アイデンティティベースのサイバー攻撃を防御するにはプロアクティブなセキュリティ対策を重視する

アイデンティティの保護は、今やセキュリティチームの最優先事項となりました。 しかし、アイデンティティの無秩序な増加やアイデンティティプロバイダーに対する間違った信頼によって生じた盲点により、 多くの組織は依然として危険にさらされています。 このブログでは、なぜ従来のセキュリティ対策では不十分なのか、AI を駆使した攻撃者がアイデンティティの脅威をどのようにエスカレートさせているのか、そして、アイデンティティファーストの事前対応型のアプローチが対策を進める上での唯一の手段である理由についてを説明します。

アイデンティティセキュリティを巡る状況は根本から変わりました。その理由は、攻撃者が新たなエクスプロイトを編み出し続けているからだけではなく、私たちが意図せず攻撃者の手助けをしているからでもあります。 アイデンティティの無秩序な増加によって大きな隙が生じ、攻撃者に、組織の最も貴重な資産といってもいいアイデンティティを標的にするための「ゴールデンチケット」を実質的に与えてしまっているのです。 

従業員が業務の遂行に必要なアプリケーションやリソースにアクセスするために、1 つの法人用ログインとわずかな権限のみが必要だった頃のことを覚えていらっしゃるでしょうか。 今日、すべての労働者、請負業者、サービスアカウント、さらにはすべての IoT デバイスまでもが、Microsoft の Active Directory (AD) や Entra ID などのディレクトリサービス、クラウドサービス、SaaS アプリ、リモートアクセスツールなどの複数のアイデンティティプロバイダー (IDP) にまたがる複雑な権限の網の中で絡み合っています。 IoT の台頭によって、これらの環境間でシームレスに相互作用するマシンのアイデンティティが導入され、運用の複雑さとセキュリティリスクの両方が増大したことで、この課題はさらに深刻化しています。

今日、アイデンティティの無秩序な増加は、組織にとって重要な課題です。Identity Defined Security Alliance の「2024 Trends in Identity Security (2024 年のアイデンティティセキュリティの傾向 )」レポートでは、セキュリティ専門家の 57% が、これを重要な懸念事項として挙げています。 複雑なハイブリッド環境とマルチクラウド環境の中で舵取りをしていくために、組織が複数の ID およびアクセス管理 (IAM) ソリューションに依存するという傾向が強まっている中で、新しいソリューションが増えるたびに、新たな権限のレイヤー、アイデンティティが悪用される可能性のある新たな場所、攻撃者が通れる新たな侵入口が増えていきます。

問題は、 アイデンティティが最も障害の少ない経路であること

ログインが可能であれば、攻撃者はハッキングなどしません。

認証情報の窃取と権限昇格は、現代の攻撃に不可欠です。 ラテラルムーブメント (攻撃者が正規の認証情報を使ってシステムからシステムへと静かに移動すること) は、最も検出が難しい脅威の一つとなりました。 なぜなら、普段通りであるように見えるからです。

攻撃者はなぜアイデンティティを標的にするのでしょうか。 フィッシングが広く有効であることはさておき、主な理由は 3 つあります。

• 持続性 – 攻撃者は、一度アカウントを侵害すると、多くの場合には検出されないまま長期間アクセス可能な状態を維持できます。
• ステルス性 – 有効な認証情報によるログインでは、マルウェアのように警告が発せられることはありません。
• 昇格 – 権限の低い 1 人のユーザーが、権限昇格の連鎖の起点になる可能性があります。

攻撃者はアイデンティティを標的にしているだけはありません。新しい AI ツールを使って、長期的なアクセス権限を得るために、アイデンティティを悪用しているのです。 現代の攻撃者は、認証情報を使用した攻撃を自動化する能力を有しており、従来のアラームをトリガーすることなく、ネットワーク内における持続性を獲得し、ステルス的に活動し、権限を昇格させることができます。 盗まれた認証情報、フィッシング、クレデンシャルスタッフィングが大規模に武器化されているため、攻撃者が環境に侵入し、正規のユーザーに紛れ込み、発見される前に足場を拡大することがかつてないほど容易になっています。 事前対応型のアイデンティティセキュリティがなければ、組織は手遅れになるまで、こうした静かな侵入に気付くことがありません。

必要なのかアイデンティティの危機は限界点に到達

現在、大半の組織は、複雑なクラウド環境やリモートワーク環境を管理するために複数の IDP に依存しています。 しかし、多くの組織は、Active Directory、Entra ID、または他の IAM ソリューションなどのアイデンティティプロバイダーがアイデンティティセキュリティに「対処」していると思い込んでいます。 実際には、IDP は主に認証とアクセス制御のために設計されており、包括的なセキュリティを目的としていません。 このような誤ったセキュリティ認識の結果として何のアクションも取られないことが多いため、組織は、アタックサーフェスを大きく拡大させて認証情報の漏洩につながる設定ミス、孤立したアカウント、過剰な権限に対して脆弱なままとなります。 

