アイデンティティ脅威の検知と対応(ITDR)は、ユーザーアカウント、マシンアイデンティティ、およびそれらを管理する基盤を標的または悪用する攻撃を検知・調査・対応することに特化したセキュリティ領域です。アクセス可能な対象を制御するアイデンティティおよびアクセス管理(IAM)とは異なり、ITDRは認証後に動作し、正規のアクセス手段が悪用されている兆候を監視します。Gartnerは2022年3月、ITDRを独立したセキュリティカテゴリとして初めて定義しました。予防的なアイデンティティ制御と広範なセキュリティ運用の間に存在する欠落した機能であると位置付けています。
なぜGartnerはITDRを独立カテゴリとして定義したのか
結論から言えば、IAMとSOCツールはそれぞれ問題の半分しかカバーしておらず、残り半分を補完できていなかったためです。
IAMツール(アクセス管理、特権アクセス管理(PAM)、アイデンティティガバナンスおよび管理(IGA)、多要素認証(MFA)など)は、予防的な制御として設計されています。これらは権限管理、認証ポリシーの適用、アイデンティティライフサイクルの管理を担います。しかし、盗まれた認証情報を用いてすでに認証された攻撃者の検知や、進行中のアイデンティティ侵害へのリアルタイム対応には対応していません。
一方で、SIEM、EDR、XDR、NDRなどのセキュリティ運用ツールは高度な検知・対応機能を備えていますが、アイデンティティ関連イベントを主要な検知対象ではなく補助的なテレメトリとして扱います。そのため、認証情報の不正利用、IAM設定ミスによる権限昇格、サービスアカウントを介したラテラルムーブメントを高精度に検知するためのアイデンティティ特有のコンテキストが不足しています。
Gartnerの2026年の調査でも、この点は明確に指摘されています。IAMは予防に特化しており既存アイデンティティを悪用する攻撃には対応できず、インフラセキュリティツールはアイデンティティ特有の検知・対応機能を欠いています。その結果、両者の間に検知ギャップが生じており、現代の多くの侵害はこの領域で発生しています。
ITDRはこのギャップを埋めます。アイデンティティベースの脅威に特化した検知ロジック、行動分析、対応プレイブックを提供し、IAM起点のインシデントをSOCの検知・対応プロセスに統合します。
Gartnerのガイダンスがカバーする内容
GartnerのITDR導入フレームワークは、検知制御、機能ベンチマーク、SOC統合という3つの主要領域を対象としています。
攻撃者の行動に基づく検知制御
Gartnerのガイダンスでは、シグネチャベースおよび異常ベースの検知から、同社が「攻撃者中心の検知」と呼ぶアプローチへの移行が重視されています。これは、MITRE ATT&CKフレームワークに文書化されている戦術、技術、手順(TTP)を優先するものです。アイデンティティに関連するTTPには、パスワードスプレー、Pass-the-Hash、SAMLゴールデンチケット攻撃、認証情報スキャン、権限昇格、ラテラルムーブメントなどがあります。既知の攻撃者行動に基づいて構築された検知ロジックは、攻撃者がツールを変更しても有効性を維持できるため、静的なルールよりも持続性があります。
このフレームワークでは、行動分析やデセプション技術も補完的な検知制御として取り上げられています。たとえば、内部システムに配置したハニーポット認証情報はトリップワイヤーとして機能し、攻撃者がそれに触れた瞬間にアラートを発します。
NIST CSF 2.0とのベンチマーク
Gartnerは、ITDR機能をNISTサイバーセキュリティフレームワーク2.0にマッピングすることを推奨しています。このフレームワークは、特定、防御、検知、対応、復旧、ガバナンスの6つの領域でセキュリティ機能を整理するものです。このマッピングの実用的な価値は、よくある評価ミスを防げる点にあります。具体的には、管理時の予防機能しか提供しないツールを、ITDRとして販売されているという理由だけで購入してしまうことを防ぎます。Gartnerのフレームワークによれば、真のITDRは、ポスチャ評価やアクセス制御だけでなく、ランタイムでの検知および対応機能を提供する必要があります。
共同責任としてのIAMとSOCの統合
Gartnerの最も明確な推奨事項の1つは、ITDRの導入をIAMチームまたはインフラセキュリティチームのどちらか一方が単独で所有するものではなく、両者の共同責任として扱うべきだという点です。2024年のGartner IAM Leadership Surveyでは、IAM機能とサイバーセキュリティ機能の連携が、IAMプログラムの目標達成において測定可能な成果向上につながることが示されています。運用面では、IAM、SOC、インフラおよび運用部門のメンバーで構成される分野横断型チームを編成し、実行を推進するITDR責任者を置くことを意味します。
