Indicators of Exposure

動的オブジェクトの設定ミスと使用

深刻度: Medium

名前

動的オブジェクトの設定ミスと使用

説明

動的オブジェクトと、それに関連する安全でない設定を検出します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-DYNAMIC-OBJECTS

BadSuccessor の危険な dMSA アクセス許可

深刻度: Critical

名前

BadSuccessor の危険な dMSA アクセス許可

説明

BadSuccessor は、dMSA を悪用する Windows Server 2025 の Active Directory 権限昇格の欠陥であり、攻撃者がアカウントリンクを操作してドメインを侵害する可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-BAD-SUCCESSOR

機密性の高い Exchange のアクセス許可

深刻度: Critical

名前

機密性の高い Exchange のアクセス許可

説明

Exchange リソースに影響を与える、または Exchange グループに割り当てられている、安全でない可能性のあるアクセス許可を特定します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-EXCHANGE-PERMISSIONS

サービスアカウントの設定ミス

深刻度: Medium

名前

サービスアカウントの設定ミス

説明

ドメインサービスアカウントの潜在的な設定ミスを表示します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-SERVICE-ACCOUNT

管理サービスアカウントの危険な設定ミス

深刻度: High

名前

管理サービスアカウントの危険な設定ミス

説明

管理サービスアカウント (MSAs) がデプロイされ、適切に設定されていることを確認します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-MSA-COMPLIANCE

プロパティセットの整合性

深刻度: Medium

名前

プロパティセットの整合性

説明

プロパティセットの整合性をチェックし、アクセス許可を検証します

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-PROP-SET-SANITY

危険な SYSVOL レプリケーション設定

深刻度: Medium

名前

危険な SYSVOL レプリケーション設定

説明

「分散ファイルシステムのレプリケーション」(DFS-R) メカニズムが「ファイルレプリケーションサービス」(FRS) に取って代わったことをチェックします。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-DFS-MISCONFIG

ランサムウェアに対する不十分な堅牢化

深刻度: Medium

名前

ランサムウェアに対する不十分な堅牢化

説明

ランサムウェアに対する堅牢化の強化策がドメインで実装されているかを確認します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-RANSOMWARE-HARDENING

ADCS の危険な設定ミス

深刻度: Critical

名前

ADCS の危険な設定ミス

説明

Active Directory 証明書サービス (AD CS) 公開鍵インフラ (PKI) に関連した、危険なアクセス許可と設定ミスがあるパラメーターをリストします。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-PKI-DANG-ACCESS

GPO 実行の健全性

深刻度: High

名前

GPO 実行の健全性

説明

ドメインコンピューターに適用されたグループポリシーオブジェクト (GPO) が正常であることを確認します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-GPO-EXEC-SANITY

機密性の高い危険な権限

深刻度: High

名前

機密性の高い危険な権限

説明

ディレクトリインフラのセキュリティを低下させる、機密性の高い特権の設定ミスを特定します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-DANGEROUS-SENSITIVE-PRIVILEGES

アカウントにマップされた証明書

深刻度: Critical

名前

アカウントにマップされた証明書

説明

オブジェクトに弱い証明書マッピングが割り当てられていないことを確認します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-SENSITIVE-CERTIFICATES-ON-USER

AD スキーマの危険な権限

深刻度: High

名前

AD スキーマの危険な権限

説明

永続化の手段を提供する可能性のある、異常と見なされるスキーマエントリをリストします。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-ABNORMAL-ENTRIES-IN-SCHEMA

Microsoft Entra Connect アカウントに関連するアクセス許可を確認する

深刻度: Critical

名前

Microsoft Entra Connect アカウントに関連するアクセス許可を確認する

説明

Microsoft Entra Connect アカウントに設定されたアクセス許可が正当なものかどうかを確認します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-AAD-CONNECT

ドメインコントローラーが不正なユーザーに管理されている

深刻度: Critical

名前

ドメインコントローラーが不正なユーザーに管理されている

説明

一部のドメインコントローラーは、危険なアクセス権限が原因で非管理ユーザーによって管理される可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-DC-ACCESS-CONSISTENCY

