベルでのアイデンティティ・セキュリティ姿勢管理（ISPM）である。企業がデジタル・エコシステムを拡大するにつれ、膨大な量の人間と機械のIDが、攻撃対象領域を拡大し続けている。ISPMは、IDリスク、設定ミス、ポリシー違反をリアルタイムで可視化し、IDベースの脅威に対するプロアクティブな防御を可能にする。自動化、リスク分析、ポリシー施行を活用することで、ISPMはアイデンティティがセキュリティのベストプラクティスを遵守することを保証し、クレデンシャルベースの攻撃、権限の昇格、不正アクセスにさらされる機会を減らします。

ISPMの中核にあるのは、オンプレミス、クラウド、ハイブリッド・インフラなど、さまざまな環境にわたってIDの姿勢を動的に分析する能力である。これには、アクセス権限の監視、最小権限原則の実施、および侵害を示す異常な動作の検出が含まれる。アイデンティティ脅威の検出と対応と統合された ISPM は、アイデンティティの脆弱性が悪用される前に先手を打って対処する組織の能力を強化する。サイバー脅威は多くの場合、漏洩した認証情報に基づいているため、IDベースのISPMは、進化するリスク環境にセキュリティ態勢を合わせる重要な防御層として機能する。これは、組織が許容できるリスクのレベルを定義し、そのレベルに達したときに対応するための環境を継続的に評価することによって行われる。ISPMはITDRの重要な構成要素であり、高度なサイバー敵対者に対する回復力を維持することを可能にするからである。

アイデンティティで脅威への対応を強化
アイデンティティおよびアクセス管理ソリューションによって、企業は侵害または脅威の指標となるイベントをアイデンティティに関連付けることができ、また最も効果的なレベル、つまりセッションまたはアプリケーションでの対応を目標とすることができます。IAMはITDRの "I "である。応答を効果的に自動化するには、これら2つのテクノロジーがシームレスに連携する必要がある。この統合により、可視性と脅威の検知が強化され、IDベースの攻撃に迅速に対応できるようになる。

OpenText™ IAM ソリューションは、認証ログ、アクセス要求、権限変更を生成します。OpenTextの高度な脅威検知& 内部脅威管理ソリューションは、エンドポイント、ネットワーク、クラウド環境からのデータと関連付けます。さらに、OpenText TDR は、ID ベースのリスクサービスで一般的に提供されているもの以外にも、ユーザーとエンティティの行動分析（UEBA）を提供します。これらは、アクセスやアプリケーションの使用状況から得られる違反指標を通じてリスクを検知する。従来のアイデンティティとアクセスに基づくリスク測定基準は、ブラウザのインスタンスや物理デバイスが既知かどうか、ログイン試行が失敗したかどうかなど、所定の基準に限定されていた。これらの適応制御は、時間範囲や地理的位置に条件や制限を加えるだけでなく、不可能な移動シナリオを特定する。従来のアダプティブ・アクセス・コントロールも、こうした規定条件の履歴を活用することができるが、XDRの測定基準ははるかに高度なものとなる。

XDRテクノロジーは、IAMインフラで利用可能な情報よりもはるかに広範な情報を監視する。そのデータから、XDRオートメーションは、観察されたデータを、ルールベースのコントロールよりも識別性の高い行動パターンに相関させることができる。異常や攻撃パターンから、どのセッションが危険因子を示しているかを識別する。XDRのモニタリング機能を、ITDRのセキュリティ・レベルを形成するID情報と統合すると、アクティビティを相関させ、パターン（長期にわたるパターン）に計算することができる。アイデンティティでは、ネットワーク、デバイス、およびセッション情報から収集されたアクティビティ・データは、アイデンティティ（人またはプロセス）がデジタル・サービスと長期間にわたって行う、より高いレベルの相互作用に相関する。この永続的な ID ベースの活動データにより、リスク・エンジンは、一般的なセキュリティ対策に侵入するために使用される侵入関連活動のリスクを計算できるようになる。これらのパターンは、各アクティブユーザーのモデルが成長するにつれて、ユーザーの異常や潜在的な違反を特定する上でITDRをより効果的にする方法で、時間の経過とともに強くなります。脅威モデルを強化するだけでなく、ITDRはセキュリティオーケストレーション、自動化、レスポンス（SOAR）プラットフォームを通じて、IAM環境で利用できる以上の対応を行うことができる。さらにIT部門は、この拡張されたセキュリティ・プラットフォームを使用して、悪意のあるIPのブロック、セキュリティ・アナリストへの警告、影響を受けたデバイスの隔離など、事前に定義されたワークフローを開始することができる。

ITDRは組織においてどのような役割を果たすべきか？

環境はそれぞれ異なるため、ITDRレベルのセキュリティへの道もそれぞれ異なる。つまり、ITDRの必要性は、特定の環境に存在する場合もあれば、存在しない場合もあり、ITDRの洗練度は様々である。現在の環境の構成が、何を実施するかに影響する。

ITDR形式のセキュリティに投資する金額を決定するのに役立つ力学には、以下のようなものがある：

リスク-あらゆるリスクが支配的な要素であるべきだ。情報漏洩の完全なコストとは？コンプライアンス監査に失敗したり、サイバー保険の要件を満たせなかったりした場合、ビジネスにはどのような影響があるのだろうか。
コストと専門知識-今日の環境における既存のITDRコンポーネントにおいて、ITDRの障壁として最も過小評価されているのは、コストとドメインの専門知識である。強固なIAM、PAM、SIEMソリューションを持つ組織は、ITDRセキュリティレイヤーへのアップグレードが容易になる。しかし、ID セキュリティが不完全または脆弱な場合、IAM はより緊急のニーズとなる。
ITDRを既存のセキュリティ・スタックと統合できるかどうかも重要な要素である。IAM、SIEM、SOAR、およびEDR/XDRソリューションとのシームレスな統合により、ITDRは運用のサイロ化を招くことなく、リアルタイムのモニタリングとインシデントレスポンスを提供できます。
拡張性 - ハイブリッドおよびマルチクラウド環境の採用が進む中、ITDRはクラウドID、特権アクセス、および連携認証をカバーする必要がある。大規模なリモート・ワークや広範なサードパーティ・アクセスを管理する企業にとっては、分散した環境全体で安全な本人確認を確保することができるため、特に貴重な存在となる。
ゼロ・トラストの優先順位と予算-ITDRを現代のサイバーセキュリティ戦略の最前線に据える。ITDRは、継続的な本人確認、行動分析、リスクベースの対応を可能にし、ゼロ・トラスト・モデルの中核となる原則である。組織が従来の境界ベースのセキュリティから脱却するにつれ、ITDRは新しい境界としてアイデンティティを保護する上で重要な役割を果たしている。

ITDRは新しいアクセス・セキュリティ層なのか？

ITDRは、従来のアイデンティティ・セキュリティから、現代のアイデンティティ主導のサイバー脅威に対処するセキュリティ専門分野へと進化した。サイバー犯罪者がクレデンシャル、特権アカウント、アイデンティティ・システムをますます標的とするようになる中、ITDRは組織のセキュリティ戦略の標準的なセキュリティ・レイヤーになるかもしれない。