ITDRが必須に——侵害の80%はID悪用から始まる
サイバー侵害の80%はアイデンティティ(ID)の悪用から始まる——CrowdStrikeの2026年Global Threat Reportが明らかにした数字は、従来のエンドポイント中心のセキュリティモデルの限界を示しています。攻撃者はもはやマルウェアを使わず、盗んだ認証情報で「正規ユーザー」として侵入し、検知を回避しながら横展開する手法を主流にしています。
この変化に対応するために生まれたのがITDR(Identity Threat Detection and Response)です。Gartnerが2022年に定義したこのカテゴリは、2026年に$3.5B(約5,200億円)市場に成長し、セキュリティスタックの必須コンポーネントになりつつあります。
ITDRとは何か
ITDR(Identity Threat Detection and Response)は、アイデンティティインフラストラクチャ(Active Directory、Entra ID、Okta等)とアイデンティティの利用パターンを監視し、不正なID利用を検知・対応するセキュリティソリューションです。
EDR(Endpoint Detection and Response)がエンドポイントの脅威に特化しているように、ITDRはアイデンティティに特化した脅威検知・対応を提供します。
この図は、ITDRの全体像と4つの柱を示しています。
ITDRの4つの柱
可視化: 組織内のすべてのアイデンティティ(人間ユーザー、サービスアカウント、マシンID)を棚卸しし、権限の付与状況をマッピング。シャドーアカウント(管理外のアカウント)や過剰権限のアカウントを特定します。
検知: 正常なID利用パターンをベースライン化し、異常を検知します。例えば、通常は東京からしかログインしないユーザーが突然海外からアクセスした場合、または深夜に特権アカウントが使用された場合にアラートを発報します。
対応: 検知した脅威に対して自動的に対応します。アカウントのロック、セッションの強制終了、MFAのステップアップ要求(追加の認証を要求)などを実行します。
予防: 最小権限の原則を適用し、JIT(Just-In-Time)アクセスやJEA(Just-Enough-Access)を実装。必要な時に必要な権限だけを付与し、不要になったら自動で権限を剥奪します。
なぜITDRが必要なのか
マルウェアレス攻撃の増加
CrowdStrikeの報告によると、2025年の攻撃の79%が「マルウェアを使わない」攻撃でした。攻撃者は正規の認証情報を使ってログインし、正規の管理ツール(PowerShell、RDP、WMI)を使って横展開します。この手法は「Living off the Land」と呼ばれ、従来のアンチウイルスやEDRでは検知が困難です。
アイデンティティの爆発的増加
企業が管理するアイデンティティの数は急増しています。
- 人間のID: 従業員、委託先、パートナー
- サービスアカウント: アプリケーション間連携用のアカウント
- マシンID: コンテナ、VM、IoTデバイスのID
- API キー: SaaS連携用のキー
Gartnerの調査では、平均的な大企業が管理するIDの数は人間ユーザーの45倍に達しており、その多くが適切に管理されていません。
IAMだけでは不十分
従来のIAM(Identity and Access Management)は「正規のアクセスを管理する」ためのツールです。しかし、正規の認証情報が盗まれた場合、IAMは攻撃者を正規ユーザーと区別できません。ITDRは「認証情報が盗まれた後」の検知と対応に特化しています。
主要ベンダー比較
この図は、ITDR市場の主要ベンダーのポジショニングを示しています。
| ベンダー | 製品名 | 強み | AD保護 | クラウドID保護 | XDR統合 | 価格帯 |
|---|---|---|---|---|---|---|
| CrowdStrike | Falcon Identity | 脅威インテリジェンス統合 | 高 | 高 | Falcon XDR | $要問い合わせ |
| Microsoft | Entra ID Protection | Azure AD/Entra統合 | 高 | 高(Entra) | Defender XDR | E5ライセンスに含む |
| SentinelOne | Singularity Identity | EDR統合・自動対応 | 高 | 中 | Singularity XDR | $要問い合わせ |
| Silverfort | Silverfort Platform | エージェントレスMFA | 高 | 高 | パートナー連携 | $要問い合わせ |
| Semperis | Directory Services Protector | AD特化・復旧機能 | 最高 | 低 | SIEM連携 | $要問い合わせ |
| Zscaler | Identity Protection | ゼロトラスト統合 | 中 | 高 | ZIA/ZPA統合 | $要問い合わせ |
CrowdStrike Falcon Identity Threat Protection
CrowdStrikeのITDRは、Falcon XDRプラットフォームの一部として提供されます。エンドポイント(EDR)、クラウド、アイデンティティの脅威を統合的に可視化し、攻撃チェーン全体を追跡できる点が最大の強みです。脅威インテリジェンスとの連携により、既知の攻撃者グループの手法に基づいた検知ルールが自動適用されます。
Microsoft Entra ID Protection