機密性の高い GPO オブジェクトおよびファイルのアクセス許可の確認

深刻度: Critical

名前

機密性の高い GPO オブジェクトおよびファイルのアクセス許可の確認

説明

ドメインコントローラーや OU などの機密性の高いコンテナにリンクされている GPO オブジェクトとファイルに割り当てられたアクセス許可が適切かつ安全であることを確認します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-GPO-SD-CONSISTENCY

DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可

深刻度: Critical

名前

DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可

説明

不正ユーザーによる認証情報の窃取につながる、ルートオブジェクトの安全でないアクセス許可がないかを確認します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-ROOTOBJECTS-SD-CONSISTENCY

Windows 2000 以前と互換性のあるアクセス制御を使用するアカウント

深刻度: High

名前

Windows 2000 以前と互換性のあるアクセス制御を使用するアカウント

説明

セキュリティ対策をバイパスできてしまう可能性がある Windows 2000 以前と互換性のあるアクセスグループのアカウントメンバーについてチェックします。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-PRE-WIN2000-ACCESS-MEMBERS

危険な SID History 属性を持つアカウント

深刻度: High

名前

危険な SID History 属性を持つアカウント

説明

SID history 属性内の特権 SID を使用するユーザーまたはコンピューターアカウントをチェックします。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-ACCOUNTS-DANG-SID-HISTORY

ユーザープライマリグループ

深刻度: Critical

名前

ユーザープライマリグループ

説明

ユーザーのプライマリグループが変更されていないことを確認します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-DANG-PRIMGROUPID

危険な Kerberos 委任

深刻度: Critical

名前

危険な Kerberos 委任

説明

許可されていない Kerberos 委任を確認し、特権ユーザーをその委任から保護します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-UNCONST-DELEG

KRBTGT アカウントで前回行ったパスワード変更

深刻度: High

名前

KRBTGT アカウントで前回行ったパスワード変更

説明

推奨期間を過ぎてもパスワードを変更していない KRBTGT アカウントがないかチェックします。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-KRBTGT-PASSWORD

Kerberos サービスを実行する特権アカウント

深刻度: Critical

名前

Kerberos サービスを実行する特権アカウント

説明

セキュリティに影響するサービスプリンシパル名 (SPN) 属性を持つ高度な特権アカウントを検出します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-PRIV-ACCOUNTS-SPN

危険な信頼関係

深刻度: High

名前

危険な信頼関係

説明

ディレクトリインフラのセキュリティを低下させる、間違って設定された信頼関係属性を特定します。

詳細は、 https://www.tenable.com/indicators/ioe/ad/C-DANGEROUS-TRUST-RELATIONSHIP

データに影響を与える危険なアプリケーションのアクセス許可

深刻度: Medium

名前

データに影響を与える危険なアプリケーションのアクセス許可

説明

Microsoft は、サードパーティアプリケーションが Microsoft サービスに対してアクションを実行できるようにするため (「アプリケーションのアクセス許可」と呼ばれる)、Entra ID の API を公開しています。特定のアクセス許可は、これらのサービスが保存するユーザーのデータに脅威をもたらす可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-DATA

悪用可能なルールを持つ動的グループ

深刻度: Medium

名前

悪用可能なルールを持つ動的グループ

説明

攻撃者は自己変更可能な属性を操作することで Microsoft Entra ID の動的グループを悪用し、グループメンバーとして攻撃者自身を追加できるようにする可能性があります。この悪意のある操作により、権限昇格や、グループに関連付けられた機密性の高いリソースへの不正アクセスが可能になります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE

空のグループ

深刻度: Low

名前

空のグループ

説明

空のグループがあると、混乱やセキュリティの侵害を引き起こし、リソースが未使用になる可能性があります。一般的には、グループの明確な目的を確立し、関連するメンバーが含まれるようにすることが推奨されます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/EMPTY-GROUP-MEID

