アイデンティティ脅威の検知と対応（ITDR）：完全ガイド

主な洞察

現在、アイデンティティは主要な攻撃経路となっています。2025年のインシデント対応案件の90％がアイデンティティの脆弱性を原因としており、現代のセキュリティプログラムにおいてITDRは不可欠なものとなっています。
ITDRは、IAM、PAM、EDR、およびXDRを補完するものであり、それらに取って代わるものではありません。ITDRは、他のツールにはない、アイデンティティに特化した振る舞い追加します。
非人間的なアイデンティティは、新たな盲点となりつつあります。2025年には1,810万件のAPIキーが流出、620万件のAIツール認証情報が再取得される見込みであり、機械のアイデンティティに関する脅威は、人間と同様の注意を払う必要があります。
効果的なITDRを実現するには、段階的な導入と、特定までの平均時間、誤検知率、攻撃対象領域の特定範囲といった測定可能なKPIが必要です。
実際のセキュリティ侵害事例がこれを裏付けています。「Snowflake」、「Midnight Blizzard」、そして「FICOBA」の各インシデントは、従来の対策が機能しない場面で、IDを標的とした攻撃がいかに成功するかを如実に示しています。

アイデンティティは、主要な攻撃対象領域となっています。2025年には、インシデント対応調査の90%がアイデンティティの脆弱性に関連しており、初期アクセスの65%はアイデンティティを悪用したものでした。具体的にはフィッシング、認証情報の盗難、またはブルートフォース攻撃など）によるものでした。一方、同年、マルウェア 20億件近くの認証情報が抽出されました。従来の境界防御やエンドポイント制御は、有効な認証情報を使って正面玄関から堂々と侵入してくる攻撃者を検知するようには設計されていませんでした。アイデンティティ脅威検知・対応（ITDR）は、そのギャップを埋めるために存在します。

本ガイドでは、ITDRとは何か、その仕組み、検知可能な攻撃の種類、他のセキュリティツールとの比較、そして効果的な導入方法について解説します。各説明は、実際の侵害事例やコンプライアンス要件との照合結果によって裏付けられています。

アイデンティティ脅威の検知と対応（ITDR）とは何ですか？

アイデンティティ脅威検知・対応（ITDR）とは、オンプレミスおよびクラウド環境全体において、ユーザーやマシンのアイデンティティを標的とする脅威を検知、分析、対応するセキュリティ分野である。これには、振る舞い AIを活用して、従来の境界防御を迂回する認証情報の悪用、権限昇格、およびアイデンティティを悪用した横方向の移動を特定する技術が含まれる。

ガートナーは2022年、ITDRをセキュリティおよびリスク管理の主要トレンドとして初めて位置づけ、これをアイデンティティおよびアクセス管理（IAM）とは異なる独自のカテゴリーとして挙げました。この区別は重要です。IAMは、誰がアクセス権を持つかを管理するものです。一方、ITDRは、そのアクセス権が不正利用されたり、悪用されたり、盗まれたりした際にそれを検知するものです。

市場はすでに反応を示している。Fortune Business InsightsとMarketsandMarketsの両社の調査によると、ITDR市場は年平均成長率（CAGR）約22.6～22.9％で成長している。この成長は、防御側の関係者がすでに認識している現実を反映している。すなわち、攻撃者はインフラの悪用から、IDの悪用へと標的を移しているのだ。

ITDRは、予防的な対策であるアイデンティティ・セキュリティ・ポスチャー管理（ISPM）と連携して機能します。ISPMが、攻撃者に悪用される前にアイデンティティ設定の強化、権限の適正化、休眠アカウントの削除に重点を置くのに対し、ITDRはアクティブな脅威をリアルタイムで監視します。これらを組み合わせることで、予防と検知の両方を基盤とした包括的なアイデンティティ・セキュリティ戦略が構築されます。アイデンティティ・アナリティクスは、これら両方の分野を支える振る舞いを提供します。

なぜアイデンティティが新たな境界線となるのか

ID情報の流出規模は桁外れです。IDS Allianceの「2024年デジタルIDセキュリティ動向」調査によると、過去1年間に90%の組織がID情報の漏洩被害に遭っています。また、SpyCloudの「2026年ID情報流出レポート」では、2025年に657億件のID記録が再収集されたことが判明しており、これは前年比23%の増加となります。