アイデンティティ脅威の検知と対応(ITDR)市場が成長している理由
市場の成長は、攻撃トレンドへの直接的な対応です。Verizonのデータ漏洩/侵害調査報告書(DBIR)によると、2025年のセキュリティ侵害において、認証情報の悪用は主要な初期アクセスベクターであり、確認されたインシデントの22%で確認されました。IBMのデータ侵害コストレポートでは、侵害された認証情報が一貫して主要な初期アクセスベクターの一つとして挙げられており、盗まれた認証情報に起因する侵害は、他の手法による侵害と比べて、特定および封じ込めにより長い時間を要すると指摘されています。
マシンアイデンティティは、この問題をさらに深刻化させています。Gartnerの調査によると、マシンアイデンティティは現在、人間のアイデンティティを大幅に上回っており、IAM環境において最も急速に増加している要素の一つとなっています。また、適切なガバナンスが行われなければ、重大なセキュリティリスクをもたらします。多くの組織では、マシンアイデンティティ環境の可視性が不足しており、一貫性のあるガバナンスの確立にも課題を抱えています。その結果、セキュリティインシデントの増加につながっています。サービスアカウント、APIキー、OAuthトークン、クラウドプロバイダーの認証情報は、現在の企業アイデンティティ環境の大部分を占めており、監視、ライフサイクル管理、検知カバレッジが十分でない状態で運用されているケースも少なくありません。
Gartnerの将来を見据えたガイダンスは、さらに別の側面を示しています。2027年までに、AIエージェントが認証情報の窃取や認証チャネルの侵害を自動化し、攻撃者がアカウントの露出を悪用するまでに要する時間を50%短縮する可能性があると予測されています。この予測は、アイデンティティ攻撃がより高速化し、自動化が進み、現在組織が導入しているツールでは検知がより困難になりつつあるという広範な傾向を反映しています。
アイデンティティ脅威の検知と対応(ITDR)市場は、こうしたトレンドに比例して成長してきました。かつては認識された機能ギャップに過ぎなかったものが、現在では明確な投資カテゴリへと発展しています。ベンダーエコシステムは拡大を続けており、Gartnerのセキュリティ調査においても、関連する調査・分析の対象として取り上げられる機会が増えています。
ITDRベンダー市場の構成
Gartnerのフレームワークでは、ITDRベンダー市場を、機能提供に対するアプローチの違いに基づいて3つの大きなカテゴリに分類しています。
第1のカテゴリは、IAMイベントを追加のテレメトリとして扱う既存の検知・対応プラットフォーム、つまりEDR、XDR、SIEMツールです。これらのプラットフォームは成熟した分析機能と自動化を提供しますが、アイデンティティ領域のカバレッジはIAMシステムとの統合品質に大きく依存します。また、その検知ロジックは、アイデンティティ固有の攻撃パターンに特化して設計されたものではありません。
IAMベンダーも、自社プラットフォームに検知・対応機能を拡張しています。これらのツールは、自社エコシステム内でのアイデンティティに特化した検知には適していることが多い一方で、エンドポイント、ネットワーク、およびカバレッジ範囲外の環境をまたいだ広範な脅威の相関分析には対応しきれない場合があります。
第3のカテゴリは、専用のアイデンティティカバレッジを備えたサードパーティのITDRベンダーおよびMDRサービスです。Gartnerは、こうしたソリューションの多くが現在、SaaSアプリケーション、クラウドインフラ、マシンアイデンティティに対応範囲を拡大しており、Agentic AIシステムのカバレッジも含め、IAMネイティブのツールでは通常対応できないギャップを埋められると指摘しています。単一のベンダーですべてのITDRニーズを満たすことはできないため、Gartnerのガイダンスでは、ほとんどの組織が複数のカテゴリから機能を組み合わせ、ITDRの成熟度が高まるにつれてその組み合わせを進化させることを推奨しています。
Gartnerの初期フレームワーク以降、第4のカテゴリとしてAgentic SOCプラットフォームが登場しています。これらのプラットフォームは、アイデンティティ検知を、クラウド、SaaS、エンドポイント、アプリケーション環境全体にわたる広範なセキュリティ運用と統合します。アイデンティティを独立した領域として扱うのではなく、SOCのライフサイクル全体を支える機能の中の1つの検知対象領域として扱うことで、専用ITDRツールや従来型のインフラセキュリティプラットフォームでは通常個別に処理される、環境横断的な相関分析を可能にします。