クラウド導入、SaaS、リモートワーク、IoT の爆発的な普及により、アイデンティティセキュリティは防御側にとって悪夢と化した

AD は 25 年以上前にオンプレミス環境向けに設計されました。Entra ID はクラウドファーストのアイデンティティ管理向けに進化してきたものですが、率直に言って、AD と Entra ID はいずれも、今日の大規模で複雑なハイブリッド環境、マルチクラウド環境でのアイデンティティの状況に対処するために構築されたものではありません。 どのアイデンティティ関連ツールも役割は果たしはするものの、単体で完全な解決策を提示するものはありません。 特権アクセス管理 (PAM) テクノロジーは、価値の高いアカウントの保護には役立ちますが、より広範なアイデンティティの状況についてのインサイトは提供しません。 アイデンティティガバナンス (IGA) 技術はポリシーを適用しますが、リアルタイムのリスク検出はできません。 アイデンティティ脅威の検出と対応 (ITDR) 製品は脅威を見つけることはできますが、大抵はアラートが出される前に手遅れになっており、既に被害が発生しています。 統合されたアプローチがなければ、セキュリティ担当者はアイデンティティリスクを先行的に管理するかわりに、ギャップにパッチを当て続けることになります。

プロアクティブなアイデンティティセキュリティを 重視することが必要

セキュリティ担当者は守勢に回ってばかりではいけません。攻撃者が AI を駆使した自動化によって侵害の試みをますます強化している今こそが、まさに主導権を握るべき時です。 英国の国家サイバーセキュリティセンター (NCSC) の報告書「The near-term impact of AI on the cyber threat (サイバー脅威に対する AI の短期的影響)」によると、ハッカーが AI を採用するにつれて、サイバー攻撃の量と影響も増大します。その結果として、アイデンティティベースの脅威は攻撃者にとって、さらにスケーラブルで効果的なものになるでしょう。本来は防御側が Active Directory の関係をマッピングするために設計された BloodHound のようなオープンソースのツールでさえ、攻撃者にとって非常に有用なものとなっています。 では、どうすれば攻撃者の先を行くことができるのでしょうか。

IAM ハイジーンは単なる運用上の懸念事項ではなく、基本的なセキュリティ要件です。 CISA による最近のレポート「Detecting and Mitigating Active Directory Compromises (Active Directory 侵害の検出と軽減)」では、不十分な IAM ハイジーンがもたらす危険性と、設定ミス、過剰な権限、時代遅れのセキュリティ慣行がもたらすリスクが強調されています。 事前対応型のセキュリティ対策がない場合、攻撃者はアイデンティティの弱点を悪用して持続性を獲得し、ネットワーク内でラテラルムーブメントを行えるようになります。 これらのリスクを軽減してアイデンティティセキュリティ態勢を強化するため、組織は継続的な監視、タイムリーな修正、最小権限の適用に重点を置かなければなりません。

上記の課題に対処するために、組織は以下の主要な戦略を含む、事前対応型のアプローチを採用する必要があります。

• 盲点をなくす – すべてのアイデンティティデータを単一のリポジトリに集約し、オンプレミスとクラウドのアイデンティティを一元化するツールが必要です。 どのアカウントが連携しているのか、どのサービスアカウントが過剰な権限を持っているのかを推測しなくて済むようにする必要があります。
• AI を活用したリスク評価の採用 – 攻撃者は AI を使用して脆弱な相互関係を見つけます。 私たちも反撃のために AI を使用し、弱点、関連するデバイス、権限、設定ミス、特権レベルに基づいてアイデンティティリスクを動的に評価する必要があります。
• 実用的な修正の実施 – アイデンティティが高リスクであることを知るだけでは十分ではありません。 セキュリティ担当者と IAM 担当者には、アイデンティティの課題に対処するための共有言語が必要です。 これはつまり、修正オプション、コスト、優先順位付けの可視化です。なぜなら、すべてのアイデンティティエクスポージャーに差し迫った修正の必要があるわけではないものの、一部には緊急の対応が必要だからです。

Tenable が実現するアイデンティティセキュリティの未来

そのため、当社はアイデンティティ 360 とエクスポージャーセンターを構築して、組織がアイデンティティリスクを先行的に管理できるようにしました。 アイデンティティ 360 は、アカウント、デバイス、権限、グループ、ロールなどのアイデンティティを包括的に可視化しながら、高度な AI を活用してこれらに関連するリスクを評価して定量化します。 エクスポージャーセンターは、実用的なインサイトとガイド付きの修正ステップで、アイデンティティの脅威の優先順位付けと軽減を効率的に行えるようセキュリティ担当者を支援します。 アイデンティティ 360 は、アカウント、デバイス、権限、グループ、ロールなどのアイデンティティを包括的に可視化し、それらが全体に及ぼすリスクを、高度な AI を使用して計算します。 一方、エクスポージャーセンターの実用的なインサイトとガイド付きの修正ステップを使用することで、セキュリティ担当者はアイデンティティの脅威を優先順位付けして修正できるようになります。 また、当社はそれだけにとどまらず、 アイデンティティセキュリティのデータを Tenable One サイバーエクスポージャー管理プラットフォームに統合して、強化された Attack Path Analysis (攻撃経路分析) と Exposure Signals の機能をセキュリティ責任者に提供しています。これにより、脅威を予測し、攻撃者の立場で考え、悪化する前にリスクを先行的に遮断できるようになります。

アイデンティティ脅威が現れるペースは、減速するどころか加速しています。 受け身なままの組織は、攻撃者が盲点を悪用するのに追いつこうとし続けることになるでしょう。 しかし、事前対応型のセキュリティ戦略、一元的な可視化、インテリジェントなリスク評価によって、その流れを変えることができます。 戦いの場は移りつつあります。 今こそ、組織のアイデンティティを掌握しましょう。 

Tenable Identity Exposure の実際の動作を確認したい場合は、当社のガイド付きデモをご覧ください。