これらの数字は、なぜ現在、インシデント対応業務においてIDを標的とした攻撃が主流となっているのかを説明しています。攻撃者は、有効な認証情報を使ってログインできる場合、脆弱性を悪用する必要がありません。あらゆるクラウドアプリケーション、SaaSプラットフォーム、フェデレーテッドIDプロバイダーが、IDを標的とした攻撃の攻撃対象領域を拡大させています。そして、ファイアウォール、エンドポイントエージェント、ネットワーク監視といった従来のセキュリティツールは、正当なユーザーに見せかけた攻撃者を検知するようには設計されていませんでした。

ITDRの仕組み

ITDRは、データ収集、振る舞い、脅威の検知、および自動対応という継続的なサイクルを通じて機能します。その運用モデルの概要は以下の通りです。

4段階からなるITDR運用モデル

ID関連のシグナルを収集します。Active Directory、クラウドIDプロバイダー（Entra IDなど）、SaaSアプリケーション、PAMツール、フェデレーションサービスから、認証ログやIDテレメトリを取り込みます。
振る舞い確立する。各ユーザーおよびマシンIDについて、通常の行動パターン（ログイン時間、地理的位置、権限の使用状況、認証方法、アクセス頻度など）を把握する。
異常や脅威を検知します。 振る舞い検知を適用し、不自然な移動、異常な権限昇格、不自然なOAuth同意の付与、パスワードスプレー攻撃のパターンなどの逸脱を特定します。
封じ込めと対応を自動化します。脅威の深刻度に応じて、多要素認証（MFA）の段階的強化、アカウントの無効化、認証情報のローテーション、セッションの隔離などの自動対応を実行します。
さまざまなID情報源を相互に関連付けます。オンプレミス環境とクラウド環境からのIDシグナルを統合し、統一された脅威検知コンテキストを構築します。
調整と最適化を行います。ID攻撃の攻撃対象領域が変化するにつれて、検知閾値を継続的に微調整し、誤検知を減らし、検知範囲を拡大します。

このサイクルは継続的に実行されます。特定の時点での監査とは異なり、ITDRはユーザーの行動の変化に応じて適応する継続的な監視を提供します。新しい役割、新しいアプリケーション、新しい拠点などがすべて、ベースラインの再調整を引き起こします。

アイデンティティ・セキュリティ・ポスチャー管理（ISPM）

ISPMは、ITDRの検知・対応機能に対する予防的な役割を担います。ITDRが「このIDは現在、悪意のある動作をしているか？」と問うのに対し、ISPMは「IDの設定が不必要なリスクを生み出していないか？」と問うものです。

ISPMの主な機能には、IDのインベントリ管理、権限の適正化、設定ミスの検出、および休眠アカウントの特定が含まれます。その必要性は極めて高いものです。Unit 42の2026年の調査によると、分析対象となったクラウドIDの99%に過剰な権限が設定されていました。これは悪用され得る巨大な攻撃対象領域であり、ISPMは、ITDRがこれらの権限を悪用する攻撃者を検知する必要が生じる前に、この領域を縮小するよう設計されています。

ITDRとISPMを併用する組織は、ID管理における多層防御モデルを構築します。ISPMは不要なアクセス権を排除することで、被害の拡大範囲を最小限に抑えます。ITDRは、予防的な制御をすり抜けた脅威を検知します。

ITDRが検知するIDを悪用した攻撃の種類

IDを標的とした攻撃は、人間とマシンの双方のIDを狙う、多岐にわたる手法を網羅しています。ITDRは、静的なルールではなく、振る舞いを通じてこれらの攻撃を検知するように設計されています。

