アイデンティティ保護とは
アイデンティティ保護は別名をアイデンティティセキュリティといいます。これは、企業内のあらゆる種類のアイデンティティ(人員や機器、オンプレミスやハイブリッド、通常IDや特権付きID)を保護し、特に攻撃者がエンドポイントのセキュリティ対策をバイパスしようとする際に攻撃を検知して防止するための包括的なソリューションです。
IT管理者、従業員、リモートワーカー、サードパーティベンダー、さらには顧客も含めて、どのアカウントも特権アカウントになって攻撃者にデジタル攻撃パスを提供することが可能であるため、組織はすべてのアイデンティティを認証し、リクエストをそれぞれ承認してセキュリティを維持し、ランサムウェアやサプライチェーン攻撃などのデジタル脅威を幅広く防止する必要があります。
アイデンティティセキュリティは、セキュリティアーキテクチャ内の重要なコンポーネントですが、より範囲の広いセキュリティプラットフォームの内部では1つの要素にすぎないという認識が重要です。最大限に強力な保護を行うため、組織は包括的なサイバーセキュリティを開発する必要があります。ここにはアイデンティティセキュリティに加えてエンドポイントセキュリティ、ITセキュリティ、クラウドワークロード保護、コンテナセキュリティが含まれます。また、アイデンティティセキュリティソリューションは、組織内に既に存在するアイデンティティ/アクセス管理(IAM)ツールおよびプロセス、さらにゼロトラストアーキテクチャと統合する必要があります。
組織がアイデンティティ保護に注意する必要がある理由
CrowdStrike OverWatchチームの分析によると、10件のうち8件(80%)の侵害はアイデンティティがきっかけになっています。このような現代型攻撃は、多くの場合、侵害された認証情報を直接利用してラテラルムーブメントを実行し、さらに大規模で破壊的な攻撃を行うことにより、従来のサイバーキルチェーンをバイパスします。
残念ながら、アイデンティティを使用した攻撃は、検出が非常に困難です。正規ユーザーの認証情報が侵害され、攻撃者がそのユーザーになりすましている場合、ユーザーの通常の振る舞いとハッカーの振る舞いを、従来型のセキュリティ対策とツールを使用して区別することは、多くの場合、非常に困難です。
さらに、COVID-19が原因の一端となってデジタルワークフォースへの移行が急激に起こり、多くの組織で攻撃対象領域が劇的に拡大しました。これにより、強力かつ柔軟なアイデンティティセキュリティソリューションを動作させ、家庭用のネットワークやデバイスを使用するリモートワーカーから発生する可能性のある脅威から、ビジネスとその資産を保護するという必要性が組織内で高まっています。
アイデンティティセキュリティは、組織の最後の防衛線と見なされることがあります。これらのソリューションは、エンドポイントでの検知と対応ツールのような、他のセキュリティ対策を回避することのできた攻撃者の阻止を目的としています。
アイデンティティ保護とIAMテクノロジーの違い
アイデンティティ/アクセス管理(IAM)は、デジタルアイデンティティの管理、およびユーザーによるデータ、システムその他のリソースへのアクセスに関して、組織の全体的なITセキュリティ戦略の一環です。多くの場合、IAMはアイデンティティに関連するアクセスのリスク軽減に役立ちますが、関連するポリシー、プログラム、テクノロジーは通常、セキュリティソリューションを最優先として設計されているわけではありません。
たとえば、アイデンティティを保存および管理してSSOまたはMFA機能を提供するIAMテクノロジーは、アイデンティティドリブンの攻撃をリアルタイムで検出して防止することはできません。同様に、IAMソリューションはアイデンティティ戦略全体の重要な部分ですが、多くの場合、アイデンティティとユーザーの行動に加えて、エンドポイント、デバイス、ワークロードに対する詳細な可視性を欠いています。
アイデンティティセキュリティは、IAMポリシー、プログラムおよびテクノロジーに代わるものではありません。アイデンティティセキュリティは、脅威を検出して防止する高度な機能でIAMを補完して強化するために使用されます。
ADハイジーンはアイデンティティ保護のどの部分に当てはまるか
組織のActive Directory(AD)は、1999年にMicrosoftがWindowsドメインネットワーク用に開発したディレクトリサービスであり、組織のサイバー防御戦略で最も脆弱な部分の1つであると広く考えられています。数十年前のレガシーテクノロジーに基づいて構築されたADは、最も広く使用されているアイデンティティストアの1つであり、Fortune 1000の企業の90%以上が今でもADに依存しています。そのため、攻撃者がネットワークを侵害し、ラテラルムーブメントを行って特権を昇格させる場合には、これが主要な標的になります。
ADのセキュリティ侵害はいずれも、アイデンティティ構造全体を弱体化させ、データ漏洩を可能にし、システムの破壊/乗っ取り、壊滅的なランサムウェア、サプライチェーン攻撃を可能にするという事態を招きます。
そのため、優れたアイデンティティセキュリティソリューションには、社内のユーザー全員に対して詳細で継続的かつ統一された可視性を提供する堅牢なADセキュリティ機能と、悪意のあるAD攻撃をリアルタイムで検知して防御する機能が必要です。
アイデンティティ保護とゼロトラストの関連
