露出インジケーター
| 名前 | 説明 | 深刻度 | Type |
|---|---|---|---|
| 危険な Kerberos 委任 | 許可されていない Kerberos 委任を確認し、特権ユーザーをその委任から保護します。 | critical | |
| 可逆パスワード | 可逆形式のパスワードを保存するオプションが有効にならないことを検証します。 | medium | |
| GPO の可逆パスワード | GPO 環境設定で、パスワードを可逆的な形式で設定できないようになっていることを確認します。 | medium | |
| SDProp の一貫性を確保する | AdminSDHolder オブジェクトが正常な状態を維持するように制御します。 | critical | |
| KRBTGT アカウントで前回行ったパスワード変更 | 推奨期間を過ぎてもパスワードを変更していない KRBTGT アカウントがないかチェックします。 | high | |
| ネイティブ管理グループメンバー | Active Directory のネイティブ管理グループの異常なアカウント。 | critical | |
| Kerberos サービスを実行する特権アカウント | セキュリティに影響する Service Principal Name (SPN) 属性が設定されている高度な特権アカウントを検出します。 | critical | |
| 標準ユーザーに AdminCount 属性が設定されている | 管理が困難なアクセス許可の問題につながる廃止されたアカウントの adminCount 属性をチェックします。 | medium | |
| 休止アカウント | セキュリティリスクにつながる可能性のある使用されていない休止アカウントを検出します。 | medium | |
| 危険な信頼関係 | ディレクトリインフラのセキュリティを低下させる、間違って設定された信頼関係属性を特定します。 | high | |
| パスワードが決して期限切れにならないアカウント | userAccountControl 属性に DONT_EXPIRE_PASSWORD プロパティのフラグが設定されたアカウント (パスワード更新ポリシーをバイパスして同じパスワードを無限に使い回せてしまう) がないかを確認します。 | medium | |
| リンクなし、無効、または孤立 GPO | 使用していない、または無効な GPO はディレクトリのパフォーマンス速度や RSoP 計算速度を低下させ、セキュリティポリシーの混乱につながる可能性があります。誤って再アクティブ化すると、既存のポリシーが弱体化する可能性があります。 | low | |
| 強制措置が適用されていない、リスクのあるユーザー | リスクのあるユーザーをブロックして、不正アクセスや侵害の可能性を防ぎます。セキュリティのベストプラクティスとして、脆弱なアカウントが Entra ID に認証されないようにするため、条件付きアクセスポリシーを使用することが推奨されています。 | MEDIUM | |
| 弱いパスワードポリシー - 最小文字数 | パスワードポリシーの最小文字数が少なく設定されていると、ユーザーは簡単に推測できる短いパスワードを作成することができてしまうので、侵害のリスクが高まります。 | HIGH | |
| 弱いパスワードポリシー - パスワード履歴 | パスワードポリシーのパスワード履歴数が少なく設定されていると、ユーザーは侵害された可能性のあるパスワードを再利用することができてしまいます。 | MEDIUM | |
| アプリケーションに管理者の同意ワークフローが設定されていない | Entra ID の管理者の同意ワークフローでは、構造化された承認プロセスを通じて管理者以外のユーザーがアプリケーションのアクセス許可をリクエストできます。このワークフローが設定されていない場合、ユーザーがアプリケーションにアクセスしようとしても、同意をリクエストする手段がないため、エラーが発生する可能性があります。 | MEDIUM | |
| 空のグループ | 空のグループがあると、混乱やセキュリティの侵害を引き起こし、リソースが未使用になる可能性があります。一般的には、グループの明確な目的を確立し、関連するメンバーが含まれるようにすることが推奨されます。 | LOW | |
| 空のグループ | 空のグループがあると、混乱やセキュリティの侵害を引き起こし、リソースが未使用になる可能性があります。一般的には、グループの明確な目的を確立し、関連するメンバーが含まれるようにすることが推奨されます。 | LOW | |
| 使用されたことがないデバイス | 使用されたことがないデバイスアカウントの事前作成は、セキュリティ衛生上、良くないプラクティスであり、セキュリティリスクをもたらす可能性があるので避けてください。 | LOW | |
