Azure AD 「ありえない移動」の検知改善

Azure AD のリスク検知機能に「ありえない移動」の検知があります。

これは、1回目のアクセスの場所と2回目のアクセスの場所について、短時間には移動できないはずの場所だった場合、不審なアクセスと見なしてリスク検知する機能です。

例えば、東京からアクセスした5分後に、カリフォルニアから同ユーザーのアクセスがあった場合、不審なアクセスの可能性ありと判定されます。

 

しかし、VPN経由やクラウド経由で、インターネットに出ていくアクセスポイントが遠隔の場合などもこのリスク判定されてしまい、結果的に問題のない多数のリスク検知がノイズとなってしまう課題がありました。

 

この程、Azure AD 側でこのアルゴリズムが強化され、誤検知を減らすようになりました。
Detecting and Remediating Impossible Travel - Microsoft Tech Community

 

この投稿内容によると、過去数日間にユーザーがアクティブだった国ごとに、ユーザーエージェントや ISPIPアドレスなどを含めてアクティビティ集計し、新しいイベントが発生すると、それらの情報と関連づけてリスク可能性を判別するそうです。

これにより誤検知が減り、調査時間も短縮されるようなので、多数のノイズが削減されることに期待します。