表：IDを悪用した攻撃とITDRによる検知手法

攻撃タイプ	ITDRの検知方法	実例
認証情報を利用した攻撃（パスワードスプレー攻撃、クレデンシャルスタッフィング、ブルートフォース攻撃）	異常な認証失敗率、アクセス頻度の異常、およびアカウント間での分散ログイン試行を検出します	Midnight Blizzardは、MFA（多要素認証）未対応の旧式テストアカウントに対してパスワードスプレー攻撃を行った
権限の昇格（不適切な役割の割り当て、シャドウ管理者の作成）	通常の変更期間外における、役割の予期せぬ変更、新しい管理者アカウントの作成、および権限の変更	攻撃者は、最初の侵入後に持続性を維持するために、シャドウ管理者アカウントを作成する
横方向の移動（パス・ザ・ハッシュ、パス・ザ・チケット、トークン再利用）	システム間の不審な認証パターン、異常なサービスチケット要求、およびKerberosの異常を検知します	ドメインに参加しているシステム間を移動することを可能にする「パス・ザ・チケット」攻撃
アカウント乗っ取り（セッションハイジャック、多要素認証の迂回、SIMスワッピング）	異なる場所からの同時セッション、セッション Cookie の再利用、および MFA 方式の変更を検出します	Tycoon 2FAプラットフォームにより、大規模な中間者攻撃によるセッション乗っ取りが可能となった
OAuthとトークンの悪用（悪意のある同意の取得、トークンの盗難）	不審なOAuthアプリケーションの登録、過剰な権限付与、およびトークンの使用状況における異常を監視します	Midnight Blizzardは、Exchange Onlineの高度な権限を持つ従来のOAuthアプリを悪用した
人間以外の要因によるアイデンティティの脅威（APIキーの漏洩、サービスアカウントの悪用）	API呼び出しパターン、サービスアカウントの使用状況、および認証情報のアクセス時間におけるマシンIDの挙動を基準値として設定し、その逸脱を検知します	情報窃取型マルウェアマルウェア開発者のワークステーションからAPIキーやセッショントークンを収集する

特定の攻撃手法についてさらに詳しく知りたい場合は、認証情報の窃取、権限昇格、ラテラルムーブメント、アカウント乗っ取り、および Kerberoasting。

非人間的アイデンティティ（NHI）による脅威

APIキー、サービスアカウント、OAuthトークン、AIエージェントの認証情報といった「非人間」のIDは、現在、多くの企業において「人間」のIDの10倍以上にも達しています。これらは急速に拡大しつつある死角となっています。

SpyCloudの「2026年ID情報流出レポート」によると、2025年には1,810万件の流出APIキーおよびトークンが回収されたほか、情報窃取型マルウェアを通じて620万件のAIツール認証情報が流出していたことが明らかになったマルウェアを通じて流出した620万件のAIツール認証情報も回収された。これらのマシン認証情報は、広範な権限を持ち、有効期限が長いか、あるいは設定されていないことが多く、監視も不十分なため、標的となる価値が高い。

NHIの主な攻撃経路には、OAuthトークンの悪用、サービスアカウントの乗っ取り、APIキーの盗難、セッションクッキーのリプレイ攻撃などが挙げられます。ITDRソリューションは、マシンIDの挙動を基準値として設定し、その基準からの逸脱（例：見慣れないIPアドレス範囲からのAPIキーの突然の使用、通常範囲外のリソースへのサービスアカウントによるアクセス、不自然な時間帯でのAIエージェントの認証情報の使用など）を検知することで、NHIの脅威に対処します。

ITDRと他のセキュリティツールとの比較

セキュリティチームはすでに、IAM、PAM、EDR、XDR、SIEMといったプラットフォームを導入・運用しています。ITDRは、これらいずれのツールも置き換えるものではありません。ITDRは、これらのツールがいずれも対応するよう設計されていなかった特定の課題、すなわち「アイデンティティに特化した振る舞い」というギャップを埋めるものです。

表：ITDRと既存のセキュリティツールとの関係

工具	主要機能	身分証明の補償	ITDRとの関係
IAM	アクセスポリシー、認証、および認可を管理する	アクセス権限の対象者を定義します	ITDRは、IAMポリシーが改ざんされたり悪用されたりした際に検知します
PAM	特権アクセスを管理・監視する	特権アカウントを管理する	ITDRは、特権セッション内の異常な動作を検知します。ガートナーとKuppingerColeは、PAMとITDRの統合を推奨しています。
EDR	エンドポイント上の悪意のあるプロセスや動作を監視します	エンドポイントレベルのユーザーコンテキストに限定されます	ITDRは、EDRでは検知できない認証関連のシグナル（OAuthグラント、フェデレーテッド認証、クラウドIDプロバイダーのアクティビティ）を監視します
XDR	エンドポイント、ネットワーク、クラウドにわたるテレメトリを連携させる	アイデンティティに関しては、幅は広いものの深みがない	ITDRは、XDRプラットフォームの機能を強化する、特化したアイデンティティ・シグナル・デプスを提供します
SIEM	相関分析、アラート通知、およびコンプライアンス対応のためにログを集約します	ログに基づくIDの可視化	ITDRは、生ログの相関分析と比較してアラートのノイズを低減する、ID固有の振る舞いを提供します

