あり得ない移動の検知
あり得ない移動の検知 とは何ですか?
あり得ない移動の検知同一アイデンティティの連続したサインインが、経過時間内に現実的には移動不可能なほど離れた地理位置から行われた場合に警告する検知。
あり得ない移動検知は、同一 ID による 2 回の成功認証の IP ジオロケーションを比較し、そこから推定される移動速度を計算します。例えばユーザーが 09:00 UTC にニューヨーク、10:30 UTC にシンガポールでサインインした場合、商用航空機の速度を大きく超えるため 2 回目を疑わしいとみなします。Microsoft Entra ID、Okta ThreatInsight、Google Workspace、主要な SIEM には「異常な移動」「通常と異なる場所」の分析が組み込まれ、誤検知を減らすために VPN や Tor 出口ノードのレピュテーションリストと併用されます。単独では結論にならず、現代の手順書ではステップアップ認証やセッション失効のトリガとして MITRE ATT&CK T1078(有効なアカウント)に紐づけて使われます。
● 例
- 01
同一アカウントが 30 分以内にパリとサンパウロから到来し、Entra ID の「異常な移動」リスクが発生する例。
- 02
ジオ速度が時速 800 km を超えた時点でセッションを失効させる Okta ThreatInsight ポリシー。
● よくある質問
あり得ない移動の検知 とは何ですか?
同一アイデンティティの連続したサインインが、経過時間内に現実的には移動不可能なほど離れた地理位置から行われた場合に警告する検知。 サイバーセキュリティの ID とアクセス カテゴリに属します。
あり得ない移動の検知 とはどういう意味ですか?
同一アイデンティティの連続したサインインが、経過時間内に現実的には移動不可能なほど離れた地理位置から行われた場合に警告する検知。
あり得ない移動の検知 からどのように防御しますか?
あり得ない移動の検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
あり得ない移動の検知 の別名は何ですか?
一般的な別名: 異常な移動, ジオベロシティ異常。