Entra IDを狙う攻撃から企業を守る　～Sumo Logicで実現するITDR対策とは～

こんにちは、A.Rです。

昨今様々な機器・サービスのログをSIEM（Security Information and Event Management）に集約し、それらを横断的・相関的に分析することで、より高度なセキュリティ監視・脅威検出を実現しようという動きが広まってきております。しかし、「どのログを取り込み、どう活用すれば効果的なのか？」といった視点で迷われる方も多いのではないでしょうか。

その中でも今特に注目を集めているのが「ユーザID（認証ログ）」の可視化と分析です。

クラウド活用やリモートワークが普及する中、アカウントのセキュリティは企業の資産を守る上で重要なカギとなっています。

Entra IDを狙うサイバー攻撃の脅威　

特にMicrosoft Entra ID(旧Azure AD)は多くの企業でID基盤として採用されており、今やサイバー攻撃の主要なターゲットとなっております。

最近では、「不正なアプリケーションによるアクセス権の奪取」や「偽装された認証に引っかかる」などEntra IDを狙った攻撃被害が増加しております。このような攻撃の兆候をいち早く検知し、被害を最小化するためには、Entra IDとSIEMの連携による高度なID監視、すなわちITDR（Identity Threat Detection and Response）の導入が不可欠となります。

今回はEntra IDとSumo Logic（クラウドSIEM）の連携に加え、ITDRの観点から得られる具体的なセキュリティ効果についてお伝えさせていただきます。

認証ログ保管の重要性とSIEM連携の魅力

Entra IDは、ユーザのサインイン履歴や認証イベントを詳細に記録しています。

例えば以下の様なログが含まれています。

• ログインの成功と失敗の履歴

• ログイン元のIPや国、端末情報

• 誰が、いつ、どこからログインをしているのか

これらは攻撃者の初期の侵入行動を早期に発見するための重要な情報源となります。

特に、異常なログイン試行や失敗した認証イベントは、アカウント乗っ取りの兆候である可能性があり、迅速な対応が求められます。

しかしながら、こうしたログを単にSyslogサーバや監査ログとして保管しているだけでは、

有効なセキュリティ対策にはなりません。本当に重要なのは、「どのようにしてこれらのログを活用し、リアルタイムに脅威を検出し、対応に繋げられるか」という点です。

そしてそれはSIEMにログを取り込むとで実現できます。

Sumo Logicと連携することで得られる具体的なセキュリティ効果

Sumo LogicとEntra IDを連携させることで、以下のような高度なセキュリティ効果が得られます。

1. リアルタイムなログイン成否の詳細確認と異常検知
   どのユーザが、どの国から、何回ログインしたのか、またそれが成功/失敗したのかという情報をリアルタイムに把握することができます。
   
   例えば、以下の様な異常な挙動を簡単に把握することが可能です。
   ・日本のオフィスで働いている社員が米国から突然ログインしている
   ・短時間に日本以外からの失敗ログインが多数発生している
   
   
   これにより、「普段とは異なる国からのログイン」や「特定のユーザのログイン頻度」などを把握し、早期対応に繋げられます。
   
   
2. ログイン失敗の詳細分析（脅威レベルの可視化）
   Sumo Logicでは標準機能(*CrowdStrikeの契約が無いユーザでも利用可能)でCrowdStrike社の脅威情報を利用することが可能です。
   
   この脅威情報とログを突合させることでログインを試みているIPアドレスが危険かを把握できます。
   ・実際にMS365へのログインに失敗したIPアドレスを詳しく確認し、既知の攻撃者からの試行か、過去に攻撃に使用されたIPアドレスかなどの危険度を把握することができます。
   ・また、ログイン失敗の頻度や、短時間で複数の国からのアクセス試行が見受けられる場合は、ブルートフォース攻撃など、組織への攻撃リスクが高まっている可能性があることを知ることができます。
     
   
   Sumo Logicと連携することで単体のソースからでは分からないリスクを視覚的に把握することが可能となります。 
   
   
3. ログイン成功ケースに潜む脅威の可視化
   ログインが成功しているケースであっても、脅威の兆候が潜んでいるため注意が必要です。
   
   例えば、ログインを複数回失敗してから成功しているユーザは、アカウント漏洩やアカウント乗っ取りの危険性があるため、ログインに失敗してから成功しているユーザに絞って表示させることも可能です。
     
     
   
   このようにSumo Logicはログに基づいた攻撃の痕跡や不審な挙動の可視化をサポートし、セキュリティリスクの早期発見に貢献することができます。

まとめ：ITDR対策としてSumo Logicを活用する

今や攻撃の9割は「IDの乗っ取り」から始まると言われており、Entra IDはまさにその入り口です。また、昨今内部不正による情報漏洩や、攻撃者による外部攻撃など企業が直面する危険性はますます増加しております。その中でいかに自社の情報資産を守り、インシデント発生時には迅速に対応できるかが重要なポイントになります。

そのためにも、IDを乗っ取られ侵入される前に気づき、封じ込めるためのITDR対策が必要不可欠です。そしてそれは可視化や分析性に優れたSIEMに認証ログを取り込むことで、より効果を発揮することができます。

もし「どこから手を付ければ良いか分からない」「まずは認証ログの活用効果を知りたい」とお悩みでしたら、まずはSumo Logicで一度その効果を体感してみてください。