拡大するIDと 生成AI脅威環境に対するIDセキュリティの再定義

2024年8月8日
Vectra AIプロダクトチーム
拡大するIDと 生成AI脅威環境に対するIDセキュリティの再定義

現在、アイデンティティの脅威はどのように定義されており、ほとんどのSOCチームが使用している防御アプローチやツールは、非常に不十分です。

すぐにでも変える必要がある。

ほとんどのSOCチームは、IDセキュリティをIDハイニジーの修正と侵害前の姿勢管理の更新と見なしています。しかし、この拡大するアイデンティティと生成AIの脅威環境では、包括的なアイデンティティセキュリティには、継続的な攻撃を防御するために、AIを活用した侵害後の検出と対応機能も必要です。このことは、ID攻撃対策を行っているにもかかわらず、組織がハイブリッド脅威サーフェス全体にわたってIDベースの攻撃にさらされていることからも明らかです。

ほとんどのSOCチームには、そのようなアイデンティティ攻撃を可視化する技術スタックがないため、この課題はさらに困難になっています。簡単に言えば、見えなければ止められないということです。検知と対応に対する包括的なアプローチと同様に、アイデンティティに対する新たな理解が必要です。

アイデンティティの新しい定義:現代企業の中心

アイデンティティは、もはや特別なものでも、閉ざされたものでもありません。より適切な定義は、オンプレミスとクラウドのネットワーク、SaaS、PaaS、データ、リモートワーク、その他のサーフェス、および多数のデバイスを通じて実行されるため、アイデンティティは現代の企業の中心であるということです。残念ながら、サイバー攻撃者はハイブリッドなサーフェスを産業規模で横断して攻撃を仕掛けることができます。さらに、攻撃者が複雑なネットワークシステムを迅速にナビゲートし、ほとんどのSOCチームに検出されることなく、あらゆる組織から重要なデータを盗むには、侵害されたIDが1つあればよいのです。すべてのハイブリッド攻撃は最終的にID攻撃になるというのが現実です。

すべてのハイブリッド攻撃は最終的にID攻撃になる。

なぜそんなことがわかるのでしょうか?

なぜなら、ハイブリッド環境を防御するためのセキュリティ・ツールに何百万ドルも投資しているにもかかわらず、90%の組織がID攻撃を経験しているからです。さらに、攻撃者はフィッシング・アズ・ア・サービスやランサムウェア・アズ・ア・サービスなどのテクニックをコモディティ化し、アイデンティティを含む攻撃を大規模に再現できるようになりました。

クラウドとネットワークの統合アクセスはアイデンティティセキュリティの新たな最前線

かつてアイデンティティは、攻撃者がすでにネットワーク内にいる場合にのみアクセス可能でした。アイデンティティを保護するには、ファイアウォール、EDR、ポリシーで十分であり、アイデンティティ防御の最前線であると信じられていました。しかし、もはやそうではありません。今日、アイデンティティは境界を超え、従来のネットワーク環境の外部に容易にアクセスできるようになっています。このような外部からのアクセスが当たり前になった現在、統合クラウドとネットワークアクセスが防御側の新たな最前線となっています。

攻撃者が成功するために必要なものは2つ:アイデンティティとネットワーク

基本的に、攻撃者が成功するために必要なものは、アイデンティティとネットワークの2つだけです。IDに関しては、攻撃者にとって格好の標的です。アイデンティティの攻撃対象が急速に拡大するにつれ、アイデンティティの侵害の機会も指数関数的に増加しています。クラウドとネットワーク内のすべてのユーザー(顧客、従業員、パートナー、ベンダー)、デバイス、サービスアカウントが、潜在的なID攻撃のベクトルになります。

そのため、攻撃者は、人間や機械に関連するあらゆる種類のIDを悪用して、攻撃を開始したり、環境内で横方向に移動して機密データにアクセスしたり、ランサムウェアを拡散したりすることができます。さらに、(API、ボット、サービスアカウントなど)無数のマシンIDはすべて、独自の防御上の課題をもたらします。人間のユーザーとは異なり、MFAによる認証ができません(MFAについては後ほど詳しく説明します)。

アイデンティティの爆発がもたらす、マシンおよびサービスアイデンティティの盲点

しかし、これらのマシン・アイデンティティは重要なリソースにアクセスできます。Silverfort によると、全ユーザの 31%は、高いアクセス権限と低い可視性を持つサービスアカウントです。さらに、平均して、109の新しい影の管理者は、単一のADの誤設定によって導入され、真の管理者のパスワードをリセットするために攻撃者を可能にします。*Silverfortアイデンティティ・アンダーグラウンド・レポート

