本質的に、アイデンティティ分析は機械学習を活用し、ネットワーク、クラウド、SaaS、およびアイデンティティシステム全体にわたる脅威の兆候を相互に関連付けることで、観測されたリスクに基づいてアイデンティティの優先順位付けを行います。
セキュリティ運用において、アイデンティティの活動は多くのシステムに分散している一方、静的なアイデンティティ記録では特権がリアルタイムでどのように行使されているかを示すことは稀である。このアプローチは、割り当てられた役割のみに依存するのではなく、観察された特権と環境横断的な相関関係を重視する。
アイデンティティ分析は、割り当てられた役割やディレクトリエントリといった静的な属性ではなく、観察された行動に基づいてアイデンティティリスクを評価します。この違いは重要です。なぜなら、実際の攻撃時には、アクセス権が実際にどのように使用されるかは、書類上の使用方法とはしばしば異なるからです。アイデンティティをアクティブなエンティティとして扱うことで、アイデンティティ分析は、孤立したサイロ内ではなく、クラウド、ネットワーク、SaaS、およびアイデンティティシステム全体にわたってリスクを評価します。
明確な境界線も重要です。アイデンティティ分析が隣接するアイデンティティ慣行と混同されると、チームは不完全なシグナルに依存したり、アイデンティティ活動を誤って解釈したりする可能性があります。
アイデンティティ分析はしばしば以下と混同される:
アイデンティティリスクを主に権限、レビュー、またはログイン結果を通じて評価する場合、重要な振る舞い を見逃す可能性があります。
アイデンティティとアクセス管理だけでは、現代の攻撃を阻止できない理由をご覧ください。
割り当てられた役割とグループメンバーシップは、意図されたアクセス権限を表すものであり、実際の行動を反映するものではありません。この乖離が問題となるのは、攻撃者が正当な認証情報を悪用してもディレクトリデータに変更が生じないためです。リスク評価を静的な記録ではなく、観察された特権と相関する活動にシフトすることが重要な理由はこのためです。
静的な記録、孤立した事象、およびディレクトリ駆動型のアイデンティティ評価は、一般的に以下の点で失敗する:
特権の可視化、クロスドメイン相関分析、緊急度スコアリングを統合することで、アイデンティティ中心のリスク視座が構築される。この構造が重要なのは、アイデンティティ侵害がIDプロバイダー、クラウドサービス、SaaSアプリケーション、ネットワークにまたがって発生するケースが多いためだ。これらの環境を個別に扱うと文脈が断片化し、侵害の進展経路が不明瞭になる。
テレメトリを統合し優先順位付けを改善するため、アイデンティティ分析は定義済みの分析レイヤー群に依存する。各レイヤーは従来のアイデンティティ監視における特定の限界に対処しており、いずれか一つを除去するとリスク解釈が弱体化する。
アイデンティティ分析は、以下のレイヤーで構成されています:
リアルタイムの行動は、静的な役割定義よりもアイデンティティリスクを正確に把握します。これは、特権が実際に悪用されている場合でもディレクトリ属性は変更されない可能性があるため重要です。観測された特権を追跡することは、動的でZero Trust視点の構築を支援します。
意味のある逸脱を検出するため、アイデンティティ分析は特定の行動ベースの指標に焦点を当てます。これらの指標が重要である理由は、アクセスにおける微妙な変化がしばしば緊急性の高い攻撃者の行動に先行するためであり、具体的には以下のものが含まれます:
システム全体に散在するシグナルは、単独では決定的な証拠となることは稀である。ネットワーク、クラウド、SaaS、アイデンティティシステムにまたがる活動を結びつけることで、アイデンティティの行動に関する曖昧さが軽減され、断片的な指標が一貫した行動パターンへと変容する。
これを実現するため、アイデンティティ分析ソリューションは、以下のような複数の領域にわたる活動を一貫して関連付けます:
身元情報の侵害を進行過程として捉えることで、対応判断が明確化される。初期段階の不正利用は後期段階の悪用とは様相が異なり、行動の相関関係を分析することで両者を区別できる。これにより深刻度やタイミングに関する不確実性が低減される。
進捗を評価するため、アナリストは環境を横断して、アクセスから制御に至るまでの進展を示す反復的な行動を検証する:
このギャップを埋めるには、実際の攻撃行動を早期に可視化し、既にリソースが限られているチームの調査負担を軽減する、アイデンティティに焦点を当てた分析が必要です。
Vectra ITDRが、作業負荷を50%削減しながら脅威の可視性を3倍向上させる仕組みをご覧ください →
評価は、その手法が真に不確実性を低減し優先順位付けを改善するかどうかによって決まる。静的な記録や孤立したアラートはこの要件を満たさない。したがって効果的なアイデンティティ分析は、行動、相関、緊急性を中核とする。
効果的な評価は、アプローチが実際に不確実性を低減し優先順位付けを改善するかに焦点を当てるべきである。静的な記録や孤立したアラートではこの目標を達成できない。強力なアイデンティティ分析は、観察された行動、環境横断的な相関、緊急性を中核とする。
明確な評価基準は誤分類や業務上の摩擦を防ぐのに役立ちます。また、アイデンティティ分析が一貫したアイデンティティ中心の洞察によって手動でのイベント連結を代替できるかどうかも決定します。
アイデンティティ分析手法は、以下の基準を用いて評価することができます:
Vectra 、環境を横断したアイデンティティ脅威シグナルを相関分析することでアイデンティティ分析を適用し、最も緊急性の高いアイデンティティを優先順位付けします。これは、アイデンティティ侵害がネットワーク、クラウド、SaaS、アイデンティティシステムにまたがる可能性があり、孤立したアラートでは観察された特権とリスクの進行状況を統合的に把握できないため重要です。
本質的に、Vectra プラットフォームは問題をイベント中心の監視ではなく、アイデンティティ中心の優先順位付けとして捉える。
アイデンティティ分析を活用し、Vectra プラットフォームは以下の可視性を提供します:
Vectra プラットフォームがネットワーク、クラウド、SaaS全体でアイデンティティリスクをどのように優先順位付けするかをご覧ください →
ディレクトリデータは、IDに割り当てられたアクセス権限を反映する一方、 ID分析はネットワーク、クラウド、SaaS、IDシステム全体でそのアクセス権限が実際にどのように行使されているかを評価します。ID分析は、観察された行動と相関するシグナルに焦点を当てることで、静的な役割やグループメンバーシップには現れないリスクを特定します。この違いは重要です。なぜなら、攻撃者はディレクトリ属性を変更せずに正当な認証情報を悪用することが頻繁にあり、純粋にディレクトリベースの視点では、アクティブな悪用を見逃してしまうからです。
いいえ。多要素認証(MFA)などの予防的制御は、認証時点でアクセスを遮断または制限するように設計されています。一方、アイデンティティ分析は、アクセスが許可された後の悪意のある行動の検出と優先順位付けに焦点を当てています。アイデンティティ分析は、有効なセッションや認証情報の悪用を含め、アクティブになった後のアイデンティティの挙動を扱います。これらのアプローチは攻撃の異なる段階に対処するため、アイデンティティ分析は予防的制御を代替するのではなく補完するものです。
緊急度スコアは、観測された攻撃者の行動とアイデンティティの業務上の重要度を相関させることで決定される。これには、 攻撃手法の速度と高度さ、および直接定義されるか、観測された特権から推測される重要度の 評価が含まれる。緊急度スコアの目的は、孤立したアイデンティティ事象を要約することではなく、リスクの進行度に基づいてアイデンティティの優先順位を付けることである。
非人間的アイデンティティは、人間的アイデンティティに適用されるのと同じ観察された行動フレームワークを用いて評価される。なぜなら、非人間的アイデンティティは環境を跨いだ攻撃の進展において積極的な役割を果たし得るからである。
最も関連性の高いシグナルは、環境間で相関分析を行うことで意味を持つ行動ベースの指標である。これには、繰り返されるログイン失敗、脆弱な認証情報や旧式認証情報の使用、権限行使方法の急激な変化、システム間での急速な横方向移動、不正なファイルアクセス、クラウド管理層における不審な活動などが含まれる。個々のシグナルは無害に見えるかもしれないが、これらを総合的に分析することで、アイデンティティを悪用した侵害を示唆する可能性がある。