最大の違いは、「振る舞い。IAMやPAMはポリシーを適用します。EDRはエンドポイントを監視します。SIEMはログの相関分析を行います。しかし、オンプレミスのActive Directory、クラウドIDプロバイダー、SaaSアプリケーション、フェデレーションサービスといった、ID攻撃対象領域全体にわたるIDシグナルに対して、継続振る舞い同時に適用できるソリューションは、これらにはありません。

実例としてのID攻撃

実際の侵害事例は、いかなる理論的な議論よりも、ITDRがいかに重要であるかを如実に示しています。以下の各事例はいずれも、従来の防御策を迂回したIDを標的とした攻撃であり、それぞれにおいて、ITDRであれば脅威を検知できたであろう具体的なポイントが明らかになっています。

Snowflakeにおける顧客情報の漏洩（2024年）

攻撃グループ「UNC5537」は、情報窃取型マルウェアによって収集された認証情報（一部は2020年にさかのぼるもの）を利用して、クラウドデータプラットフォーム上の顧客インスタンス約165件にアクセスした。被害を受けた組織には、大手通信会社、エンターテインメント企業、金融サービス企業などが含まれている。

この侵害を可能にした要因は3つあった。顧客アカウントに多要素認証（MFA）が導入されていなかったこと、数年前に流出した情報窃取型マルウェアから得られた有効な認証情報が依然として機能していたこと、そしてログイン元の制限を行うネットワークアクセスポリシーが存在しなかったことである。

ITDRの教訓。 振る舞いがあれば、異常なログインパターン（新しい地理的位置、見慣れないデバイス、侵害が確認されている認証情報など）を検知し、データ漏洩が始まる前にアクセス試行を警告できたはずである。出典：Cloud Security Alliance。

「ミッドナイト・ブリザード」（2024）

APT29は、パスワードスプレー攻撃を用いて、多要素認証（MFA）が設定されていない旧式のテストアカウントを侵害しました。その後、この攻撃者は、高い権限を持つ旧式のOAuthアプリケーションを悪用して悪意のあるOAuthアプリを作成し、それらにExchange Onlineへのフルアクセス権を付与することで、最終的に経営幹部のメールを閲覧しました。

ITDRの事例。ITDRであれば、パスワードスプレー攻撃のパターンを検知し、不審なソースからのOAuthアプリケーション作成をフラグ付けし、Exchange Onlineへのアクセス権を付与する異常なロール割り当てについてアラートを発していたはずである。キルチェーン全体を通じて、複数の検知の機会が存在していた。出典：MSTICインシデントガイダンス。

フランスのFICOBA登録情報の漏洩（2026年）

攻撃者は、盗んだ公務員の認証情報を使用して国家銀行口座登録簿（FICOBA）にアクセスし、約120万人の個人金融データを流出させた。攻撃者は正当なアクセス権限を持つ有効な認証情報を使用していたため、PAMだけではこの不正利用を検知できなかった。

ITDRの教訓。 振る舞い、異常なアクセスパターン――異常なデータ量、通常とは異なるクエリの実行タイミング、およびユーザーの過去の基準値を大幅に上回るアクセス頻度――を検知できたはずだ。出典：The Hacker News。

ID関連の脅威の検知と防止

効果的なID脅威の検知には、段階的な導入、測定可能なKPI、および自社管理型とマネージド型のアプローチの慎重な選択が必要です。ここでは、ベストプラクティスと実践的なロードマップをご紹介します。

ITDRのベストプラクティス：

すべてのID情報源（Active Directory、クラウドIDプロバイダー、SaaS、PAM）を継続的に監視する
ITDRを既存のSIEMおよびXDRプラットフォームと統合し、相関分析を行う
最小権限の原則を導入し、ジャストインタイムアクセスを徹底する
ハニーポットアカウントとハニートークンを用いた、欺瞞型検知を導入する
ID固有のインシデント対応手順書を作成する
IDシグナルに焦点を当てた、予防的な脅威ハンティングを可能にする