フェデレーションドメインのリスト

深刻度: Low

名前

フェデレーションドメインのリスト

説明

悪意のあるフェデレーションドメイン設定は一般的な脅威であり、攻撃者が Entra ID テナントへの認証バックドアとして使用します。既存のフェデレーションドメインと新たに追加されたフェデレーションドメインの検証は、その設定の信頼性と正当性を確認する上で不可欠です。この露出インジケーター (IoE) は、フェデレーションドメインとその関連属性の包括的なリストを提供します。これは、セキュリティステータスに関して情報に基づいた決定を行うのに役立ちます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/FEDERATED-DOMAINS-LIST

既知のフェデレーションドメインのバックドア

深刻度: Critical

名前

既知のフェデレーションドメインのバックドア

説明

Microsoft Entra ID では、フェデレーションを通じて別のプロバイダーに認証を委任することができます。しかし、昇格された権限を持つ攻撃者は、悪意のあるフェデレーションドメインを追加することで永続性と権限昇格を取得し、この機能を悪用することができます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/KNOWN-FEDERATED-DOMAIN-BACKDOOR

パスワードの有効期限が強制されている

深刻度: Low

名前

パスワードの有効期限が強制されている

説明

Microsoft Entra ID ドメインでパスワードの有効期限を強制して、ユーザーにパスワードを変更するように頻繁にプロンプトを出すと、弱いパスワード、予測可能なパスワード、再利用されたパスワードの使用につながり、全体的なアカウント保護が低減し、セキュリティを損なう可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/PASSWORD-EXPIRATION-ENFORCED

特権アカウントの命名規則

深刻度: Low

名前

特権アカウントの命名規則

説明

Entra ID の特権ユーザーの命名規則は、セキュリティ、標準化、監査コンプライアンスにとって非常に重要であり、管理を容易にします。

詳細は、 https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ACCOUNT-NAMING-CONVENTION

AD と同期されている特権 Entra アカウント (ハイブリッド)

深刻度: High

名前

AD と同期されている特権 Entra アカウント (ハイブリッド)

説明

ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうので、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。

詳細は、 https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ENTRA-ACCOUNT-SYNCHRONIZED-WITH-AD-HYBRID

アプリケーションの無制限のユーザー同意

深刻度: Medium

名前

アプリケーションの無制限のユーザー同意

説明

Entra ID のユーザーは、外部アプリケーションが組織のデータにアクセスすることに独断で同意することができます。攻撃者はこれを「不正な同意付与」攻撃で悪用する可能性があります。アクセスを確認済み発行者に限定するか、管理者の承認を必須とすることで、これを防ぎます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

未検証のドメイン

深刻度: Low

名前

未検証のドメイン

説明

Entra ID のすべてのカスタムドメインの所有権を確定する必要があります。未検証のドメインは一時的にのみ保持してください。正式なドメインリストを維持管理し、効率的なレビューを行うためには、これらのドメインを検証するか削除してください。

詳細は、 https://www.tenable.com/indicators/ioe/entra/UNVERIFIED-DOMAIN

データに影響を与える危険な委任アクセス許可

深刻度: Medium

名前

データに影響を与える危険な委任アクセス許可

説明

Microsoft は、Entra ID で API を公開して、サードパーティアプリケーションがユーザーの代わりに Microsoft サービスでアクションを実行できるようにしています (「委任されたアクセス許可」と呼ばれます)。特定のアクセス許可は、これらのサービスが保存するユーザーのデータに脅威をもたらす可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-DATA

Entra セキュリティの既定値群が有効になっていない

深刻度: Medium

名前

Entra セキュリティの既定値群が有効になっていない

説明

Entra ID セキュリティの既定値群では、テナントの保護を強化する、Microsoft 推奨の設定が事前設定されています。

詳細は、 https://www.tenable.com/indicators/ioe/entra/ENTRA-SECURITY-DEFAULTS-NOT-ENABLED

通常アカウントと同等のアクセス権を持つゲストアカウント

深刻度: High

名前

通常アカウントと同等のアクセス権を持つゲストアカウント

説明

ゲストを通常ユーザーと見なすように Entra ID を設定することはお勧めできません。悪意のあるゲストがテナントのリソース全体を偵察する可能性があるからです。

詳細は、 https://www.tenable.com/indicators/ioe/entra/GUEST-ACCOUNTS-WITH-EQUAL-ACCESS-TO-NORMAL-ACCOUNTS

