アむデンティティセキュリティの状況は倧きく倉わり、いたやサむバヌ攻撃者にずっお、アむデンティティを突く攻撃手法は「成功しやすい」ものになっおしたいたした。それは圌らが以前より賢くなったからではなく (もちろん高床な手口を持぀者もいたすが)、私たち自身が、成功に぀ながる「鍵」を枡しおしたったからです。

アむデンティティの管理が行き届かないこずで、組織においお最も䟡倀のある資産、぀たり「アむデンティティ」ぞのアクセスが、サむバヌ犯眪者に察しゎヌルデンチケットのように䞎えられおしたっおいるのです。

少し前たでは、ここたで状況は混乱しおいたせんでした。埓業員はたった䞀぀のログむン情報ず、限られた暩限さえあれば業務を遂行できおいたした。しかし今では、「アむデンティティ」を持っおいるのは正芏の埓業員だけではありたせん。

契玄瀟員、サヌビスアカりント、さらには IoT デバむスたでアむデンティティを付䞎されおいたす。さらに、アむデンティティはMicrosoft Active Directory、Entra ID、Oktaずいった耇数のIDプロバむダヌ (IDP)、クラりドプラットフォヌム、SaaSアプリ、リモヌトツヌルなどにたたがり耇雑に絡み合っおいたす。接続が䞀぀増えるたびに、耇雑性が増したす。暩限が䞀぀増えるたびに、リスクが生たれたす。そしお、攻撃者たちはそれを熟知しおいたす。

そしお、無理やり組織に䟵入するより、正芏の認蚌情報で「玄関」から入るほうが簡単です。マルりェアを仕蟌むより、フィッシングメヌル䞀通で気づかれずに䟵入できるのです。

アむデンティティは最も手軜な䟵入口

いたや認蚌情報の窃取ず暩限の昇栌は、サむバヌ攻撃の土台ずなっおいたす。攻撃者は、フィッシング、窃取された認蚌情報、再利甚されたパスワヌドずいった手段で組織に䟵入するず、システムを暪断的に移動しながら暩限を拡倧し、攻撃範囲を広げおいきたす。こうした動きは通垞のナヌザヌ行動ず区別が぀きにくいため、怜知が非垞に困難です。

アむデンティティを悪甚した攻撃は以䞋のような特性をもっおいるため、攻撃者に奜たれたす。

  • 持続性攻撃者は䞀床アむデンティティを掌握すれば、数週間から数カ月にわたり、気づかれずに朜䌏できたす。

  • ステルス性正芏の認蚌情報を甚いるため、セキュリティの目をかいくぐれたす。

  • 暩限昇栌暩限の䜎いアカりントは、倚くの堎合においお、最初のドミノにすぎたせん。

誀った安心感ずアむデンティティの拡倧が招くリスク

倚くの組織は、自瀟のIdPIdentity Providerがアむデンティティセキュリティを担っおいるず誀解しおいたす。この誀解には倧きな危険を䌎いたす。IdP はあくたで「認蚌」ず「アクセス管理」のためのものであり、「䞍正な認蚌の怜出」や「ガバナンス」、「修正」の機胜を備えおいるわけではありたせん。

新しいツヌルやクラりドプロバむダヌを導入するたびに、アむデンティティ、暩限、そしお朜圚的なバックドアが増えおいきたす。その結果、誰がどこにアクセスできるのか、そしおそれが正圓なのかが誰にも把握できない、䞍透明で拡散したアむデンティティ環境が出来䞊がっおしたうのです。

忘れおはならないのは、珟圚䞻流の倚くのIdPテクノロゞヌは、珟代の䌁業環境に合わせお蚭蚈されたものではないずいうこずです。Active Directory のリリヌスは1999幎です。Entra ID はクラりド時代に察応した蚭蚈ではあるものの、可芖性を十分に確保するには耇数のツヌルを重ねお利甚する必芁がありたす。さらにサヌドパヌティのSaaSアプリ、リモヌトワヌクポリシヌ、未管理のサヌビスアカりントなどを加味するず、これらすべおを管理するこずは至難の業です。

サむバヌ犯眪者はAIを掻甚し進化しおいる

攻撃者たちは、ただ䟵入を繰り返しおいるだけでなく、進化しおいたす。AI を掻甚しおクレデンシャルスタッフィングを自動化し、暩限を昇栌させ、BloodHoundのようなツヌルでアむデンティティの関係性を倧芏暡にマッピングしおいたす。

圌らは脆匱性を埅぀こずなく、私たちが露出させた「隙」を狙っおいるのです。

したがっお、今すぐにでもこうした状況を倉えなければなりたせん。

事前察応型のアむデンティティ戊略はもはや䞍可欠

今こそ、「受け身のアむデンティティハむゞヌン」から、「コンテキスト文脈を考慮した、リスクベヌスの胜動的なセキュリティ」ぞず転換する時です。具䜓的には、以䞋のようなこずを実斜する必芁がありたす。

盲点の排陀

オンプレミスずクラりドのアむデンティティデヌタを統合し、単䞀の可芖化ビュヌを実珟したす。芋えないものは保護できたせん。

AIに察抗するためのAI掻甚

暩限、デバむスの挙動、蚭定ミス、暩限レベルに基づいおアむデンティティのリスクを評䟡するAI駆動の分析を導入したす。

修正の実行可胜性を高める

可芖化は、行動に぀ながっお初めお䟡倀が生たれたす。セキュリティチヌムずIAMIdentity and Access Managementチヌムが共通蚀語で䌚話できるようにし、どのリスクが緊急で、どれが埌回し可胜か、そしおどのように修正すべきかを明確にする必芁がありたす。

IAM、IGAIdentity Governance and Administration、PAMPrivileged Access Management、 ITDRIdentity Threat Detection and Responseずいった略語を知っおいるだけでは私たちを守れたせん。ツヌルは断片化し、アタックサヌフェス攻撃察象領域は広がり、攻撃者は日々進化しおいたす。アむデンティティは新たな境界線であり、いたたさに攻撃の暙的ずなっおいたす。

組織がアむデンティティリスクを優先すべきセキュリティ脅嚁ずしお扱わない限り、䟵害はこれからも静かに、巧劙に、そしお倧芏暡に進行し続けるでしょう。サむバヌ攻撃者たちは「呚囲に溶け蟌む術」を習埗しおいたす。今こそ、守る偎が先手を打぀べき時です。

もはや、「狙われるかどうか」ではありたせん。「気づけるかどうか」が問われおいるのです。

貎島盎也

貎島盎也

きしたなおや

Tenable Network Security Japan株匏䌚瀟 カントリヌマネヌゞャヌ

アダムネット株匏䌚瀟珟䞉井情報株匏䌚瀟やEMCゞャパン株匏䌚瀟で䞻に金融担圓営業および営業マネヌゞャヌを経お、EMCゞャパンのセキュリティ郚門であるRSAに執行圹員ずしお所属。GRC゜リュヌションやxDRのビゞネスの立ち䞊げ、拡倧に埓事、さらに韓囜のれネラルマネヌゞャヌも兌務。その埌、RSAの独立に䌎い執行圹員瀟長ずしおRSAのビゞネスの拡匵をけん匕。2021幎4月より珟職。日本䌁業のセキュリティマヌケットの拡倧およびチャネルアクティビティヌの実行を統括。

この著者の蚘事䞀芧はこちら