みなさま、こんにちは！

これまで、ITDRとISPMについて、そしてその考え方を実装したIBM Verify Identity Protectionの概要についてご紹介してきました。今回はもう少し具体的にどのような脅威が検知できるのかをご紹介したいと思います。過去のBlogをまだご覧になっていない方は、是非合わせてお読みいただけると嬉しいです。

▶︎ブログ：ITDRとISPM

▶︎ブログ：IBM Verify Identity Protectionのご紹介

IDシステムを狙った攻撃

• ブルートフォース攻撃：1つのIDに対し、考えられるパスワードを総当たりで検証する
• パスワードスプレー攻撃：複数のアカウントに対して1つのパスワードを検証する

また、攻撃者が情報を売買するようなサイトで、有効なIDとパスワードの組み合わせのリストが販売されていることもあります。正規の認証情報を集めるために、フィッシングメールなどを配布し攻撃者は日々活動しています。

もちろん、攻撃者から認証情報を守るために、予測されやすいIDやパスワードを使用しない、定期的にパスワードを変更する、などどいった対策も重要です。しかし、攻撃は日々巧妙化しているため、こう言った攻撃の予兆をいち早く検知して対応に繋げていく必要があります。

Identity Protectionで検知できるユースケース

Identity Protectionでは、さまざまなリスクのあるIDアクティビティーを検知するためのルールを実装しています。下記は一例ですが、次のようなルールがあります。

• ブルートフォース攻撃の検出
• パスワードスプレー攻撃の検出
• パスワードリストによってADユーザーを検出しようとする試みの検出
• 物理的に不可能なログインの検出
  • 例えば日本からのアクセスの数分後に米国からのアクセスがあった、など
• 社内利用が禁止されているアセットなどへのアクセス
  • 攻撃者が外部アセットへアクセスしている、情報漏洩の可能性などを検知します
• ゼロトラストツール(ZTNA,SASE)などを迂回するIDアクセスの検知
• セキュリティーツール(VPN、PAMなど)を迂回するIDアクセスの検知
• ADで管理されていないローカルアカウントからのシャドーアセットへの検知

これらで検知できるものはITDRの観点に加えて、ISPMの観点でより良いIDシステム環境を構築していくための情報としても活用いただけるものです。たとえば、本来VPNなどのセキュリティーツールを経由してのアクセスが期待されているがバイパスしているようなIDアクセスを検知した場合、たとえそれが攻撃者ではなく社内利用に関連するものであっても、そのシステムの設定の見直しを進めていただくなどして対策を進めていくことができます。

正規IDを使用した攻撃が増加している今、その攻撃点となる部分を重点的に監視していくことは、今後一歩進んだセキュリティー対策として是非対策を進めていきたい部分です。今回はルールベースでのご紹介になりましたが、もう少し詳しいことが聞きたい、などありましたら是非お気軽にご連絡ください！

ここまで読んでいただきありがとうございました！