31%のユーザーが、高いアクセス権限と低い可視性を持つサービスアカウントである。

さらに、企業は SOC チームが認識しているよりも多くの ID を保護する必要があります。Vectra Identity Calculatorによると、企業は従業員1人あたり3倍のアイデンティティ(マシン/サービスアカウント)を持っています。つまり、従業員1,000人の企業では、少なくとも3,000のアイデンティティを保護する必要があります。さらにOktaによると、これらのユーザーのうち実際にMFAを有効にしているのは64%に過ぎず、少なくとも1,080のアイデンティティ(3,000 x (100%-64%))がMFAで保護されていない、あるいはMFAを使用していないことになります。明らかに、アイデンティティに対する考え方とアイデンティティ・セキュリティへのアプロ ーチは、より弾力的で包括的なものでなければなりません。

さらに、攻撃者グループがネットワークとクラウド内の攻撃サーフェス間を自在に行き来する一方で、SOCチームが攻撃サーフェスごとにサイロ化されたツールに依存していることがあまりにも多く、ノイズが増え、アラートが連鎖し、可視性が低下しています。企業アイデンティティの急速な増加と可視性の欠如により、攻撃者はネットワークを突破し、攻撃を進展させる方法を増やす一方で、防御者はこれらの新たな課題に対応するための十分な能力を備えていません。その結果、ほとんどの場合、SOCチームはアイデンティティ攻撃がネットワークに侵入したり、データを盗んだりするのを防いだり、確認したり、阻止したりしていません。

拡大するアイデンティティアタックサーフェスが脅威リスクを増大

同様に、組織がクラウドへの移行を進めるにつれ、その環境はオンプレミスのインフラ、クラウドサービス、リモートワークスペースにまたがり、相互接続されたシステムの複雑さを増しています。このような拡大により、攻撃者は攻撃を開始するための複数の新しいエントリーポイントを得ることになります。この事実だけでも、攻撃の成功確率は大幅に高まります。攻撃者はオンプレミス環境とクラウド環境の間を行き来するため、侵害されたエントリーポイントが1つでもあれば、重大な侵害につながる可能性があります。

ハイブリッド攻撃における攻撃者の視点

MFAだけでは十分とは言い難い

SOCチームの大部分にとって、アイデンティティ・セキュリティに対する一般的な見解は、「MFAがあるから大丈夫」というものです。最近の有名な情報漏えい事件で明らかになったように、MFAだけでは十分ではありません。ID攻撃を受けた企業の90%がMFAを導入していたという事実は、そのことを端的に物語っています。

ID攻撃を経験した企業の90%は MFAを導入している

この事実は、マイクロソフトが2023年のIgniteで明らかにした、月間アクティブユーザーの62%がMFAをオンにしていなかったという事実が裏付けています。 つまり、組織のアイデンティティのほぼ3分の2は、アカウント侵害のリスクが非常に高いということです。最後に、2023年後半に発生したOKTAサプライチェーン侵害事件は、ID保護におけるMFAの不十分さを実証しました。攻撃者は、ソーシャルエンジニアリングや侵害されたデバイスなどを通じて、簡単にMFAをバイパスすることができます。

これはMFAに対する批判というよりも、人間の振る舞いに関する現実的な確認です。

同様に、EDR ソリューションも防弾仕様ではありません。EDR ソリューションは必要ですが、ID 侵害のさまざまな微妙な兆候を見逃す可能性があるため、不十分です。侵入防止ツールも役に立ちますが、完璧ではありません。要するに、いずれにせよ、攻撃者はあなたの防御を突破しようとしているのです。Vectra AIの調査によると、セキュリティ専門家の71%は、組織が侵入されたと考えています。SOCチームは、侵害後の強固なアイデンティティ検出と対応機能で予防を強化する必要があります。

攻撃者はMFAやEDRを迂回し、何らかの方法で防御を突破しようとします。

人的要素とIDセキュリティの生み出す疲労

前述のAzure Active DirectoryのMFA利用者統計に反映されているように、IDセキュリティには人的要素もあります。それは、従業員や企業が自由に使えるセキュリティツールがあっても、それが常に正しく使用されたり、一貫して実装されたりするとは限らないということです。これは、単純なパスワードの使い疲れから、組織レベルでのポリシーの実装や施行の失敗まで、あらゆる形で現れます。スピアフィッシングは、単純な人間の警告疲れ、マルチタスクによる注意の逸らし、AIが生成したフェイク、または単なる "古い好奇心 "が原因の一部で成功し続けています。

