Deloitte と apexanalytix が、アイデンティティセキュリティシステム導入の複雑さについての見解を共有します。
資産の所有者を特定し、その所有権を保護することは、困難な作業になりがちです。多要素認証に加えて、条件付きアクセスや特権アクセスを活用することで、組織は防御をより強固にできます。しかし、AI テクノロジーを導入すると、しばしば悪夢のような複雑さが加わります。
「AI テクノロジーの活用は、多くの組織にとって大きな課題となっています。なぜなら、ポリシー管理、コンプライアンス管理、セキュリティは、あらゆるアプリケーションとあらゆるシステムに関わってくるからです」と、Deloitte の US サイバー・デジタルアイデンティティおよびサイバー AI ブループリントリーダーである Naresh Persaud 氏は述べています。
Deloitte の産業・金融分野の顧客は、同社のアイデンティティ製品で時間を節約
最近、Deloitte はある大手製造業の顧客と協業しました。同社の既存システムでは、アカウントの所有者が不明瞭な場合があることが判明したためです。エンドポイントのイベントが検知されても、標的となったアカウントの所有者が誰なのか、また複数の名前で存在しているのかどうかを追跡するのが困難でした。
「アイデンティティ管理システムを使えば、そのアカウントの名義ユーザーをひも付けることができると同時に、そのアカウントが特権アクセス管理システム内のアイデンティティにおいてボールト化されているかどうかも特定できます」と Persaud 氏は説明します。
このシステムは、ユーザーに関連する他のアカウントも特定し、それらについても侵入の痕跡がないか調査できるようにします。Persaud 氏はこれを「被害半径(ブラストレディアス)」と呼びます。
「もし私が特権アカウントを侵害したなら、そのアカウントを使って他のアカウントのパスワードをリセットできるかもしれません」と彼は言います。「被害半径を即座に特定し、適切な対応を判断し、その情報をアラートに組み込むことで、セキュリティオペレーションセンターのアナリストは、これまでよりはるかに優れたテレメトリを得ることができます。」
このシステムは、本来なら手作業でつなぎ合わせなければならなかったパズルのピースを結び付けるのに役立ちました。問題を検知したセキュリティアナリストは、アイデンティティシステムの管理者に連絡する必要がありましたが、これはどれほど優れた運用体制であっても非効率的なプロセスです。そうした連絡先を特定し、コミュニケーションプロセスを自動化することで、はるかに効率的な対応が可能になりました。
また、インシデントに関連するデータを MITRE ATT&CK フレームワークにマッピングしようとする作業にも、多くの時間が費やされます。業界分析によれば、これには最大 30 分かかる場合があります。「AI を活用することで、アナリストはこの時間を 70~80% も大幅に短縮できます」と Persaud 氏は言います。
Persaud 氏によると、Deloitte のソリューションはドキュメント作成も簡素化できたといいます。ボールト化されていない関連アカウントを特定し、特権アカウントをより詳細に確認できるダッシュボードを作成しました。ボールト化されていないアカウントは短時間でボールト化でき、特権アカウントの脆弱性も特定して対処できました。これにより、顧客のセキュリティ運用は、以前と比べてはるかに精度の高いものになりました。
Deloitte は、同様の可視性の問題を抱えていた金融サービス企業とも協業しました。
「多くの組織にとって、自社の資産が何であり、それらの資産にどのようなコントロールが適用されているのかを完全に把握することは難しいのです」と Persaud 氏は言います。同氏は、Deloitte のアイデンティティソリューションが、顧客に対し、ユーザーとそのユーザーが利用する資産を結び付ける支援を行ったと説明します。これらの資産を把握していく中で、それぞれに適用されるセキュリティコントロールを、よりきめ細かく調整できるようになりました。
「もしそのシステムが財務データやその他の個人情報を処理するのであれば、アイデンティティ側に適切なコントロールを導入する必要があります」と彼は言います。「私たちは、資産の発見とアイデンティティの発見を相関させ、それを IT 資産管理システムのコントロールと整合させることで、この 2 つの要素を結び付けることができました。」
その結果、ユーザーはアプリケーションをより迅速に統合できるようになりました。
apexanalytix は Microsoft Azure をどのように活用してアイデンティティセキュリティを管理しているか
「アイデンティティ保護は、デジタル資産を保護するうえで、あらゆる組織にとって重要なコントロールの 1 つです」と、サプライチェーン管理プラットフォームプロバイダーである apexanalytix の CIO、Vishal Grover 氏は言います。「しかし、制限とビジネス要件とのバランスを維持することが重要です。」
Apexanalytics は、Defender などの Microsoft 製品を 10 年以上にわたり利用してきました。「当初は主にアンチウイルス用途で使っていました。その後、Advanced Threat Protection が登場し、さらにアイデンティティ保護も加わりました。私たちは、セキュリティ全体の態勢を強化するために、コントロールと検証を次々と追加してきました」と彼は話します。
同社は、特に国際的な事業拡大に伴うアイデンティティリスクの増大を懸念してきました。とりわけ、2016 年の香港オフィス開設と 2024 年のサウジアラビアオフィス開設が挙げられます。オフィス同士が連携し、従業員が他拠点へ出張する中で、自社システムへのあらゆるアクセスが正当なものであることを検証することが極めて重要です。
セキュリティチームは Azure Active Directory(AAD)を導入し、地理的な境界、すなわち従業員が現実的にシステムへアクセスすると想定される場所を検証できるようにしました。例えば、ほとんど出張しない米国拠点の従業員が、通常はあり得ない遠隔地からログインしようとした場合、即座にレッドフラグが立ちます。そのユーザーが実際にその場所にいることが確認できない限り、その認証情報は侵害されている可能性が高いということになります。
「ユーザーの立場からすると、自分の拠点外へ出張する際には、その都度、自分の具体的な所在地を IT およびセキュリティチームに連絡する必要があります」と Grover 氏は指摘します。こうしたポリシーの導入には、ユーザーの行動や社内ポリシーに対する合理的な調整が求められます。しかし、その見返りは非常に大きいのです。
「より広いリスク管理の観点から考えると、これは当社のセキュリティモデルの根幹となっています」と彼は言います。従業員の所在地をシンプルに追跡し、それに応じてリスクを割り当てられることは、国際的なプレゼンスを拡大する企業にとって、リスクモニタリングにおける大きな前進です。同社は、いわゆる『不可能な移動』の事例を注視しています。例えば、ある従業員がある場所からシステムにログインした直後、物理的に到達不可能なほど離れた別の場所から、一定時間内に再びログインした場合には、アラートが発報されます。
セキュリティアナリストはまた、リスキーなサインインを検出するために、このソフトウェアを利用しています。ユーザーがブラックリストに登録された IP からログインした場合、アラートが発報されます。
同社は、ユーザー行動の監視に基づく条件付きアクセス ポリシーへの依存度を高めています。ユーザーが通常、特定のアプリケーションで一定の平均的な利用時間を過ごしているにもかかわらず、その行動が急激に変化した場合、そのアクティビティはフラグ付けされ、調査対象となります。
同社は、自社のビジネス戦略の変化に合致しているかを確認するため、少なくとも四半期ごとにポリシーを見直し続けています。Grover 氏は、Azure の機能がこの役割を十分に果たせると確信しつつも、対処すべき新たな潜在的脆弱性に対しては常に警戒を怠っていません。
