Active Directory のセキュリティのすべて
Active Directory 内のセキュリティ脆弱性を検出して修復し、攻撃経路を排除するためのハウツーガイド
Active Directory のセキュリティには、Active Directory 内の脆弱性、設定ミス、その他のセキュリティの問題を特定するための人材、プロセス、ツールが含まれます。 IT 管理者は、Microsoft Windows のディレクトリサービスである Active Directory を使用して、アプリケーション、ユーザー、その他のネットワークの構成要素など、さまざまなものを管理しています。 Active Directory は、ID およびアクセス管理 (IAM) の重要なツールです。
Active Directory は、攻撃者にとって、侵入できればシステムにアクセスしてネットワークのラテラルムーブメントが可能になる格好の標的であるにもかかわらず、多くの企業で見過ごされています。 しかしながら、サイバーセキュリティプログラム全体において、Active Directory のセキュリティは重要な部分であり、Active Directory を保護することで、機密データ、アプリケーション、システム、ユーザー認証情報、その他のネットワークの側面に対する潜在的な侵害を阻止できます。
この Active Directory に関するナレッジベースでは、Active Directory の概要、企業での活用方法、さらに Active Directory を保護してリスクベースの脆弱性管理プログラム全体の一部として組み込むためのベストプラクティスについて、詳しく説明しています。
次の 5 つの項目をご紹介しています。
CISO が確認すべき Active Directory のセキュリティに関する最も重要な 10 項目
Active Directory のセキュリティソリューションには何が必要かご存じですか? CISO が確認すべき最も重要な 10 項目を紹介します。
詳細はこちらからActive Directory の安全を確保して攻撃経路を排除
Active Directory のリスクを検出して優先順位付けを行う方法をご存知ですか? このウェビナーでは、その方法を紹介しています。
詳細はこちらからActive Directory に関するよくあるご質問
ここでは、Active Directory と Active Directory のセキュリティに関するよくある質問を紹介しています。
詳細はこちらからActive Directory の安全を確保して攻撃経路を排除する
Tenable Identity Exposure は、Active Directory の脆弱性の確認、予測、先回りした対処に役立ちます
Active Directory は、ネットワーク侵入に成功した者によって (多くの場合は検知されずに) ネットワーク内のラテラルムーブメントの起点として悪用される可能性があります。 Active Directory のセキュリティは見落とされがちですが、企業を保護する上で重要な要素です。 Tenable Identity Exposure を使用すると、Active Directory の脆弱性の迅速な発見と修正、攻撃経路の排除、ラテラルムーブメントの防止、侵害発生前の権限昇格停止が可能です。
Active Directory の保護: 攻撃を先行的に検知する方法
攻撃者の Active Directory に対する攻撃アプローチは非常に巧妙です。この攻撃経路は、サイバーセキュリティプログラムが比較的成熟している企業であっても、見落とされている場合が多くあります。 また、企業が Active Directory への攻撃の可能性を認識していたとしても、従来のアプローチは Active Directory では満足に機能しません。
Microsoft は、長年にわたってオンプレミスの Active Directory セキュリティ向けのソリューションを提供していますが、企業に継続的に使用されているものはほとんどありません。多くのソリューションは短期間で提供終了となるか、他のソリューションに置き換えられています。 この 20 年間、グループポリシー管理など、その他のセキュリティソリューションも市場に現れてはいるものの、Active Directory 環境に包括的な真のセキュリティを提供するものはありません。 新しい攻撃は複雑で隠れていることが多く、検出が必ずしも容易ではないからです。
大半の Active Directory ソリューションは、10 年ほど前に開発されています。そのため、含まれる資産の数と種類が増加した、変化を続ける Active Directory 環境の現在の状況には対応できません。 Active Directory の監視や SIEM (セキュリティ情報イベント管理) のようなソリューションでは、問題を検出した場合にアラートを送信することはできても、さまざまな攻撃を事前に検出できるものはまれです。そのため、企業は設定ミスやその他の問題を修正するための対応を行えません。
ただし、Tenable Identity Exposure は、問題を警告する前に攻撃ログを必要としません。Tenable.ad では、代わりに Active Directory レプリケーションの未処理のストリームを使用して、侵入が成功する前に問題を検出します。
このホワイトペーパーでは、他の一般的な Active Directory セキュリティの問題に関する詳細と、Tenable Identity Exposure が次のような問題の克服にどのように役立つかを確認できます。
- 特権アクセスの設定ミスを悪用した攻撃方法
- Active Directory 内の設定ミスを検出する方法
- すべての Active Directory インストール環境で機能する予防的なソリューションの導入方法
企業を脅かす世界的な脅威Active Directory 攻撃の影響
Active Directory はその性質上、単一障害点です。Active Directory への攻撃は世界中で増加しており、その深刻度も増しています。 Active Directory への攻撃は、あらゆる業界で活動しているあらゆるグローバル企業にとって脅威となっています。