しかし、アイデンティティ・セキュリティの疲労は双方向の関係にあり、SOCチームにも影響を及ぼしています。アナリストの疲労と燃え尽きは、彼らの有効性を低下させる現実的で手ごわい要因です。毎日ほぼ5,000件という圧倒的な数のアラートを処理し、退屈な手作業や長すぎる残業時間をこなすことで、チームは過労に陥り、圧倒され、人員不足に陥ります。その結果、仕事に対する自信と能力が低下し、離職率が高くなっています。攻撃者の攻撃が効率化されるにつれ、防御者はますます脅威のカーブに遅れをとるようになっています。

生成AIのアタックサーフェス:指数関数的に増加するアイデンティティの暴露

最後に、Microsoft Copilotのような生成AIツールの企業環境への急速な導入と統合は、すでに新たな非常にアクセスしやすい攻撃対象領域を生み出しています。AI主導のツールは業務の効率化を目的としていますが、大規模な言語モデル(LLM)が企業独自のデータにアクセスできるため、ID攻撃の格好の標的となっています。たった一度の侵害で、攻撃者は同じAI主導の優位性を獲得し、企業そのものに対して企業レベルのAI機能を使用し、AIのスピードとスケールで攻撃を広げるためにIDを悪用します。

さらに問題なのは、AIの速度で振る舞い分析を適用する侵害後のID検知および対応ソリューションがなければ、SOCチームは、CopilotのようなAIチャットを搭載したツールが攻撃者にどのような情報を返すのか、ほとんど可視化できないことです。このため、検知と対応に、すでに存在するよりもさらに多くの遅延が生じます。SOCチームは、AI主導のスピードと機能を備えた検知・監視ソリューションを活用し、攻撃者が生成AIツールを通じてIDを悪用し、機密データや情報にアクセスするのを阻止・防止できなければなりません。

認証情報とMFAの使用で構成される従来のIDセキュリティの定義は、ハイブリッド サーフェスの拡大、MFAの不十分さ、マシンIDの大量生産、AI主導の脅威曲線の急激な増加という現実に遅れをとっており、もはや真実ではなく、使用可能でもありません。

要するに、Copilotの侵害による生成AI主導の攻撃能力は、アイデンティティの露出を指数関数的な規模で増大させるということです。

アイデンティティの漏洩は組織にどれほどのリスクをもたらすのか?

組織の約98%は、保護しなければならないにもかかわらず保護できないアイデンティティの数が急速に拡大しているため、この課題を誇張することは困難です。さらに、ISDA によると、84% の組織が ID 侵害によってビジネスに直接的な影響を受けています。アイデンティティの拡散は起きており、今後も続くでしょう。90%の組織がID侵害の被害を受けるのも不思議ではありません。IDの漏洩はますます容易になっており、攻撃者はデータ王国への鍵を手にしています。

そのため、SOCチームの62%が、組織の機密データや資産にアクセスできる人間または機械のIDをゼロ可視化していることは驚くべきことです。言い換えれば、組織の大部分は、IDベースの攻撃から重要な資産を保護することができず、IDが悪用されている、または悪用されたことさえ確認できないのです。

侵入してくるかもしれない攻撃者と、すでに侵入している攻撃者、どちらがより重要なのか?

前述のとおり、SOCアナリストの71%は、すでに侵入されていると考えています。確かに、予防的態勢と衛生管理はアイデンティティ・ファーストのセキュリティの基本です。しかし、新しいユーザー、デバイス、システム、ワークロードが増えれば、新たなギャップを埋め、より多くの設定を変更しなければならず、終わりのない闘いになります。自動化やM&Aによるシステム変更から生じる設定ミスは言うまでもありません。

最善の努力にもかかわらず、攻撃者は、環境内で前進するためにたった1つの隙を必要とします。攻撃者の攻撃速度が加速し続ける中、セキュリティチームは、被害が発生する前に、すでに環境に侵入している攻撃者をできるだけ早い段階で阻止するために、侵害後の脅威検知への投資を優先すべきです。

すべての組織は、アイデンティティセキュリティに常に注意を払う必要があります。これは、拡大するアイデンティティと生成AIの脅威サーフェス環境におけるアイデンティティセキュリティの新たな現実を認識することから始まります。また、アイデンティティの衛生管理および姿勢管理の最適化、ならびに侵害後のアイデンティティの検知と対応を含む、バランスの取れたアプローチも必要です。 暴露ギャップ分析も推奨されます。

Vectra Identity Threat Detection and Response(ITDR) は、セキュリティ態勢の変化を検知し、AIのスピードとスケールで危殆化後のID検知と対応を行います。

よくあるご質問(FAQ)