PAMとITDRの両方が組織に必要な理由を解説

現代の企業が運用する環境において、アイデンティティは主要な攻撃経路となっていますが、多くの組織では、誰が特権アクセスを持っているのか、またそのアクセス権限が悪用されているかどうかを把握できていません。 適切な監視体制がなければ、攻撃者は従来的なセキュリティ制御を通過して、正当な認証情報を悪用する可能性があります。 Verizonの2025年版「データ漏洩/侵害調査報告書」によると、分析対象となったデータ漏洩の大部分において、認証情報が関与していました。 組織には、特権アクセス管理 (PAM) とアイデンティティの脅威検知と対応 (ITDR) の両方が必要です。なぜなら、アイデンティティを標的とした脅威をリアルタイムで検知し、対応するには、アクセスの制御だけでは不十分だからです。

以下では、PAMとITDRについて説明し、アイデンティティを標的とした脅威への対応を強化するには、これらを組み合わせなければならない理由をご紹介します。

特権アクセス管理 (PAM) とは？

特権アクセス管理 (PAM) は、組織の最も重要なシステムや機密データへのアクセスを保護、制御、監視するもので、 管理者アカウントやサービスアカウントなど、高度な権限を持ち、IT環境全体で大きな変更を加えることができる特権アカウントに重点を置いています。 こうした特権アカウントは、機密データへの直接のアクセスと、ネットワーク上の水平移動を可能にするため、サイバー犯罪者にとって格好の標的となります。 特権認証情報が侵害されてしまうと、攻撃者は組織のインフラストラクチャの大部分に幅広くアクセスできてしまいます。 最新のPAMソリューションは、以下の機能を備えています。

• 認証情報の保管: 特権認証情報を安全に保存して管理
• シークレット管理: APIキーを含む、人間とマシンの認証情報を保護
• ジャストインタイム (JIT) アクセス: 必要なときにのみ一時アクセスを付与することで、スタンディング特権を排除
• 最小権限アクセス: タスクを実行するために必要な最小限のアクセス権のみをユーザーに付与
• セッション監視と録画: 特権セッションを追跡して記録し、完全な可視化と監査機能を実現
• パスワードローテーション: 認証情報を自動的に更新して再利用を防止

アイデンティティの脅威検知と対応 (ITDR) とは？

アイデンティティの脅威検知と対応 (ITDR) は、アイデンティティを標的としたサイバー攻撃の脅威を監視、検出、対応することに重点を置いたセキュリティ層です。 組織がクラウドアプリケーション、IDプロバイダ (IdP)、IDおよびアクセス管理 (IAM) ソリューションにますます依存するにつれ、サイバー犯罪者は攻撃対象をエンドポイントからアイデンティティに移行し始めています。

IAMソリューションは予防的な制御策として機能しますが、侵害されたアイデンティティを利用した攻撃を検出して対応することはできません。そこで不可欠になるのが、ITDRです。 エンドポイント検知と対応 (EDR) や拡張検知と対応 (XDR) などの従来のセキュリティツールは、エンドポイントのアクティビティとネットワークテレメトリに焦点を当てていますが、ITDRは、認証アクティビティとユーザー行動を分析することによって、アイデンティティインフラストラクチャを保護します。 最新のITDRの主な機能は以下のとおりです。

• 異常行動検知: 不審なログインパターン、特権昇格、営業時間外の特権アクティビティを識別
• 不審なアクティビティに対するリアルタイムのアラート: 認証情報の不正使用や不正アクセスの試行など、潜在的な脅威の発生時に警告
• リスクスコアリングとアイデンティティの相関分析: アイデンティティのシグナルを集約してリスクレベルを評価し、複数のシステムにまたがる関連アクティビティとの相関を分析
• 修復のための自動対応: 潜在的な脅威を迅速に阻止するため、セッションの終了、アクセスの取り消し、アカウントのロックを実行