管理対象デバイスの MFA 登録が必須ではない

深刻度: Medium

名前

管理対象デバイスの MFA 登録が必須ではない

説明

管理対象デバイスの MFA 登録を必須にすると、攻撃者が管理対象デバイスへのアクセス権を持っていない場合は、認証情報が盗まれたとしても、不正な MFA を登録することが難しくなります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

リスクのあるサインインで MFA を要求していない

深刻度: High

名前

リスクのあるサインインで MFA を要求していない

説明

MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、認証要求が正当な ID 所有者からでない場合など、危険なサインインには MFA を要求することを推奨しています。

詳細は、 https://www.tenable.com/indicators/ioe/entra/MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

非特権アカウントに MFA がない

深刻度: Medium

名前

非特権アカウントに MFA がない

説明

MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。

詳細は、 https://www.tenable.com/indicators/ioe/entra/MISSING-MFA-FOR-NON-PRIVILEGED-ACCOUNT

使用されたことがない特権ユーザー

深刻度: Medium

名前

使用されたことがない特権ユーザー

説明

使用されたことがない特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、それらがデフォルトパスワードのままであれば、攻撃者の主要な標的になります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/NEVER-USED-PRIVILEGED-USER

M365 サービスへのアクセス権を持つ特権 Entra アカウント

深刻度: Medium

名前

M365 サービスへのアクセス権を持つ特権 Entra アカウント

説明

管理タスクを実行するには別の Entra アカウントを使ってください。1 つを日常に使う標準アカウント、もう 1 つを管理アクティビティにのみ使用する特権アカウントに分けます。このアプローチにより、特権アカウントのアタックサーフェスを減らせます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

強制措置が適用されていない、リスクのあるユーザー

深刻度: Medium

名前

強制措置が適用されていない、リスクのあるユーザー

説明

リスクのあるユーザーをブロックして、不正アクセスや侵害の可能性を防ぎます。セキュリティのベストプラクティスとして、脆弱なアカウントが Entra ID に認証されないようにするため、条件付きアクセスポリシーを使用することが推奨されています。

詳細は、 https://www.tenable.com/indicators/ioe/entra/RISKY-USERS-WITHOUT-ENFORCEMENT

無制限のゲストアカウント

深刻度: Medium

名前

無制限のゲストアカウント

説明

デフォルトでは、Entra ID のゲストユーザーの制限されたアクセスは、テナント内のゲストユーザーの可視性を低下させるものですが、これらの制限をさらに強化することでセキュリティとプライバシーを高めることもできます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/UNRESTRICTED-GUEST-ACCOUNTS

フェデレーション署名証明書の異常な有効期間

深刻度: Medium

名前

フェデレーション署名証明書の異常な有効期間

説明

フェデレーション署名証明書の異常に長い有効期間は、攻撃者が Entra ID で昇格権限を取得し、フェデレーション信頼メカニズムによってバックドアを仕掛けていることを示している可能性があるため、疑わしいと言えます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/UNUSUAL-FEDERATION-SIGNING-CERTIFICATE-VALIDITY-PERIOD

アプリケーションを登録できる標準アカウント

深刻度: Low

名前

アプリケーションを登録できる標準アカウント

説明

デフォルトでは、Entra ユーザーであれば誰でもテナント内でアプリケーションを登録できます。便利な機能である一方、セキュリティ上の脆弱性というほどではありませんが、一定のリスクを伴います。そのため、ベストプラクティスに従って、Tenable ではこの機能を無効にすることを推奨します。

詳細は、 https://www.tenable.com/indicators/ioe/entra/ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

マルチテナント認証を許可するアプリケーション

深刻度: Low

名前

マルチテナント認証を許可するアプリケーション

説明

マルチテナント認証を許可する Entra アプリケーションは、この設定が十分な認識により有効にされておらず、アプリケーションコード内で適切な認証チェックが実装されていない場合、悪意のあるユーザーに不正なアクセス権を付与してしまう可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/APPLICATION-ALLOWING-MULTI-TENANT-AUTHENTICATION

