- EDRでは止まらない「ID悪用」にどう向き合うか -
ITDRに関する連載記事、第二回ではITDRがどのようにしてIDベースの攻撃に対処するのかを解説します。
2. IDベースの攻撃に対処するITDR
ITDRとは、アイデンティティの使われ方そのものを継続的に監視・分析し、異常を検知し、抑止・是正までを行うセキュリティアプローチです。
ITDRがID利用の妥当性を判断する視点として、以下の4つの要素があげられます。
① Who(誰が)
そのIDは誰のものか/どんなIDか
l 人のIDか、サービスアカウントか
l 特権IDか、通常IDか
l そのIDの用途と管理責任は明確か
異常の例
l システム用途のIDで対話的ログオン
l 本来管理業務をしないユーザーIDによる管理操作
② What(何に)
どの資産・システムにアクセスしているか
l 本来許可されているサーバー/SaaSか
l 業務範囲を超えて横断的に資産を移動していないか
異常の例
l 普段使わない管理サーバーや基盤系システムへのアクセス
l 短時間で複数のサーバー/SaaSを渡り歩く挙動
③ When(いつ)
いつ・どんなタイミングで使われているか
l 通常の業務時間帯か
l 休日・深夜など、想定外の時間帯ではないか
異常の例
l 平日日中しか使われないIDによる深夜アクセス
l 退職直前・異動直後など不自然なタイミング
④ How(どのように)
どのような経路・手段でアクセスしているか
l 管理対象端末からのアクセスか
l 社内ネットワーク/VPN経由か
l MFAを伴っているか
異常の例
l 管理外端末からの管理サーバアクセス
l 正規IDだがMFAなしで特権操作を実行
著者:横井 宏治 Koji Yokoi, CISSP