ゼロトラストは、組織のネットワーク内部または外部を問わず、すべてのユーザーを認証、認可し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークです。ゼロトラストは、従来のネットワークエッジがないことを前提としています。ネットワークは、ローカル、クラウド、または任意の場所のリソースや任意の場所の作業者との組み合わせや、ハイブリッドにすることができます。
このフレームワークは、Forrester eXtended、Gartner’s CARTA、新しいNIST 800-207などのさまざまな業界ガイドラインによって定義され、世界中どこからでも作業できるクラウドファーストのために、現在のセキュリティ課題に対処できる最適な方法とされています。
最強のセキュリティ防御策を求める組織では、アイデンティティセキュリティソリューションを、ゼロトラストセキュリティフレームワークを組み合わせて使用する必要があります。また、選択したソリューションは、NISTで概略が示されているような業界のガイドラインに確実に準拠している必要があります。
アイデンティティ保護のユースケース
包括的なアイデンティティセキュリティソリューションにより、組織は多くのメリットと拡張機能を得られます。次のような機能が含まれます。
- ランサムウェアやサプライチェーン攻撃のような最新の攻撃の阻止
- レッドチーム/監査テストへの合格
- ハイブリッド環境の認証情報(ID、特権ユーザー、サービスアカウントなど)の可視性の向上
- ラテラルムーブメントの検出と防御の強化
- レガシーシステムと管理されていないシステムに対するMFAの拡張
- 特権ユーザーのセキュリティ強化(例:特権昇格、アカウントの乗っ取り)
- プロトコル攻撃(例:NTLM)、乗っ取り(例:Pass the Hash、ゴールデンチケット)からのアイデンティティストア保護
- 攻撃ツール(例:mimikatz)の検知
クラウドストライク製品による包括的なアイデンティティ保護ソリューションの構築
CrowdStrike® Falconプラットフォームは、組織の資産全般に対して、リアルタイムで継続的な可視性とセキュリティを提供します。クラウドストライクはお客様をサポートし、アイデンティティセキュリティ方針などの包括的なセキュリティ戦略を確立し、次のような機能を備えたサイバーセキュリティソリューションを作成できるようにします。
リアルタイムの検出と防御:Falconプラットフォームは、継続的な自動監視、検出および対応機能を可能にし、エンドポイント1箇所の脅威から組織の脅威レベルまで、何が起きているかを組織内で正確に把握できるようにします。インテリジェントEDRは、悪意のあるアクティビティや攻撃者のアクティビティを自動的に検知して、インテリジェントに優先順位を付けます。
エンドツーエンドの可視性:Falconプラットフォームは、さまざまなタッチポイントにわたる継続的な可視性とセキュリティを提供します。タッチポイントの中には、エンドポイントのハードウェアタイプ、ファームウェアバージョン、オペレーティングシステムのバージョン、パッチレベル、脆弱性、インストールされているアプリケーション、ユーザーとプログラムによるログイン、セキュリティまたはインシデントの検出などがあり、アイデンティティインシデントや各種ラテラルムーブメントの場合はそれを防止します。
堅牢なADセキュリティ:Falconの高度なADセキュリティ機能は、基本的なIAM機能にコンテキストと脅威スコアリングによるリスク分析を追加してセキュリティチームをサポートし、より多くの情報に基づく優れたアクセス決定を行い、すべてのリクエストに条件付きアクセスを確実に適用できるようにします。条件付きアクセスの原則は、単にネットワークの境界に基づくのではなく、ユーザー認証情報のアイデンティティ、振る舞い、リスクのコンテキストを扱う方針に基づいて、新しい種類のセグメント化の可能性を開きます。
IAM統合:Falcon Identity Protectionツールは、完全なアイデンティティ監査を行い、それぞれがアクセスするアカウント、プロトコル、およびサービスを理解できるようにします。Falconプラットフォームは、パートナーMFA/IAMプロバイダ、SIEM、SOARテクノロジーなどに複数のAPIを提供し、さらに、すべてのデバイスとアイデンティティをエンドツーエンドで確認し、それぞれをリアルタイムで制御できるようにします。
ゼロトラストNISTコンプライアンス:NISTに準拠する唯一のゼロトラストサイバーセキュリティプロバイダとして、Falcon Zero Trustは、拡張ネットワーク内のすべてのユーザーとユーザータイプ(標準、特権、サービスアカウント)を短時間で検出し、インサイトと行動分析を継続的に提供して、リスクと脅威をリアルタイムで検出して対応します。プラットフォームの調節機能を使用すると、アイデンティティ、振る舞い、リスクに基づいて適切な種類の強制動作または通知を行い、自動対応できるようになります。
オープンAPIファーストのプラットフォーム:Falconプラットフォームは、Restful/JSON APIの全面的なセットを提供し、エンドユーザーとクラウドストライクのパートナーのエコシステムが、ゼロトラストアーキテクチャのシームレスな実装を支援するサードパーティツールを統合できるようにします。サードパーティの統合には、Okta、ZScaler、NetSkope、ForeScout、Splunk/Phantom、その他多くのものがあります。クラウドストライクのアイデンティティ保護は、JSON、CEF、LEEFフォーマット、および多数のSOARにより、SIEMに直接フィードできます。