ITDR導入ロードマップ

表：ITDRの段階的導入ロードマップ

フェーズ	アクション	成功基準	タイムライン
1. 評価する	IDソースの棚卸し、ギャップ分析、前提条件の整備状況確認	すべてのIDソース（AD、クラウドIDプロバイダー、SaaS、PAM）の完全なインベントリ	第1～4週
2. ベースライン	監視対象のすべてのIDについて、振る舞い確立する	学習期間の見込みが文書化された、安定したベースライン	第5週～第10週
3. 統合する	IAM、PAM、SIEM、およびIDプロバイダーのソースに接続する	すべてのソース間で双方向のデータフローが確認されました	第8週～第14週
4. 検出	ID固有の検知ルールと振る舞い有効にする	初期アラート選別ワークフローで有効な検知ルール	第12週～第18週
5. 返信する	自動応答プレイブックを設定する（段階的MFA、アカウントロックアウト、認証情報のローテーション）	Automated containment for critical identity alerts <1 hour	第16週～第22週
6. 最適化	検出閾値を調整し、誤検知を減らし、検出範囲を拡大する	False positive rate <10%, identity attack surface coverage >95%	進行中

ITDR 指標とKPI 導入期間を通じて追跡すべき指標：

MTTI (mean time to identify identity incidents): Target <1 hour for critical identity alerts
MTTC (mean time to contain identity-based intrusions): Target <4 hours
ID攻撃対象領域のカバー率：監視対象のIDソースの95%以上
False positive rate: Target <10% of total identity alerts
検知から封じ込めまでのギャップ：ある業界の年次脅威レポートによると、68％の組織が24時間以内にID関連の脅威を検知しているものの、それらを効果的に封じ込めているのは55％にとどまっています。この13ポイントのギャップを埋めるために、ITDRの自動化が導入されています。

リソースが限られているチーム向けのマネージドITDR

すべての組織が、社内でITDRを構築・運用できる人員を擁しているわけではありません。マネージド・ディテクション・アンド・レスポンス（MDR）サービスは、人員を増員することなく24時間365日の体制を必要とするチームに対し、ID脅威の検知と対応を外部委託する形で提供します。

マネージドITDRの導入を検討すべきタイミング：

常勤従業員が5名未満のセキュリティチーム
24時間365日の監視体制は限定的です
社内に十分なアイデンティティセキュリティの専門知識がない

評価すべきポイント：対応範囲の広さ（AD＋クラウド＋SaaS）、対応に関するSLA、既存のシステム環境との統合性、および透明性の高いレポート機能。マネージドITDR市場は急速に成長しており、多くのベンダーがMSPやMSSPからの需要に応えるべく、マネージドITDRの機能拡充を進めています。

ITDRとコンプライアンス

ITDRの機能は、主要な規制コンプライアンス・フレームワークにおけるID関連の統制と直接対応しています。ITDRをこれらのフレームワークに整合させることで、監査証拠の収集が簡素化され、先を見据えたIDセキュリティガバナンスを実証することができます。

MITRE ATT&CK ・テクニックのマッピング

表：ITDRで網羅MITRE ATT&CK

戦術	テクニックID	技法名	ITDR検出
初期アクセス	T1078	有効なアカウント	異常なログインパターン、不自然な移動経路、および既知の侵害源からの認証情報の再利用を検出します
クレデンシャル・アクセス	T1110	ブルート・フォース	異常な認証失敗率と分散型パスワードスプレー攻撃を特定する
クレデンシャル・アクセス	T1558	Kerberosチケットを盗む、または偽造する	異常なKerberosチケット要求や、ゴールデンチケット／シルバーチケットの使用パターンを検出する
ラテラルムーブ	T1550	別の認証手段を使用する	ドメイン境界を越えた「パス・ザ・ハッシュ」、「パス・ザ・チケット」、およびトークンリプレイを検出します
永続性	T1098	アカウント操作	権限の不正な変更、新しい管理者アカウントの作成、および権限の変更を監視します

