アイデンティティ 360 — 包括的なアイデンティティリスク管理

アイデンティティ 360 は、アイデンティティに重きを置いた Tenable Identity Exposure の新しい機能です。組織のアイデンティティリスクサーフェス全体におけるあらゆるアイデンティティの豊富で網羅的なインベントリを提供します。

この機能により、Active Directory と Entra ID のアイデンティティを統合し、リスク別にランク付けすることが可能になります。そのため、お客様の組織全体のアイデンティティを最もリスクの高いものから低いものへとランク付けできます。

さらに、アイデンティティ 360 を使用すると、特定のアイデンティティに関連付けられているアカウント、弱点、デバイスなど、さまざまな文脈を通して各アイデンティティを全方位から見られるので、深い理解を得ることができます。

主な機能

統一されたアイデンティティビュー — アイデンティティ 360 は、Active Directory や Entra ID を初め、複数のアイデンティティプロバイダーのアイデンティティを集約します。
リスクベースのランク付け — アイデンティティ 360 の高度な分析を利用して、組織全体のアイデンティティを最もリスクの高いものから最も低いものにランク付けできます。この優先順位付けにより、セキュリティチームはリソース割り当てを最適化し、全体的なセキュリティポスチャーを改善することで、最も重要なことに集中的に取り組むことができます。
文脈を考慮したアイデンティティに関するインサイト — 次のようなさまざまな文脈の視点から各アイデンティティを深く洞察します。
- 関連付けられているアカウント
- 特定された弱点
- 接続されているデバイス
- アクセス権限
- アクティビティパターン
この多面的なアプローチにより、各アイデンティティを全方位的に把握できるため、より正確なリスク評価と的を絞ったセキュリティ対策が可能になります。
実用的なインテリジェンス — アイデンティティ 360 は、異なる複数のソースからアイデンティティ情報を一元化することで、実用的なインサイトを提供します。これにより、セキュリティチームは次のことができるようになります。
- リスクの高いアイデンティティに関連する脆弱性を特定して修正する
- より効果的なアクセス制御ポリシーを実装する
- 内部からの潜在的脅威をより迅速に検出して対応する
- コンプライアンスのレポートと監査を効率化する

アイデンティティ 360 は、アイデンティティリスク管理を一元化し、組織のアイデンティティ環境の全体像を把握できるようにすることで、アタックサーフェスを減らし、運用効率を向上し、全体的なセキュリティポスチャーを強化するのに役立ちます。

アイデンティティとは

アイデンティティとは、人間 (または人間ではないもの) のデジタル表現です。

誰か (名前、役職、部署など)
何にアクセスできるか (ファイル、システム、データ)
どのように組織のデジタル環境とやり取りするか

一方、アカウントはアイデンティティの一部にすぎません。これは、その人が特定のシステムやサービスにログインするために使う鍵のようなものです。たとえば、ある人が勤務先のメールアカウント、顧客のデータベースアカウント、プロジェクト管理ツールのアカウントを持っているとします。これらはすべて、その人の全体のデジタルアイデンティティの異なる要素を成します。

アイデンティティ 360 を使用すると、個々のアカウントではなくアイデンティティ全体に注目することで、各人のデジタルプレゼンスと潜在的なリスクの全体像を把握できます。

アイデンティティ 360 のデータ

アイデンティティ 360 は Tenable プラットフォームのデータを流用します。これは、Tenable Identity Exposure が組織のセキュリティポスチャーを評価するためにかつてないデータアクセスを得ることができるということです。

Tenable エコシステムでは、エンティティは資産と呼ばれます。Tenable Identity Exposure は、これらの資産に関連する脆弱性をハイライトしながら、詳細な資産ページを通じて資産間の関係も明らかにします。

注意: 資産プロパティを表示すると、一部のフィールドでは、アイデンティティプロバイダー (IDP) の元の書式と異なる大文字小文字で表示される場合があります。

注意: 現在、[エクスポージャーの概要] 機能はデフォルトの Tenable プロファイルに基づいて脆弱性関連データを表示しています。他のプロファイルでホワイトリストに登録されている AD オブジェクトの逸脱のステータスは自動的には反映されません。

したがって、以下のようになります。

特定の露出インジケーター ([ネイティブ管理グループメンバー] など) で AD オブジェクトをホワイトリストに登録していても、デフォルトのプロファイルがそれを逸脱として識別した場合、[エクスポージャーの概要] はセキュリティの弱点としてそれにフラグを立てます。
これにより、オブジェクトが別のプロファイルですでにホワイトリストに登録されているにもかかわらず、問題が対処されていないように見えることがあります。
[エクスポージャーの概要] が表示した内容に基づいて修正アクション (グループメンバーシップの削除など) を行った場合、オブジェクトはビューから消えますが、そのオブジェクトが他の場所ですでにホワイトリストに登録されていた場合、このアクションは必要なかった可能性があります。

アイデンティティの収集

アイデンティティ 360 は、複数の IDP アカウントを、統一された人エンティティの下に一元化します。アカウントを関連付ける必要があるかどうかを判断するために、アイデンティティ 360 はアカウントのメールアドレスやユーザープリンシパル名 (UPN) などのいくつかの属性を比較します。

Tenable は誤った関連付けを回避するために一致の精度を高く保つことを優先します。これは、明らかに一致しているように見えるものでも一致しないと判断する場合があることを意味します。たとえば、Tenable では氏名を照合から除外しています。規模の大きな企業では同音異字の名前が存在する可能性が高く、誤検出のリスクが大幅に上がるためです。