条件付きアクセスポリシーにより継続的なアクセス評価が無効になっている

深刻度: Medium

名前

条件付きアクセスポリシーにより継続的なアクセス評価が無効になっている

説明

継続的なアクセス評価は、セキュリティポリシーの変更やユーザーステータスの変化への迅速な対応を可能にする Entra ID セキュリティ機能です。このため、無効にしないでください。

詳細は、 https://www.tenable.com/indicators/ioe/entra/CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

オンプレミス環境でパスワード保護が有効になっていない

深刻度: Medium

名前

オンプレミス環境でパスワード保護が有効になっていない

説明

Microsoft Entra パスワード保護は、ユーザーが簡単に推測できるパスワードを設定できないようにして、組織のパスワードセキュリティ全体を向上させるセキュリティ機能です。

詳細は、 https://www.tenable.com/indicators/ioe/entra/PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

パブリック M365 グループ

深刻度: Medium

名前

パブリック M365 グループ

説明

Entra ID に保存されている Microsoft 365 グループは、パブリックまたはプライベートのいずれかになります。テナント内のいずれのユーザーも、パブリックグループに参加して、そのデータ (チームチャット/ファイル、メールなど) にアクセスできるため、パブリックグループにはセキュリティリスクが生じます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/PUBLIC-M365-GROUP

Microsoft Authenticator 通知に追加の詳細情報を表示する

深刻度: Medium

名前

Microsoft Authenticator 通知に追加の詳細情報を表示する

説明

可視性を向上させるため、Microsoft Authenticator 通知を有効にして、アプリケーション名や地域などの追加の詳細情報を表示します。これは、ユーザーが潜在的に悪意のある MFA またはパスワードレス認証のリクエストを特定して拒否するのに役立ち、MFA 疲労攻撃のリスクを効果的に軽減します。

詳細は、 https://www.tenable.com/indicators/ioe/entra/SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

不審な AD 同期ロールの割り当て

深刻度: High

名前

不審な AD 同期ロールの割り当て

説明

Microsoft は、Active Directory 同期のために 2 つの非表示の組み込み Entra ID ロールを設計しました。これらは、Entra Connect または Cloud Sync のサービスアカウント専用です。これらのロールには暗黙的に特権アクセス許可が付与されており、悪意のある攻撃者がそのアクセス許可を悪用してひそかに攻撃を仕掛ける可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

休眠状態のデバイス

深刻度: Low

名前

休眠状態のデバイス

説明

休眠状態のデバイスは、古くなった設定やパッチ未適用の脆弱性など、セキュリティリスクをもたらします。定期的な監視と更新が行われていないこれらの古いデバイスは、悪用の標的となる可能性があり、テナントの完全性とデータの機密性が侵害される恐れがあります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/DORMANT-DEVICE

フェデレーション署名証明書の不一致

深刻度: High

名前

フェデレーション署名証明書の不一致

説明

Microsoft Entra ID では、フェデレーションを通じて別のプロバイダーに認証を委任することができます。しかし、昇格された権限を持つ攻撃者は、悪質なトークン署名証明書を追加することで永続化と権限昇格を取得し、この機能を悪用する可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/FEDERATION-SIGNING-CERTIFICATES-MISMATCH

認証情報を持つファーストパーティサービスプリンシパル

深刻度: High

名前

認証情報を持つファーストパーティサービスプリンシパル

説明

ファーストパーティサービスプリンシパルは強力なアクセス許可を持っていますが、表示されない、Microsoft 所有である、数が多いということから見過ごされています。攻撃者はそれらに認証情報を付加して、権限昇格や永続性などの権限の恩恵を密かに受けることができます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/FIRST-PARTY-SERVICE-PRINCIPAL-WITH-CREDENTIALS

レガシー認証がブロックされていない

深刻度: Medium

名前

レガシー認証がブロックされていない

説明

レガシー認証方法は多要素認証 (MFA) をサポートしていません。そのため、攻撃者はブルートフォースアタック、認証情報のスタッフ攻撃、パスワードスプレー攻撃を仕掛けることができます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/LEGACY-AUTHENTICATION-NOT-BLOCKED