Microsoftのスイート全体(Microsoft 365、Azure、Entra ID)と深く統合されている点が強みです。Microsoft E5ライセンスに含まれるため、すでにMicrosoftスイートを利用している企業にとっては追加コストなしで導入可能です。ただし、Active DirectoryオンプレミスとEntra IDのハイブリッド環境での設定が複雑になるケースがあります。
Silverfort
エージェントレスでActive DirectoryにMFAを後付けできる唯一のソリューションとして注目されています。レガシーアプリケーションやRDPアクセスにもMFAを適用できるため、「MFAを入れたいが対応していないシステムがある」という企業に最適です。
具体的な検知シナリオ
シナリオ1: Kerberoasting攻撃の検知
攻撃者がActive DirectoryのKerberosチケットを要求し、オフラインでサービスアカウントのパスワードをクラックする攻撃です。ITDRは以下のシグナルで検知します。
- 通常とは異なるユーザーからの大量のTGSリクエスト
- サービスアカウントのRC4暗号化チケットの要求(AES-256が標準の環境で)
- 短時間での複数サービスプリンシパルへのチケット要求
シナリオ2: Golden Ticket攻撃の検知
Active DirectoryのKRBTGTアカウントの認証情報を窃取し、任意のKerberosチケットを偽造する攻撃です。ITDRは以下を検知します。
- KRBTGTアカウントのパスワード変更イベント
- チケットの有効期限の異常(通常10時間だが数日間有効なチケット)
- ドメインコントローラーのイベントログとの不整合
シナリオ3: OAuth同意フィッシング
攻撃者が悪意のあるOAuthアプリケーションに対するアクセス許可を、フィッシングで取得する攻撃です。ITDRは以下を検知します。
- 未知のOAuthアプリケーションへの大量の同意付与
- 高権限(メール読み取り、ファイル全アクセス等)のOAuth同意
- 通常業務では使用しないAPI権限の要求
パスワードマネージャーとITDRの連携
1Passwordのようなパスワードマネージャーは、ITDR戦略の「予防」層で重要な役割を果たします。
- パスワードの一意性確保: 全アカウントで異なる強力なパスワードを使用し、認証情報のスタッフィング攻撃を無効化
- パスキーの管理: FIDO2パスキーを一元管理し、パスワードレス認証への移行を加速
- 漏洩検知: 1PasswordのWatchtower機能により、Have I Been Pwnedデータベースとの照合で漏洩した認証情報を即座に検出
- 共有アカウントの管理: チーム内で安全に認証情報を共有し、シャドーアカウントの発生を防止
日本ではどうなるか
日本企業のITDR導入はまだ初期段階ですが、以下の要因で急速に普及が進む見込みです。
Active Directory依存の高さ: 日本の大企業の95%以上がActive Directoryを使用しており、AD保護の需要は極めて高い状況です。特にオンプレミスADとEntra IDのハイブリッド環境が多く、両方をカバーするITDRソリューションの需要があります。
ランサムウェア被害の教訓: 日本企業へのランサムウェア攻撃の多くがActive Directoryの侵害を経由しており、AD保護の重要性が経営層にも認識され始めています。
Microsoft E5の普及: Microsoft 365 E5ライセンスの日本での採用が加速しており、Entra ID Protectionを追加コストなしで利用できる企業が増えています。ただし、E5に含まれる機能だけでは十分でないケースも多く、サードパーティITDRとの併用が推奨されます。
SIerの対応: NTTデータ、NRI、ラックなどの主要SIerがITDR導入支援サービスを開始。CrowdStrikeやSilverfortのパートナープログラムに参加し、日本語でのPoC支援を提供しています。
人材育成: ITDRの運用にはActive DirectoryやKerberos認証の深い理解が必要であり、対応可能な人材が不足しています。IPAが2026年度に「アイデンティティセキュリティスペシャリスト」の育成カリキュラムを策定予定です。
まとめ:今すぐ取るべき3つのアクション
アイデンティティは「新しい境界線」です。ネットワーク境界が消失したゼロトラスト時代において、IDの保護こそがセキュリティの根幹です。
- アイデンティティの棚卸しを行う: すべてのユーザーアカウント、サービスアカウント、特権アカウントを一覧化。1Passwordで認証情報を一元管理し、使い回しパスワードや漏洩済みパスワードを排除。過剰な権限を持つアカウントを特定して最小権限の原則を適用する
- ITDRソリューションを評価する: 自社環境(AD中心かクラウドID中心か)に応じて、CrowdStrike Falcon Identity、Microsoft Entra ID Protection、Silverfortなどの中から1〜2製品を選びPoCを実施。既存のEDR/XDRとの統合性を重視して評価する
- MFAを全アカウントに適用する: 1Passwordのパスキー管理機能を活用し、可能な限りパスキー/FIDO2ベースのMFAに移行。レガシーシステムにはSilverfort等でMFAを後付けし、MFAの死角を排除する
「正しい認証情報を持っている=正しいユーザー」という前提は、もはや通用しません。ITDRで「認証後の振る舞い」まで監視する体制を構築してください。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星