注意: IDP が人に関連付けられている最後のアカウントを削除した場合、Tenable Identity Exposure ユーザーインターフェースで対応する人資産が削除されるまでに最大 12 時間かかる場合があります。アイデンティティ 360 は、人とその人に関連付けられているアカウントとの間に重複する関係があることを示すこともできます。

IDP テナント、ドメイン、組織

Tenable では、「テナント」(例: Microsoft Entra ID)、「組織」(例: Okta)、「ドメイン」(例: Microsoft Active Directory) を含め、さまざまな IDP の概念を包括的に表す用語として「テナント」を使用しています。

Tenable が IDP オブジェクトのテナントを識別する方法について詳しくは、Understanding Tenant Membershipを参照してください。

複数の製品にまたがる資産とデータソース

Identity 360 は、Tenable エコシステム内のすべてのアイデンティティ関連データの包括的なビューを提供します。これには、Tenable Identity Exposureデータ、Cloud Security データ、そして Nessus スキャン結果も含まれます。各データセットを収集した特定の Tenable 製品は、[ソース] と表記されます。

もう 1 つの重要な詳細は、利用可能なデータの種類です。たとえば、Active Directory、Entra ID、AWS などの IDP 名です。この情報は [プロバイダー名] の列に表示されます。[ソース] フィールドと [プロバイダー名] フィールドではどちらもフィルタリングとソートができ、それぞれに複数の値を含めることができます。

複数の製品にまたがるデータ (データソース)

Identity 360 は、Tenable エコシステム内で利用可能なすべてのアイデンティティ関連データを表示します。1 つの資産に 1 つまたは複数のソースがある可能性があります。つまり、1 つまたは複数の Tenable 製品によって監視されている場合があります。

Tenable Identity Exposure

は、

Tenable Identity Exposure

自体から収集したデータだけでなく、補完的なソースからのデータも表示します。

考えられるソースは次のとおりです。

必要なライセンス	設定の前提条件	資産のソース	値
Tenable Identity Exposure または Tenable One	Tenable Identity Exposure の Active Directory (AD) ドメイン Tenable のクラウドプラットフォームに送信されたデータ	Tenable Identity Exposure (AD)	完全な AD データ
Tenable Identity Exposure または Tenable One	Tenable Identity Exposure の Microsoft Entra ID (MEID) テナント	Tenable Identity Exposure MEID	完全な MEID データ
Tenable One	Tenable Cloud Security の Tenable のアイデンティティプロバイダー	Tenable Cloud Security	ID360 の他の IDP データ: AWS、Okta、GCI、OneLogin、PingIdentity。データは、IDP でメールアドレスが入力されている IDP アカウントに限定。
Tenable One	プラグイン 171956 - Windows Enumerate Accounts を活用した Nessus スキャン。スキャンの詳細については、Tenable Vulnerability Management ユーザーガイドのスキャンの概要を参照してください。	Tenable Vulnerability Management	Active Directory (AD) および Entra ID アカウント間のマッピング、およびこれらのアカウントを使用するデバイス。

前提条件

アイデンティティ 360 を使用するには、Tenable Identity Exposure の設定でアイデンティティ 360 のサポートをアクティブ化する必要があります。
手順については、Identity 360、エクスポージャーセンター、Microsoft Entra ID のサポートのアクティブ化を参照してください。

アイデンティティの概要へのアクセス

[アイデンティティの概要] ページを開く方法

Tenable Identity Exposure の左側のナビゲーションバーでをクリックします。

[アイデンティティの概要] ページが開き、組織のシステム内のアイデンティティを管理したり監視したりするためのダッシュボードが表示されます。

主な要素

このダッシュボードを使用すると、弱点や攻撃エクスポージャーなどのセキュリティメトリクスに焦点を当てて、アイデンティティ情報を表示、検索、管理できます。ヘッダーに大まかな概要が表示され、その下に個々のアイデンティティの詳細情報が表形式で表示されます。

主要なメトリクス
- アイデンティティの数
- 過去 7 日間で新規作成されたアイデンティティ
- 過去 7 日間で変更されたアイデンティティ

ナビゲーションと検索
- アイデンティティをクエリするための検索バー
- クエリ、フィルター、エクスポート、列のカスタマイズオプション
  
  この検索機能の使用方法について詳しくは、Global Search Quick Reference Guide (グローバル検索クイックリファレンスガイド) を参照してください。

ご利用のアイデンティティプロバイダー (IDP) のすべてのアイデンティティ資産が含まれるデータテーブル。すべての資産タイプを表示する Tenable One とは異なり、このビューは特にアイデンティティタイプの資産にフォーカスしています。各行はそれぞれ一意のアイデンティティを表し、次の情報が表示されます (デフォルトの列表示)。
- 名前、プロバイダー、AES (資産のエクスポージャースコア)、弱点、アクセス可能なリソース、関連するタグ、アカウントステータス、最終更新日、アイデンティティテナント名、詳細

データのビジュアル化
- [AES] および [弱点] 列の棒グラフまたはインジケーターで、データをビジュアルで表現

ステータスインジケーター
- [アカウントステータス] 列の「ENABLED/DISABLED」タグ

Tenable サイバーエクスポージャー管理 Inventory との比較

アイデンティティ 360 のインターフェースの外観や機能は、Tenable サイバーエクスポージャー管理内の [インベントリ] ページと似ていますが、アイデンティティ管理に特化している点が異なります。そのレイアウトと多くの機能は、すでに Tenable サイバーエクスポージャー管理を使用しているユーザーには馴染みのあるものです。

詳細については、Tenable One Exposure Management Platform Deployment Guide (Tenable One サイバーエクスポージャー管理プラットフォームデプロイメントガイド) を参照してください。