認証の必要がない管理対象デバイス

深刻度: Medium

名前

認証の必要がない管理対象デバイス

説明

管理対象デバイスを必須とし、不正アクセスや侵害の可能性を防ぎます。セキュリティのベストプラクティスとして、条件付きアクセスポリシーを使用して、管理対象でないデバイスから Entra ID への認証をブロックするすることが推奨されています。

詳細は、 https://www.tenable.com/indicators/ioe/entra/MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

使用されたことがないデバイス

深刻度: Low

名前

使用されたことがないデバイス

説明

使用されたことがないデバイスアカウントの事前作成は、セキュリティ衛生上、良くないプラクティスであり、セキュリティリスクをもたらす可能性があるので避けてください。

詳細は、 https://www.tenable.com/indicators/ioe/entra/NEVER-USED-DEVICE

メンバーが 1 人だけのグループ

深刻度: Low

名前

メンバーが 1 人だけのグループ

説明

メンバーが 1 人だけのグループを作ることは推奨されません。冗長で複雑になるためです。このようなプラクティスでレイヤーを追加すると、管理が不必要に複雑になり、無駄のないアクセス制御と管理を実現するためにグループを使用するという、本来意図された効率性を低下させます。

詳細は、 https://www.tenable.com/indicators/ioe/entra/SINGLE-MEMBER-GROUP-MEID

一時アクセスパス機能が有効

深刻度: Low

名前

一時アクセスパス機能が有効

説明

一時アクセスパス (TAP) 機能は、期限付きまたは使用回数が制限されているパスコードを使用する一時的な認証方法です。これは正当な機能ですが、組織でその機能を必要としない場合は、無効にしてアタックサーフェスを減らす方が安全です。

詳細は、 https://www.tenable.com/indicators/ioe/entra/TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

特権ロールで MFA が要求されない

深刻度: High

名前

特権ロールで MFA が要求されない

説明

MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権ロールが割り当てられた特権アカウントで MFA を有効にすることを推奨しています。

詳細は、 https://www.tenable.com/indicators/ioe/entra/MFA-NOT-REQUIRED-FOR-A-PRIVILEGED-ROLE

アプリケーションに管理者の同意ワークフローが設定されていない

深刻度: Medium

名前

アプリケーションに管理者の同意ワークフローが設定されていない

説明

Entra ID の管理者の同意ワークフローでは、構造化された承認プロセスを通じて管理者以外のユーザーがアプリケーションのアクセス許可をリクエストできます。このワークフローが設定されていない場合、ユーザーがアプリケーションにアクセスしようとしても、同意をリクエストする手段がないため、エラーが発生する可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

認証方式の移行が完了していない

深刻度: Medium

名前

認証方式の移行が完了していない

説明

「認証方式」ポリシーに移行することで、Microsoft Entra ID の認証管理が合理化され、最新化されます。この移行によって管理が簡素化され、セキュリティが強化され、最新の認証方式のサポートが可能になります。従来のポリシーの廃止に伴う中断を防ぐため、2025 年 9 月までに移行を完了してください。

詳細は、 https://www.tenable.com/indicators/ioe/entra/AUTHENTICATION-METHODS-MIGRATION-NOT-COMPLETE

テナントに影響を与える危険なアプリケーションのアクセス許可

深刻度: High

名前

テナントに影響を与える危険なアプリケーションのアクセス許可

説明

Microsoft は、サードパーティアプリケーションが Microsoft サービスに対してアクションを実行できるようにするため (「アプリケーションのアクセス許可」と呼ばれる)、Entra ID の API を公開しています。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-THE-TENANT

テナントに影響を与える危険な委任アクセス許可

深刻度: High

名前

テナントに影響を与える危険な委任アクセス許可

説明

Microsoft は、Entra ID で API を公開して、サードパーティアプリケーションがユーザーの代わりに Microsoft サービスでアクションを実行できるようにしています (「委任されたアクセス許可」と呼ばれます)。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。

詳細は、 https://www.tenable.com/indicators/ioe/entra/DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-THE-TENANT