Microsoft EntraがAI時代のサイバー攻撃に対抗——統合IDリスクスコアと自動対応で「AIvs.AI」防衛へ

MicrosoftはMicrosoft EntraとMicrosoft Defenderの連携を大幅に強化し、AIによって加速するサイバー攻撃への対抗策として「統合IDリスクスコア」「新しいEntra ID Protectionエクスペリエンス」「セキュリティアラートトリアージエージェント」を発表した。攻撃者がAIを使って攻撃を自動化・高速化するなか、防御側も同じ速度で動ける仕組みを整えることが急務になっている。

AIが変えたサイバー攻撃の様相

従来の攻撃は人手に依存する部分が多く、偵察・フィッシング文章の作成・認証情報の分析・権限昇格の試みといった各フェーズに時間がかかっていた。しかしAIの登場により、この状況は一変した。

攻撃者はAIを使って、ターゲットに合わせたソーシャルエンジニアリングを大規模に実施し、漏洩した認証情報を瞬時に分析して特権ユーザーを特定し、露出しているシステムを自動的に探索する。攻撃チェーン全体が高速化・自動化されているわけだ。

攻撃手法がいくら進化しても、エントリーポイントとして狙われ続けるのは変わらず「アイデンティティ」だ。ユーザーアカウント、管理者アカウント、ワークロードID、アプリケーション、Non-Human Identity（NHI）、AIエージェント——これらすべてが、適切に保護されなければ重要データへの侵入経路になり得る。

Microsoft Entraの新機能：3つの重点強化

1. 統合IDリスクスコアで「今どこが危ないか」を一目で把握

RSA 2026で発表された「統合IDリスクスコア（Unified Identity Risk Score）」は、関連アカウント・セッション・ワークロード・アプリケーション全体のシグナルを横断的に分析し、一つの包括的なリスク評価値として表示する機能だ。

このスコアはリアルタイムのアクセス判断に直結し、条件付きアクセス（Conditional Access）ポリシーのなかでリスクベースの動的な応答を実現する。単なるダッシュボードの数値ではなく、「このユーザーへのアクセスを今すぐブロックする」という実際のポリシー執行と連動する点が重要だ。

新しいEntra ID Protectionエクスペリエンスでは、リスクの高いユーザー・サインイン・ワークロード・関連する検出情報を一画面で確認できるようになった。これまではバラバラなビューからシグナルを手動でつなぎ合わせる必要があったが、その手間が大幅に削減される。管理者はリスクスコアの計算根拠、関連アカウントへの波及状況、攻撃タイムラインまでを一つの画面で把握し、対処の優先度判断を下せる。

2. 最小権限を守りながら対応速度を上げる新RBACロール

セキュリティインシデント対応で長年の課題になっているのが、SOCチームとIAMチームの分断だ。SOCチームは脅威を検出しても対処する権限がなく、IAMチームの対応を待つ間に被害が広がる——こうした状況が多くの組織で実際に起きている。

かといって、SOCチームに広範な管理者権限を付与すれば、そのアカウント自体が侵害された場合の被害が拡大する。「解決策がリスクを生む」という典型的なジレンマだ。

Microsoftはこれに対し、「IDに特化したRBACロール」（パブリックプレビュー予定）で応答する。SOCチームが必要なIDレスポンスアクションだけ実行できる権限を与え、広範な管理者権限は不要にする。さらにMicrosoft Entraの特権IDマネジメント（PIM）と組み合わせることで、Just-In-Time（JIT）アクセスポリシーを適用可能にする。必要なときだけ権限を昇格させ、通常時は最小権限を保つ——ゼロトラストの原則に忠実な設計だ。

3. Conditional Access最適化エージェントとアラートトリアージの自動化

「Conditional Access最適化エージェント」は、IDシグナル・使用パターン・新興脅威を継続的に分析し、適切なポリシー変更を推奨する機能だ。新たに「Block risky user agent」ポリシーの推奨が追加され、AIエージェントの悪用や自動アクセス試行といった新しい攻撃ベクターへの対応が強化されている。

まもなく、Defenderの脅威検出情報がEntraのConditional Access最適化推奨に自動フィードされる連携も実現する予定だ。管理者は「なぜこの変更が必要か」「誰が影響を受けるか」「何をすればよいか」が明示された推奨を受け取れるため、事後対応から予防的対応へとシフトできる。

「Security Alert Triage Agent」もIDシナリオに拡張され、自動攻撃妨害・予測的シールディングと組み合わせることで、エンド・ツー・エンドの自動化ループが完成する。

日本のIT現場への影響

SOCとIAMの分断は日本でも深刻

大規模な日本企業では、SOCチームとIAMチームが別組織になっているケースが多く、インシデント発生時の連絡・対応フローが複雑で対応が遅れる原因になっている。新しいRBACロールとJIT昇格の仕組みは、この分断を組織改編なしに緩和できる可能性がある。組織の壁を動かす前に、権限設計で改善できる部分がある点は現実的だ。

NHIの管理が次のボトルネックに

アプリケーションやAIエージェントが増えるにつれ、Non-Human Identity（NHI）の数と複雑さが急増している。「サービスアカウントのパスワードを誰が管理しているかわからない」「古いAPIキーが放置されている」といった状況は珍しくない。統合IDリスクスコアにNHIのシグナルが含まれることで、人間のアカウントだけでなく機械的なIDのリスクも可視化できるようになる。業務の自動化を進めるほど、NHI管理の重要性は増す。

実務アクション

• 今すぐ: Entra ID ProtectionでConditional Accessポリシーの最適化推奨を確認し、放置されているギャップを特定する
• 近い将来: 新RBACロールのパブリックプレビュー開始後、SOCチームの権限設計を見直す
• 継続的に: NHIの棚卸しを実施し、不要なサービスアカウントや放置APIキーを整理する

筆者の見解

Microsoft EntraとDefenderが統合されてきた流れは、「ようやくここまで来たか」という感想が正直なところだ。IAMとSOCが別ツール・別ワークフローで動いている状況は攻撃者にとって明らかに有利であり、防御側がその構造を自ら維持していること自体がリスクだった。

JIT昇格とRBACの組み合わせでSOCとIAMの分断を解消しようとするアプローチは、ゼロトラストの文脈で真っ当な方向性だ。「常時アクセス権の付与は特権管理における最大のリスク」——この原則を製品の機能設計に落とし込もうとしていることは評価したい。Microsoftはこの領域で正しい問いを立てている。

一方で、統合IDリスクスコアの精度と誤検知率については、実運用でどう出るかを見ていく必要がある。シグナルが多くなればなるほどスコアは複雑になり、「なぜこのスコアになったか」の説明可能性が重要になる。Microsoftが「rationale（理由）の説明」を強調している点は、現場のニーズを理解している証左だろう。その約束をきちんと果たせるか、ここが肝だ。

日本の大きな組織では、古いセキュリティモデルにゼロトラストを中途半端に追加した複雑な構成が多い。こういった統合ソリューションを活用するためには、まずその複雑さを整理する段階が必要になる。ツールがいくら進化しても、組織の構造と意識が追いつかなければ宝の持ち腐れだ。Microsoftには機能の発表と同じくらい、移行パスの支援に力を入れてほしいところだ。その力は十分にあるはずなのだから。

出典: この記事は AI is accelerating cyberattacks—here’s how to stay ahead の内容をもとに、筆者の見解を加えて独自に執筆したものです。