このフレームワークの概要については、 MITRE ATT&CK トピックページを参照してください。

コンプライアンス・フレームワークの対応表

表：ITDRとコンプライアンス・フレームワークの対応関係

フレームワーク	コントロールID	ITDRマッピング
NIST CSF 2.0	ID.AM、PR.AA、DE.CM、DE.AE、RS.AN、RS.MI	アイデンティティのインベントリ、アクセス監視、異常検知、調査、緩和措置
ISO 27001	A.9、A.12.4、A.16	アクセス制御の監視、セキュリティイベントの記録、インシデント管理
CIS Controls v8	5, 6, 8	アカウント管理、アクセス制御管理、監査ログ管理
PCI DSS 4.0	要件7、8、10	アクセスを制限し、ユーザーを特定・認証し、ログを記録・監視する
ヒパア	45 CFR 164.312	アクセス制御、監査制御、完全性制御、伝送セキュリティ
NIS2	第21条	IDおよびアクセス管理を含むリスク管理対策
DORA	第2章、第5条～第15条	IDセキュリティを含むICTリスク管理フレームワーク

今後の動向と新たな考察

ID脅威の状況は、多くのセキュリティ対策プログラムが対応できる速度を上回る速さで変化しています。今後12～24カ月の間に、いくつかの動向が、組織のITDRへの取り組み方を一変させることになるでしょう。

AIを活用した攻撃により、対応可能な時間がますます短くなっています。Unit 42の2026年の調査によると、AIを活用した攻撃シミュレーションではわずか25分でデータの完全な流出が完了し、実環境での最速記録でも72分でした。このようなタイムラインでは、手動による調査を行う余地はありません。検知と対応を自動化するITDRソリューションは、もはや差別化要因ではなく、必須の要件となるでしょう。

PAMとITDRの統合が加速しています。ガートナーとクッピンガー・コールの両社は現在、特権アクセス制御とID脅威検知を統合した、統一されたID防御レイヤーの導入を推奨しています。これらの機能をサイロ化したままにしている組織は、攻撃者がすでに悪用方法を知っている脆弱性に直面することになります。

セッションベースの攻撃は、「 フィッシング」を通じて拡大しています。 ユーロポールが協調的な摘発作戦で阻止した「Tycoon 2FA」プラットフォームは、多要素認証（MFA）を大規模に迂回する中間者攻撃を可能にしていました。摘発にもかかわらず、このプラットフォームは数週間以内に復活し、そのフィッシング-as-a-service経済の回復力を示しています。ITDRは、初期の認証情報がどのように漏洩したかに関わらず、セッションハイジャックやトークンリプレイを検知しなければなりません。

非人間アイデンティティ（NHI）の保護は、規制上の要件となるでしょう。APIキー、サービスアカウント、AIエージェントの認証情報が急増する中、コンプライアンスの枠組みにおいて、マシンアイデンティティの監視とライフサイクル管理が義務付けられることが予想されます。組織は、今すぐNHIの攻撃対象領域の棚卸しを開始すべきです。

アイデンティティ脅威の検知に関する最新のアプローチ

今日の最も効果的なITDRプログラムは、単なるID監視にとどまりません。これらのプログラムは、IDシグナルをネットワーク検知・対応、クラウドテレメトリ、エンドポイントのコンテキストと統合し、攻撃対象領域全体にわたる攻撃者の行動に関する統一的なビューを構築します。

クラウドネイティブのITDRは、従来のオンプレミス型ツールでは可視化できないクラウドIDプロバイダー、SaaSプラットフォーム、およびマルチクラウド環境にまで検知範囲を拡大します。AIを活用した脅威インテリジェンスや振る舞いなどのAIセキュリティ機能により、ITDRソリューションは、AIを活用して攻撃を加速させている攻撃者に対抗し、その動きに遅れを取らないようにします。

ITDRと zero trust アーキテクチャとの統合は、自然な進化と言えます。Zero trust 継続的な検証をZero trust 。ITDRは、継続的な検証を単なる形式的なものではなく、真に意味のあるものにするための、アイデンティティと振る舞いを提供します。

Vectra AI AIによるID脅威検知Vectra AI

Vectra AI検知Vectra AI、Attack Signal Intelligence」を中核としています。これは、オンプレミスのActive Directory、クラウドIDプロバイダー、SaaSアプリケーションにまたがるIDシグナルに対して、振る舞い適用するものです。この手法では、IDの挙動とネットワークのテレメトリを照合することで、分析担当者が優先順位付けを行う必要のあるアラートを増やすのではなく、一見正常に見えるIDアクティビティの中に潜む実際の攻撃を特定します。その目的は「ノイズよりシグナル」を実現することにあります。つまり、セキュリティチームが重要な事象に対して確実に行動を起こせるよう明確性を提供し、重要でない事象を無視できる自信を与えることです。