PAMとITDRが連携する仕組み

PAMとITDRは、アクセス制御と脅威検出の両方に対応するため、一緒に実装された場合に最も高い効果を発揮します。 アイデンティティは非常に価値の高い攻撃経路であるため、アイデンティティを標的とした脅威から組織を保護するには、この両方の機能が必要となります。 PAMは、重要なシステムへのアクセスを制限することに重点を置き、ITDRはアクティビティを継続的に監視します。これらの2つの機能を連携させることで、総合的なアイデンティティセキュリティ戦略を構築できます。 しかし、どちらか片方のアプローチのみに依存すると、重大なセキュリティギャップが生じます。

• ITDRがなければ、PAMはリアルタイムで脅威を検出できません。 サイバー犯罪者が特権認証情報を侵害した場合、承認されたアクセス権を操作し、検出されることなく行動する可能性があります。
• PAMがない場合、ITDRがアラートを生成しても、対応できない可能性があります。 セキュリティチームが不審なアクティビティを検出しても、最小権限アクセスを強制したり、さらなる特権昇格を阻止したりすることができません。

PAMとITDRを連携させることで、どちらも単独では満たせないコンプライアンス要件を満たすことが可能になります。 CMMCは、特権アカウントの監視と特権アクティビティの詳細な監査ログの両方を必要としており、これらは両方の分野にわたる機能です。 SOC 2、HIPAA、ISO 27001も同様に、きめ細かなアクセス制御と継続的な監視を要求します。 PAMとITDRを組み合わせることで、これらのフレームワークが必要とする監査証跡、アクセスガバナンス、リアルタイムの監視が実現します。

Keeper^®がPAMとITDRの機能を提供する仕組み

Keeperは、ゼロ知識アーキテクチャに基づいて構築されたクラウドネイティブな統合プラットフォームを通じて、PAMとITDRの機能を提供します。 ボルトの内容はエンドツーエンドで暗号化されており、Keeperからもアクセスできません。 セッション録画、監査ログ、異常行動のアラートは、権限を持つ管理者が利用できる機能で、保存された認証情報のゼロ知識モデルを損なうことなく、セキュリティチームは完全な可視性を得ることができます。 KeeperPAMは、認証情報の保管、シークレット管理、JITアクセス、パスワードの自動ローテーション、特権セッション管理、MFAなどのアクセス制御層を網羅しています。

ITDRでは、KeeperAI^®がセッションレベルの行動分析を提供し、ユーザーおよびアカウントごとのベースラインを設定します。そして予想パターンから逸脱したアクティビティが検知されると、リアルタイムでアラートを発生させます。Keeperのエンドポイント特権マネージャーは、これをエンドポイントレベルに拡張し、最小権限制御を強制し、SSH、RDP、VNC、データベースセッションを含むプロトコル全体で権限昇格イベントを監視します。 これらを組み合わせることで、正当な認証情報が使用されている場合でも、組織は特権アカウントの不正利用を特定できるようになります。

Keeperは今後、ユーザーとエンティティの行動分析 (UEBA) を追加し、これらの機能をさらに強化することで、アイデンティティに関連するリスクの可視性を拡大し、異常な行動のより高度な検出を可能にしていきます。

Keeperでアイデンティティセキュリティ戦略を強化

現代の組織を脅威から保護するには、誰が何にアクセスできるか、またそのアクセス権がどう使用されるかの両方を制御する必要があります。 PAMによってきめ細かなアクセス制御が実現し、認証情報の漏洩が制限されるため、リスクが軽減されます。一方、ITDRによって不審なアクティビティのリアルタイムでの検出と対応が可能になるため、必要な可視性が得られます。 PAMとITDRを連携させることで、防御と検出の両方に対応する包括的なセキュリティ戦略を策定できます。 Keeperの統合アイデンティティセキュリティプラットフォームは、PAM制御にITDR機能を組み合わせて統合することで、重要なシステムを保護し、エンタープライズ規模のセキュリティを実現します。

KeeperPAMの無料トライアルをぜひご検討ください。アイデンティティセキュリティ戦略を強化しましょう。