あり得ない移動の検知
あり得ない移動の検知 とは何ですか?
あり得ない移動の検知同一アイデンティティの連続したサインインが、経過時間内に現実的には移動不可能なほど離れた地理位置から行われた場合に警告する検知。
あり得ない移動検知は、同一 ID による 2 回の成功認証の IP ジオロケーションを比較し、そこから推定される移動速度を計算します。例えばユーザーが 09:00 UTC にニューヨーク、10:30 UTC にシンガポールでサインインした場合、商用航空機の速度を大きく超えるため 2 回目を疑わしいとみなします。Microsoft Entra ID、Okta ThreatInsight、Google Workspace、主要な SIEM には「異常な移動」「通常と異なる場所」の分析が組み込まれ、誤検知を減らすために VPN や Tor 出口ノードのレピュテーションリストと併用されます。単独では結論にならず、現代の手順書ではステップアップ認証やセッション失効のトリガとして MITRE ATT&CK T1078(有効なアカウント)に紐づけて使われます。
● 例
- 01
同一アカウントが 30 分以内にパリとサンパウロから到来し、Entra ID の「異常な移動」リスクが発生する例。
- 02
ジオ速度が時速 800 km を超えた時点でセッションを失効させる Okta ThreatInsight ポリシー。
● よくある質問
あり得ない移動の検知 とは何ですか?
同一アイデンティティの連続したサインインが、経過時間内に現実的には移動不可能なほど離れた地理位置から行われた場合に警告する検知。 サイバーセキュリティの ID とアクセス カテゴリに属します。
あり得ない移動の検知 とはどういう意味ですか?
同一アイデンティティの連続したサインインが、経過時間内に現実的には移動不可能なほど離れた地理位置から行われた場合に警告する検知。
あり得ない移動の検知 はどのように機能しますか?
あり得ない移動検知は、同一 ID による 2 回の成功認証の IP ジオロケーションを比較し、そこから推定される移動速度を計算します。例えばユーザーが 09:00 UTC にニューヨーク、10:30 UTC にシンガポールでサインインした場合、商用航空機の速度を大きく超えるため 2 回目を疑わしいとみなします。Microsoft Entra ID、Okta ThreatInsight、Google Workspace、主要な SIEM には「異常な移動」「通常と異なる場所」の分析が組み込まれ、誤検知を減らすために VPN や Tor 出口ノードのレピュテーションリストと併用されます。単独では結論にならず、現代の手順書ではステップアップ認証やセッション失効のトリガとして MITRE ATT&CK T1078(有効なアカウント)に紐づけて使われます。
あり得ない移動の検知 からどのように防御しますか?
あり得ない移動の検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
あり得ない移動の検知 の別名は何ですか?
一般的な別名: 異常な移動, ジオベロシティ異常。
● 関連用語
- identity-access№ 015
適応型認証
デバイス、位置情報、振る舞いなどのシグナルに応じて、要求する認証要素の強度と数をリアルタイムに調整する認証方式。
- identity-access№ 940
リスクベース認証 (RBA)
サインインごとにリアルタイムでリスクスコアを算出し、許可・追加認証・拒否といった応答を切り替える認証戦略。
- identity-access№ 1103
ステップアップ認証
現在のセッションで認可された権限よりリスクの高い操作を行う際に、追加または強力な認証要素を要求するパターン。
- attacks№ 010
アカウント乗っ取り (ATO)
攻撃者が正規ユーザーのアカウントを不正に支配し、金銭・データの窃取やさらなる詐欺行為に利用する攻撃。
- attacks№ 1016
セッションハイジャック
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
- defense-ops№ 1189
UEBA(ユーザー・エンティティ行動分析)
ユーザーやエンティティの通常の振る舞いをモデル化し、統計や機械学習によって侵害や内部脅威の兆候となる異常を検出する技術。