結論

IDを悪用した攻撃は単なる一過性の傾向ではありません。これらは主要な攻撃経路であり、確認されたインシデントにおける初期アクセスの大部分を占めるだけでなく、あらゆる規模や業界の組織で発生した注目度の高い情報漏洩事件の根本原因となっています。Snowflake、Midnight Blizzard、FICOBAの各事例は、いずれも同様の教訓を示しています。すなわち、有効な認証情報、不十分な監視体制、そして正当なユーザーに見せかけた攻撃者を検知するよう設計されていない予防的対策です。

ITDRはこのギャップを埋めます。ITDRは、アイデンティティの攻撃対象領域に対して継続的な振る舞いを提供し、IAM、PAM、EDRでは検知できない脅威を捕捉し、攻撃者が目的を達成する前に封じ込めを自動化します。予防的なセキュリティ態勢の管理を行うISPMと組み合わせ、MITRE ATT&CK CSFなどのフレームワークに準拠したITDRは、現代の企業において最も標的とされる領域を防御するために必要な可視性と迅速性をセキュリティチームに提供します。

自組織のアイデンティティ脅威検知機能を評価しようとしている組織は、 Vectra AI 「Attack Signal Intelligence」を通じてITDRにどのようにVectra AI 、ぜひご確認ください。

よくある質問 (FAQ)

アイデンティティ脅威の検知と対応（ITDR）とは何ですか？

アイデンティティ脅威の検知と対応（ITDR）は、ユーザーおよびマシンのアイデンティティを標的とする脅威を検知、分析、対応するセキュリティ分野です。振る舞い AIを活用し、オンプレミス環境やクラウド環境を横断して行われる認証情報の不正使用、権限の昇格、およびアイデンティティを悪用した横方向の移動を特定します。

アクセス権限を管理するアイデンティティおよびアクセス管理（IAM）とは異なり、ITDRはそのアクセス権限が悪用されている状況を検知することに重点を置いています。Active Directory、クラウドIDプロバイダー、SaaSアプリケーションにわたる認証イベント、承認パターン、およびIDの挙動を監視し、従来の境界防御やエンドポイント対策ツールでは見逃されがちな脅威を特定します。

ガートナーは2022年にITDRを独立したセキュリティ分野として初めて位置づけ、それ以来、この市場は年平均成長率（CAGR）22％超で拡大しています。確認されたインシデントにおいて、初期アクセス経路の大部分がIDを悪用した攻撃によるものとなっていることから、ITDRは不可欠な分野となっています。

ITDRとEDRの違いは何ですか？

エンドポイント検出・対応（EDR）は、ワークステーション、サーバー、モバイルデバイスといったエンドポイントを監視し、デバイスレベルでの悪意のあるプロセス、ファイルシステムの変更、および異常な動作を検知します。ITDRは、Active Directory、クラウドIDプロバイダー、SaaSアプリケーション、フェデレーションサービスなど、IDインフラストラクチャ全体にわたるID関連のシグナルを監視し、認証情報の悪用やIDを標的とした攻撃を検知します。

決定的な違いは、各ツールが何を検知できるかにあります。攻撃者がインフォスティーラーを通じて盗んだ有効な認証情報を使用して新しいデバイスからログインすると、EDRはエンドポイント上で通常の認証イベントとしてこれを認識します。一方、ITDRは、新しい地理的位置、見慣れないデバイスのフィンガープリント、既知の侵害データベースでフラグが立てられた認証情報など、異常なログインを検知し、アラートを発します。最近の攻撃の多くは、エンドポイントでの検知を完全に回避するように設計されています。まさにそのため、ITDRはそれを補完する層として存在するのです。

ITDRはなぜ重要なのでしょうか？

現在、脅威の状況はIDを標的とした攻撃が主流となっています。 Unit 42の「Global Incident Response Report 2026」によると、2025年にはインシデント対応案件の90%がIDの脆弱性を伴い、初期アクセスの65%がIDを悪用したものであった。IAM（アイデンティティ・アクセス管理）のような従来のツールはアクセスポリシーを適用するが、それらのポリシーが迂回された際には検知できない。EDR（エンドポイント検知・対応）はエンドポイントを監視するが、クラウド上のID活動、OAuthの同意取得、フェデレーテッド認証フローに対する可視性は限定的である。

