本質的に、アイデンティティ分析は機械学習を活用し、ネットワーク、クラウド、SaaS、およびアイデンティティシステム全体にわたる脅威の兆候を相互に関連付けることで、観測されたリスクに基づいてアイデンティティの優先順位付けを行います。
セキュリティ運用において、アイデンティティアクティビティは多くのシステムに分散していますが、静的なアイデンティティレコードでは、権限がどのようにリアルタイムで行使されているかを示すことはほとんどありません。このアプローチでは、割り当てられたロールのみに頼るのではなく、観察された権限と環境間の相関関係を重視します。
アイデンティティ分析は、割り当てられた役割やディレクトリエントリといった静的な属性ではなく、観察された行動に基づいてアイデンティティリスクを評価します。この違いは重要です。なぜなら、実際の攻撃時には、アクセス権が実際にどのように使用されるかは、書類上の使用方法とはしばしば異なるからです。アイデンティティをアクティブなエンティティとして扱うことで、アイデンティティ分析は、孤立したサイロ内ではなく、クラウド、ネットワーク、SaaS、およびアイデンティティシステム全体にわたってリスクを評価します。
明確な境界線も重要です。アイデンティティ分析が隣接するアイデンティティ慣行と混同されると、チームは不完全なシグナルに依存したり、アイデンティティ活動を誤って解釈したりする可能性があります。
アイデンティティ分析はしばしば以下と混同される:
アイデンティティリスクを主に権限、レビュー、またはログイン結果を通じて評価する場合、重要な振る舞い を見逃す可能性があります。
アイデンティティとアクセス管理だけでは、現代の攻撃を阻止できない理由をご覧ください。
割り当てられたロールとグループメンバーシップは、意図されたアクセスを示すものであり、実際の行動を示すものではありません。このギャップは重要です。なぜなら、攻撃者はディレクトリデータの変更をトリガーすることなく、正当な資格情報を悪用できるからです。だからこそ、リスク評価を静的な記録ではなく、観察された権限と相関関係のあるアクティビティにシフトさせることが重要なのです。
静的な記録、孤立した事象、およびディレクトリ駆動型のアイデンティティ評価は、一般的に以下の点で失敗する:
観察された権限、ドメイン間の相関関係、そして緊急度スコアリングを組み合わせることで、アイデンティティ中心のリスクビューを生成します。アイデンティティ侵害は、アイデンティティプロバイダー、クラウドサービス、SaaSアプリケーション、そしてネットワークにまたがることが多いため、この構造は重要です。これらの環境を個別に扱うと、コンテキストが断片化され、進行状況が分かりにくくなります。
テレメトリを統合し、優先順位付けを向上させるために、アイデンティティ分析は定義された一連の分析レイヤーに依存しています。各レイヤーは従来のアイデンティティ監視の特定の限界に対処するものであり、いずれかのレイヤーを削除するとリスクの解釈が弱まります。
アイデンティティ分析は、以下のレイヤーで構成されています。
リアルタイムの振る舞いは、静的な役割定義よりもアイデンティティリスクを正確に把握します。これは、特権が実際に悪用されている場合でもディレクトリ属性は変更されない可能性があるため重要です。観測された特権を追跡することは、動的でZero Trust視点の構築を支援します。
意味のある逸脱を検知するため、アイデンティティ分析は特定の振る舞いベースの指標に焦点を当てます。これらの指標が重要である理由は、アクセスにおける微妙な変化がしばしば緊急性の高い攻撃者の振る舞いに先行するためであり、具体的には以下のものが含まれます。
システム全体に散在するシグナルは、単独では決定的な証拠となることは稀である。ネットワーク、クラウド、SaaS、アイデンティティシステムにまたがる活動を結びつけることで、アイデンティティの行動に関する曖昧さが軽減され、断片的な指標が一貫した振る舞いパターンへと変容する。
これを実現するため、アイデンティティ分析ソリューションは、以下のような複数の領域にわたる活動を一貫して関連付けます:
身元情報の侵害を進行過程として捉えることで、対応判断が明確化される。初期段階の不正利用は後期段階の悪用とは様相が異なり、行動の相関関係を分析することで両者を区別できる。これにより深刻度やタイミングに関する不確実性が低減される。
進捗を評価するため、アナリストは環境を横断して、アクセスから制御に至るまでの進展を示す反復的な振る舞いを検証する:
このギャップを埋めるには、実際の攻撃の振る舞いを早期に可視化し、既にリソースが限られているチームの調査負担を軽減する、アイデンティティに焦点を当てた分析が必要です。
Vectra AI 、作業負荷を50%削減しながら脅威の可視性を3倍向上させる仕組みをご覧ください →
評価は、アプローチが真に不確実性を低減し、優先順位付けを改善するかどうかにかかっています。静的な記録や個別のアラートでは、この要件を満たせません。したがって、効果的なアイデンティティ分析は、振る舞い、相関関係、そして緊急性に焦点を当てたものになります。
効果的な評価は、アプローチが実際に不確実性を低減し優先順位付けを改善するかに焦点を当てるべきである。静的な記録や孤立したアラートではこの目標を達成できない。強力なアイデンティティ分析は、観察された振る舞い、環境横断的な相関、緊急性を中核とする。
明確な評価基準は誤分類や業務上の摩擦を防ぐのに役立ちます。また、アイデンティティ分析が一貫したアイデンティティ中心の洞察によって手動でのイベント連結を代替できるかどうかも決定します。
アイデンティティ分析手法は、以下の基準を用いて評価することができます。
Vectra AI プラットフォームは、環境全体にわたるアイデンティティ脅威のシグナルを相関分析し、最も緊急性の高いアイデンティティを優先順位付けすることで、アイデンティティ分析を適用します。これは、アイデンティティ侵害がネットワーク、クラウド、SaaS、そしてアイデンティティシステムにまたがる可能性があり、個別のアラートでは、観測された権限とリスクの進行状況を統合的に把握できないため、重要なポイントとなります。
本質的に、Vectra AIプラットフォームは問題をイベント中心の監視ではなく、アイデンティティ中心の優先順位付けとして捉える。
アイデンティティ分析を活用し、Vectra プラットフォームは以下の可視性を提供します。
Vectra AIプラットフォームがネットワーク、クラウド、SaaS全体でアイデンティティリスクをどのように優先順位付けするかをご覧ください →
ディレクトリデータは、IDに割り当てられたアクセス権限を反映する一方、 ID分析はネットワーク、クラウド、SaaS、IDシステム全体でそのアクセス権限が実際にどのように行使されているかを評価します。ID分析は、観察された振る舞いと相関するシグナルに焦点を当てることで、静的な役割やグループメンバーシップには現れないリスクを特定します。この違いは重要です。なぜなら、攻撃者はディレクトリ属性を変更せずに正当な認証情報を悪用することが頻繁にあり、純粋にディレクトリベースの視点では、アクティブな悪用を見逃してしまうからです。
いいえ。多要素認証(MFA)などの予防的制御は、認証時点でアクセスを遮断または制限するように設計されています。一方、アイデンティティ分析は、アクセスが許可された後の悪意のある振る舞いの検出と優先順位付けに焦点を当てています。アイデンティティ分析は、有効なセッションや認証情報の悪用を含め、アクティブになった後のアイデンティティの挙動を扱います。これらのアプローチは攻撃の異なる段階に対処するため、アイデンティティ分析は予防的制御を代替するのではなく補完するものです。
緊急度スコアは、観測された攻撃者の振る舞いとアイデンティティの業務上の重要度を相関させることで決定される。これには、 攻撃手法の速度と高度さ、および直接定義されるか、観測された特権から推測される重要度の 評価が含まれる。緊急度スコアの目的は、孤立したアイデンティティ事象を要約することではなく、リスクの進行度に基づいてアイデンティティの優先順位を付けることである。
非人間的アイデンティティは、人間的アイデンティティに適用されるのと同じ観察された振る舞いフレームワークを用いて評価される。なぜなら、非人間的アイデンティティは環境を跨いだ攻撃の進展において積極的な役割を果たし得るからである。
最も関連性の高いシグナルは、環境間で相関分析を行うことで意味を持つ振る舞いベースの指標である。これには、繰り返されるログイン失敗、脆弱な認証情報や旧式認証情報の使用、権限行使方法の急激な変化、システム間での急速な横方向移動、不正なファイルアクセス、クラウド管理層における不審な活動などが含まれる。個々のシグナルは無害に見えるかもしれないが、これらを総合的に分析することで、アイデンティティを悪用した侵害を示唆する可能性がある。