アイデンティティセキュリティの状況は大きく変わり、いまやサイバー攻撃者にとって、アイデンティティを突く攻撃手法は「成功しやすい」ものになってしまいました。それは彼らが以前より賢くなったからではなく (もちろん高度な手口を持つ者もいますが)、私たち自身が、成功につながる「鍵」を渡してしまったからです。

アイデンティティの管理が行き届かないことで、組織において最も価値のある資産、つまり「アイデンティティ」へのアクセスが、サイバー犯罪者に対しゴールデンチケットのように与えられてしまっているのです。

少し前までは、ここまで状況は混乱していませんでした。従業員はたった一つのログイン情報と、限られた権限さえあれば業務を遂行できていました。しかし今では、「アイデンティティ」を持っているのは正規の従業員だけではありません。

契約社員、サービスアカウント、さらには IoT デバイスまでアイデンティティを付与されています。さらに、アイデンティティはMicrosoft Active Directory、Entra ID、Oktaといった複数のIDプロバイダー (IDP)、クラウドプラットフォーム、SaaSアプリ、リモートツールなどにまたがり複雑に絡み合っています。接続が一つ増えるたびに、複雑性が増します。権限が一つ増えるたびに、リスクが生まれます。そして、攻撃者たちはそれを熟知しています。

そして、無理やり組織に侵入するより、正規の認証情報で「玄関」から入るほうが簡単です。マルウェアを仕込むより、フィッシングメール一通で気づかれずに侵入できるのです。

アイデンティティは最も手軽な侵入口

いまや認証情報の窃取と権限の昇格は、サイバー攻撃の土台となっています。攻撃者は、フィッシング、窃取された認証情報、再利用されたパスワードといった手段で組織に侵入すると、システムを横断的に移動しながら権限を拡大し、攻撃範囲を広げていきます。こうした動きは通常のユーザー行動と区別がつきにくいため、検知が非常に困難です。

アイデンティティを悪用した攻撃は以下のような特性をもっているため、攻撃者に好まれます。

  • 持続性:攻撃者は一度アイデンティティを掌握すれば、数週間から数カ月にわたり、気づかれずに潜伏できます。

  • ステルス性:正規の認証情報を用いるため、セキュリティの目をかいくぐれます。

  • 権限昇格:権限の低いアカウントは、多くの場合において、最初のドミノにすぎません。

誤った安心感とアイデンティティの拡大が招くリスク

多くの組織は、自社のIdP(Identity Provider)がアイデンティティセキュリティを担っていると誤解しています。この誤解には大きな危険を伴います。IdP はあくまで「認証」と「アクセス管理」のためのものであり、「不正な認証の検出」や「ガバナンス」、「修正」の機能を備えているわけではありません。

新しいツールやクラウドプロバイダーを導入するたびに、アイデンティティ、権限、そして潜在的なバックドアが増えていきます。その結果、誰がどこにアクセスできるのか、そしてそれが正当なのかが誰にも把握できない、不透明で拡散したアイデンティティ環境が出来上がってしまうのです。

忘れてはならないのは、現在主流の多くのIdPテクノロジーは、現代の企業環境に合わせて設計されたものではないということです。Active Directory のリリースは1999年です。Entra ID はクラウド時代に対応した設計ではあるものの、可視性を十分に確保するには複数のツールを重ねて利用する必要があります。さらにサードパーティのSaaSアプリ、リモートワークポリシー、未管理のサービスアカウントなどを加味すると、これらすべてを管理することは至難の業です。

サイバー犯罪者はAIを活用し進化している

攻撃者たちは、ただ侵入を繰り返しているだけでなく、進化しています。AI を活用してクレデンシャルスタッフィングを自動化し、権限を昇格させ、BloodHoundのようなツールでアイデンティティの関係性を大規模にマッピングしています。

彼らは脆弱性を待つことなく、私たちが露出させた「隙」を狙っているのです。

したがって、今すぐにでもこうした状況を変えなければなりません。

事前対応型のアイデンティティ戦略はもはや不可欠

今こそ、「受け身のアイデンティティハイジーン」から、「コンテキスト(文脈)を考慮した、リスクベースの能動的なセキュリティ」へと転換する時です。具体的には、以下のようなことを実施する必要があります。

盲点の排除

オンプレミスとクラウドのアイデンティティデータを統合し、単一の可視化ビューを実現します。見えないものは保護できません。

AIに対抗するためのAI活用

権限、デバイスの挙動、設定ミス、権限レベルに基づいてアイデンティティのリスクを評価するAI駆動の分析を導入します。

修正の実行可能性を高める

可視化は、行動につながって初めて価値が生まれます。セキュリティチームとIAM(Identity and Access Management)チームが共通言語で会話できるようにし、どのリスクが緊急で、どれが後回し可能か、そしてどのように修正すべきかを明確にする必要があります。

IAM、IGA(Identity Governance and Administration)、PAM(Privileged Access Management)、 ITDR(Identity Threat Detection and Response)といった略語を知っているだけでは私たちを守れません。ツールは断片化し、アタックサーフェス(攻撃対象領域)は広がり、攻撃者は日々進化しています。アイデンティティは新たな境界線であり、いままさに攻撃の標的となっています。

組織がアイデンティティリスクを優先すべきセキュリティ脅威として扱わない限り、侵害はこれからも静かに、巧妙に、そして大規模に進行し続けるでしょう。サイバー攻撃者たちは「周囲に溶け込む術」を習得しています。今こそ、守る側が先手を打つべき時です。

もはや、「狙われるかどうか」ではありません。「気づけるかどうか」が問われているのです。

貴島直也

貴島直也

きしまなおや

Tenable Network Security Japan株式会社 カントリーマネージャー

アダムネット株式会社(現三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ、拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張をけん引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティーの実行を統括。

この著者の記事一覧はこちら