ITDRは、IDシグナルに対して継続的な振る舞い適用することで、この課題を解決します。これにより、予防的な制御をすり抜ける脅威――MFAを突破した盗難された認証情報、侵害されたサービスアカウント、OAuthトークンの悪用、そして正当な管理操作に見せかけた権限昇格――を検知します。ITDRを導入していない組織では、リアルタイムの検知ではなく、事後的なフォレンジック調査に頼らざるを得ません。

アイデンティティ・セキュリティ・ポスチャー・マネジメント（ISPM）とは何ですか？

ISPMは、ITDRに対する予防的な対策です。ITDRがアクティブなID脅威をリアルタイムで検知・対応するのに対し、ISPMは、攻撃者がそれらを悪用する前に、IDの設定ミス、過剰な権限、および休眠アカウントを事前に特定し、是正します。

ISPMの主な機能には、IDインベントリ管理、権限の適正化、設定ミスの検出、および休眠アカウントの特定が含まれます。2026年のUnit 42による調査では、分析対象となったクラウドIDの99%に過剰な権限が設定されていたことが判明しました。これは極めて広範な攻撃対象領域であり、ISPMはこの領域を縮小するように設計されています。ITDRと組み合わせることで、組織は多層防御モデルを構築できます。このモデルでは、ISPMが攻撃対象領域を縮小し、ITDRが予防的制御をすり抜けた脅威を捕捉します。

マネージドITDRとは何ですか？

マネージドITDRとは、プロバイダーが組織に代わってID脅威の検知および対応を行う、アウトソーシング型のセキュリティサービスです。これは、社内に体制を構築することなく、24時間365日のID脅威の監視を必要とする、セキュリティ担当の常勤従業員が5名未満のチーム向けに設計されています。

マネージドITDRプロバイダーは通常、Active Directory、クラウドIDプロバイダー、およびSaaSアプリケーションをカバーしています。マネージドITDRサービスを評価する際、組織は対応範囲の広さ、対応に関するSLA、既存のセキュリティスタックとの統合性、およびレポートや調査ワークフローの透明性を検討する必要があります。リソースに制約のある組織からの需要に応えるため、MSPやMSSPがIDセキュリティサービスの提供を拡大していることから、マネージドITDR市場は急速に成長しています。

ITDRの主要な指標にはどのようなものがありますか？

ITDRの主要な指標には、IDインシデントの特定にかかる平均時間（MTTI）、IDベースの侵入を封じ込めるまでの平均時間（MTTC）、IDアラートの誤検知率、カバーされているID攻撃面の割合、および検知から封じ込めまでの時間差などが含まれます。業界調査によると、68%の組織が24時間以内にID脅威を検知しているものの、それらを効果的に封じ込めているのは55%にとどまっています。この13ポイントのギャップを埋めるために、ITDRの自動化が設計されています。

推奨される目標値としては、重大なID関連アラートに対するMTTI（検知から対応までの時間）を1時間未満、MTTC（検知から解決までの時間）を4時間未満、誤検知率を10%未満、ID攻撃対象領域のカバー率を95%以上に設定することが挙げられます。これらのKPIは、評価段階から追跡し、セキュリティ担当の責任者に定期的に報告する必要があります。

MITRE ATT&CKDRMITRE ATT&CKとどのように対応しているのでしょうか？

ITDRは、IDベースの攻撃に関連する複数の戦術MITRE ATT&CK 網羅しています。「初期アクセス」の段階において、ITDRは以下を検知します T1078 （有効なアカウント）を、異常なログインパターンを特定することで検出します。「Credential Access」では、以下を検出します T1110 （ブルートフォース）および T1558 （Kerberosチケットの盗用または偽造）。ラテラルムーブメントにおいて、これを検知する T1550 （代替認証情報の使用）には、パス・ザ・ハッシュやトークンの再利用が含まれます。持続性攻撃においては、これを検知します T1098 （アカウントの不正操作）を、権限のない役割の変更や権限の修正を監視することで防止します。

このマッピングは、防御担当者がITDRのカバー範囲の不足を評価し、攻撃者がIDインフラに対して用いる具体的な手法に合わせて検知機能を最適化するための枠組みを提供します。