このホワイトペーパーでは、今日 Active Directory で最もよく見られるリスクと、それらが企業に与える可能性のある破壊的な影響の一部について説明します。また、企業が受けた深刻な侵害 15 件と、Active Directory を同様の攻撃から保護するためのベストプラクティスについても解説しています。
さらに、Active Directory への攻撃による事業継続への影響、ブランドの毀損と顧客の信頼の損失、競争力の喪失と IP の脅威など、企業が優先的に取り組むべき 5 つの重大なリスクについても解説します。 このホワイトペーパーでは、自動化ツールの導入やリアルタイムイベント監視など、Active Directory の効果的な実装に役立つ実践的なヒントも紹介します。
巨額の身代金: AD を介したランサムウェアの拡散を止める方法
セキュリティ侵害による被害は甚大で、企業は毎年 1,700 億ドルもの損失を被っています。 2019 年だけでも、米国のハッキングによる被害額は約 35 億ドルとなっています。 攻撃者は、Active Directory を攻略すれば企業の IT 環境を支配できることを理解しているため、Active Directory を介してシステムに侵入して気付かれずにラテラルムーブメントを行う方法を常に探しています。
攻撃者が好んで悪用している手法の 1 つが Active Directory を介したランサムウェアの導入です。侵害を受けた企業は、平均して約 84,000 ドルの身代金を支払っています。 しかし、Active Directory をこのような攻撃から保護することは可能です。 このホワイトペーパーでは、Active Directory を介したランサムウェアの拡散を阻止する方法について詳しく説明し、Active Directory の特権アカウントへのアクセスを保護するための 6 つのクイックヒントを紹介します。
Tenable Community: Active Directory のセキュリティに関するリソース
Active Directory のセキュリティについて質問がある場合や 既存のサイバーセキュリティプログラムに Active Directory のセキュリティを組み込むためのサポートが必要な場合は、 Tenable Community をご利用ください。このコミュニティは、Active Directory のセキュリティに関心を持つ他の担当者とつながることができる最適な場所です。 Tenable Community に参加して、今日の Active Directory の喫緊のセキュリティニーズにおける、共通の課題と素晴らしいソリューションをご覧ください。
今、次のような会話が交わされています。
LDAP 検索で返される結果は 1,000 件のみ
Tenable Security Center で資産またはユーザーの Active Directory/LDAP 検索を実行すると、LDAP/Active Directory のクエリに一致するユーザー/資産の実際の数に関係なく、最大 1000 件の結果しか返ってこないことがあります。
続きを読むLDAP ユーザーアカウントでのログインに失敗すると、ログインタイプが (認証: パスワード) と表示される
LDAP ユーザーアカウントを設定してからユーザー名の大文字と小文字を変更すると、その Active Directory ユーザーアカウントへの Tenable Security Center の接続が切断されます。そのユーザーがログインしようとすると、失敗します。
続きを読むTenable がサポートしているモバイルテクノロジーにはどのようなものがありますか?
以下の MDM システムで統合が可能です:Exchange 2010 以降 (Active Directory 経由)、Mac OS X 10.7 サーバーに同梱されている Apple Profile Manager、MobileIron、AirWatch、Good for Enterprise です。
続きを読むActive Directory のセキュリティに関するよくあるご質問
Active Directory のセキュリティを初めて使用する場合や、 Active Directory の脆弱性やリスクについて質問があるが、どこから始めればよいかわからないという場合は、 最初に、この FAQ をお読みください。
Active Directory とは
Active Directory は何のために使用されるのですか?
Active Directory のセキュリティとは何ですか?
Active Directory のオブジェクトとは何ですか?
Active Directory のセキュリティの 3 つの主な要素は何ですか?
Active Directory のドメインとは何ですか?
Active Directory のツリーとは何ですか?
Active Directory のフォレストとは何ですか?
Active Directory における 5 つの役割とは何ですか?
Active Directory のスキーママスターの役割は何ですか?
Active Directory のドメイン名前付けマスターの役割は何ですか?
Active Directory の RID マスターの役割は何ですか?
Active Directory の PDC エミュレータの役割は何ですか?
Active Directory のインフラストラクチャマスターの役割は何ですか?
Active Directory セキュリティには、どのような種類のグループがありますか?
Active Directory のセキュリティが必要なのはなぜですか?
Active Directory の一般的なサービスにはどのようなものがありますか?
ID およびアクセス管理 (IAM) とは何ですか?
Active Directory はツールですか?
Active Directory のセキュリティにはどのようなメリットがありますか?