評価におけるGartnerフレームワークの活用方法
Gartnerが推奨するNIST CSF 2.0へのマッピングは、機能比較に迷うことなくITDRソリューションを評価するための、最も実用的な手段です。評価ポイントは明確です。そのソリューションはランタイムでの検知および対応機能を提供しているのか、それとも検知機能として販売されているものの、実際には主に管理時の予防機能を提供しているだけなのか、という点です。
この評価ポイントを、NIST CSFの各機能に適用します。
- 検知: そのソリューションは、自社環境におけるアイデンティティ固有のTTPに対応した専用の検知ロジックを備えているでしょうか。それとも、汎用的な異常フラグ付けに依存しているでしょうか。
- 対応: そのソリューションは、アイデンティティプロバイダーとの連携を通じて、封じ込めアクション、セッション失効、アカウントロックアウト、アクセスレビューを開始できるでしょうか。それとも、すべての対応アクションをツール外で手動実行する必要があるでしょうか。
- 復旧: そのソリューションは、アイデンティティ固有の修復ワークフローをサポートしているでしょうか。それとも、より広範なインシデント対応プロセスに完全に委ねられるのでしょうか。
Gartnerのガイダンスでは、ITDRプログラムの進捗を具体的なKPIに基づいて測定することも推奨しています。具体的には、既知のアイデンティティTTPのうち検知ロジックでカバーされている割合、新たな脅威に対応する検知ルールの実装に要する時間、監視対象となっているIAMインフラコンポーネントの割合、アイデンティティ関連インシデントにおける検知から封じ込めまでの平均時間などです。これらの指標は、現在のポスチャと、評価対象ソリューションの有効性の両方を評価するための実用的なベースラインとなります。
実際の運用において優れたITDRプラットフォームとそうでないプラットフォームを分けるポイントについて詳しく知りたい方は、ITDRソリューション評価ガイドをご覧ください。このガイドでは、本記事で紹介した評価基準をベンダー評価に適用しています。ITDRの仕組みや、対象となる脅威カテゴリ、効果的なITDRプログラムの構成要素についてさらに詳しく知りたい方は、ITDRの全体ガイドをご覧ください。
よくある質問(FAQ)
GartnerによるITDRの定義とは何ですか?
Gartnerは、2022年10月にアイデンティティ脅威の検知と対応(ITDR)をセキュリティカテゴリとして定義しました。これは、アイデンティティシステムやそれらが管理するアカウントを標的または悪用する攻撃の検知と対応に焦点を当てたツールおよびプロセスを指します。Gartnerのフレームワークでは、ITDRを予防的なIAMコントロールに続く第2および第3の防御層として位置付けており、予防策だけでは進行中のアイデンティティベースの攻撃を阻止できない場合に機能します。
ITDRはIAMと同じですか?
いいえ。IAM(アイデンティティおよびアクセス管理)は、アクセス権と認証を管理する予防的コントロールです。ITDRは、IAMコントロールを回避または悪用する脅威を検知し、対応します。この2つの分野は相互補完的な関係にあります。IAMは攻撃対象領域を縮小し、ITDRはその領域が侵害された際に可視性と対応能力を提供します。
ITDR市場には何が含まれますか?
アイデンティティ脅威の検知と対応(ITDR)市場には、専用に設計されたITDRプラットフォーム、検知機能を拡張したIAMベンダー、アイデンティティ領域をカバーする検知・対応プラットフォーム(EDR、XDR、SIEM)、および専用のITDR機能を備えたマネージドセキュリティサービスが含まれます。Gartnerは、ほとんどの組織に対して、単一のベンダーに依存するのではなく、複数のカテゴリの機能を組み合わせることを推奨しています。
ITDRが市場カテゴリとして成長している理由は何ですか?
この成長の背景には、アイデンティティベースの攻撃の増加があります。VerizonのDBIRによると、認証情報の悪用は2025年の侵害における主要な原因となっています。これに加え、マシンアイデンティティの急速な増加や、AIを活用する脅威アクターによる認証情報の窃取の自動化が進んでいます。従来のIAMツールやSOCツールには検知上のギャップが存在しており、ITDRはそのギャップを埋めるために設計されています。