ウェビナー
Tenable Identity Exposure のご紹介: アクティブディレクトリのセキュリティを確保して攻撃経路を遮断する
攻撃者は、Active Directory への侵入方法を探しています。侵入できれば、ラテラルムーブメントを行って権限昇格を行い、ドメインを乗っ取ることができるためです。 攻撃者は、セキュリティチームが見落としている、Active Directory 内の悪用可能な脆弱性や設定ミスがあることを期待しています。 しかし、ドメインを保護することは可能です。
Tenable Identity Exposure を使用すると、継続的な検出が可能になり、Active Directory 攻撃を先回りして防止したり、エージェントや権限なしで迅速に導入したりできます。Tenable Identity Exposure が Active Directory のセキュリティ保護にどのように役立つかについての詳細は、このウェビナーをご覧ください。以下の内容が含まれます。
- Active Directory のリスクの検出と優先順位付け
- Active Directory の一般的な攻撃 (総当たり攻撃、パスワードスプレイ、DCShadow、DCSync など) の検出
- Active Directory のデータを SIEM (セキュリティ情報イベント管理) 、SOAR、SOC に追加することによるインシデント対応の改善
ブログ
アクティブディレクトリとアイデンティティに蔓延する攻撃を阻止する
攻撃者によるネットワーク内のラテラルムーブメントや権限昇格を防ぐためには、サイバーセキュリティに対するリスクベースのアプローチに Active Directory のセキュリティを含める必要があります。 攻撃者が Active Directory へのアクセスに成功した場合は、より上位の権限を探すでしょう。見つけることができれば、より多くの情報にアクセスしてシステム内の深部まで移動し、気付かれないようなバックドアアクセスを作成することが可能になります。 しかし、Tenable Identity Exposure を使用すると、これらの隠れた経路を明らかにして、新しい管理者アカウントの作成、権限の変更、新しい信頼関係などについての洞察など、攻撃が発生する前に先回りして阻止できるようになります。
Active Directory の保護: パスワードなしの抜け穴を塞ぐ 3 つの手段
Active Directory には、攻撃者が悪用できるセキュリティの問題が数多く存在しています。たとえば、簡単なコマンドでパスワードの設定条件を無効にできるなどで、日常的に行われるセキュリティレビューや監査では見落とされがちです。 このブログでは、アカウントを保護するための 3 つの簡単な方法 (カスタム LDAP を使用した Active Directory での保存済みクエリの作成、PowerShell モジュールの使用、パスワードの不要なユーザーが作成されていないかを確認するためのすべてのユーザーの継続的な監視) について説明します。
Active Directory の保護: SDProp と adminSDHolder 攻撃を喰いとめるには
攻撃者は、SDProp プロセスを使用して Active Directory にアクセスし、adminSDHolder オブジェクトによって権限を取得できます。 攻撃者は、adminSDHolder ACL に不正なユーザーまたはグループを追加しておけば、SDProp プロセスが実行されたときにすべての特権ユーザーとグループに自動でアクセスできることを知っています。さらに、不正なユーザーやグループが削除されても、60 分後には再び追加できることがあるという知識も得ています。 これらを手動で詳細な監視を行うことは困難ですが、 幸いなことに、Tenable Identity Exposure を使用すると、その処理、攻撃経路の常時評価、新しい攻撃経路発見時の警告が可能です。
CISO 必見: Active Directory セキュリティに関する最も重要な 10 の質問
Active Directory は、登場してから 20 年以上になりますが、今でも変化するビジネスニーズに十分に適応できます。導入件数と利用件数の増加を見ればその事実は一目瞭然です。 しかし、Active Directory を使用している企業の多くは、Active Directory を適切に保護する方法を知らず、Active Directory のセキュリティソリューションに必要なものについても把握できていません。 このブログでは、CISO が新しい Active Directory セキュリティソリューションの最終候補を決定する前に確認する必要のある、最も重要な 10 項目について詳しく説明します。 計画を綿密に立てることで、企業はレジリエンスと将来的なスケーラビリティを備えたソリューションを選択できます。
Tenable Identity Exposure
Active Directory は、脆弱な設定や誤った設定によって、アクセスしようとしている攻撃者の入り口となります。攻撃者は、多くの場合に気付かれることなく、ラテラルムーブメントや権限昇格を行えるようになります。 Tenable Identity Exposure を使用すると、自動化により Active Directory に対する攻撃を簡単に防止および検出できます。
可視性
Active Directory 環境の卓越した可視化により、すべての脆弱性、設定ミス、セキュリティの問題を検出
優先順位付け
Active Directory のセキュリティリスクのなかで最優先で対処すべきものを把握して、段階的なガイドに従って修正を実施
Cyber Exposure の削減
新しい攻撃経路の継続的かつ自動的な検出により、Active Directory のエクスポージャーをリアルタイムで削減
リアルタイム検出
エージェントや権限を必要とせずにリアルタイムで攻撃を検出してネットワークを防御