| 使用されたことがない非特権ユーザー | 使用されたことがない非特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、それらがデフォルトパスワードのままであれば、攻撃者の主要な標的になります。 | LOW | |
| AD と同期されている特権 Entra アカウント (ハイブリッド) | ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうので、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。 | HIGH | |
| メンバーが 1 人だけのグループ | メンバーが 1 人だけのグループを作ることは推奨されません。冗長で複雑になるためです。このようなプラクティスでレイヤーを追加すると、管理が不必要に複雑になり、無駄のないアクセス制御と管理を実現するためにグループを使用するという、本来意図された効率性を低下させます。 | LOW | |
| 条件付きアクセスポリシーにより継続的なアクセス評価が無効になっている | 継続的なアクセス評価は、セキュリティポリシーの変更やユーザーステータスの変化への迅速な対応を可能にする Entra ID セキュリティ機能です。このため、無効にしないでください。 | MEDIUM | |
| フェデレーション署名証明書の不一致 | Microsoft Entra ID では、フェデレーションを通じて別のプロバイダーに認証を委任することができます。しかし、昇格された権限を持つ攻撃者は、悪質なトークン署名証明書を追加することで永続化と権限昇格を取得し、この機能を悪用する可能性があります。 | HIGH | |
| 管理者数が多い | 管理者には昇格された権限があるので、その数が多くなるとアタックサーフェスが拡大し、セキュリティリスクをもたらす可能性があります特権を最小限に抑えるという原則が尊重されていない兆候でもあります。 | HIGH | |
| フェデレーション署名証明書の異常な有効期間 | フェデレーション署名証明書の異常に長い有効期間は、攻撃者が Entra ID で昇格権限を取得し、フェデレーション信頼メカニズムによってバックドアを仕掛けていることを示している可能性があるため、疑わしいと言えます。 | MEDIUM | |
| 弱いパスワードポリシー - 一般的なパスワード | パスワードポリシーで一般的なパスワードを許可していると、簡単に推測できる弱い認証情報をユーザーが選択する可能性があるため、侵害のリスクが高まります。 | HIGH | |
| 特権カスタムロール | Okta のカスタムロールに特権アクセス許可が含まれている場合、セキュリティ問題につながる可能性があります。 | LOW | |
| 認証の必要がない管理対象デバイス | 管理対象デバイスを必須とし、不正アクセスや侵害の可能性を防ぎます。セキュリティのベストプラクティスとして、条件付きアクセスポリシーを使用して、管理対象でないデバイスから Entra ID への認証をブロックするすることが推奨されています。 | MEDIUM | |
| テナントに影響を与える危険なアプリケーションのアクセス許可 | Microsoft は、サードパーティアプリケーションが Microsoft サービスに対して独自にアクションを実行できるようにするため、Entra ID で API を公開しています(「アプリケーションのアクセス許可」と呼ばれます)。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。 | HIGH | |
| 休眠状態の特権ユーザー | 休眠状態の特権ユーザーは、攻撃者によって不正アクセスのために悪用される可能性があり、セキュリティリスクをもたらします。定期的に監視し非アクティブ化しないと、これらの古いユーザーは、アタックサーフェスを拡大させ、悪意のあるアクティビティの侵入経路を作り出す可能性があります。 | MEDIUM | |
| アプリケーションの無制限のユーザー同意 | Entra ID のユーザーは、外部アプリケーションが組織のデータにアクセスすることに独断で同意することができます。攻撃者はこれを「不正な同意付与」攻撃で悪用する可能性があります。アクセスを確認済み発行者に限定するか、管理者の承認を必須とすることで、これを防ぎます。 | MEDIUM | |
| データに影響を与える危険なアプリケーションのアクセス許可 | Microsoft は、サードパーティアプリケーションが Microsoft サービスに対して独自にアクションを実行できるようにするため、Entra ID で API を公開しています(「アプリケーションのアクセス許可」と呼ばれます)。特定のアクセス許可は、これらのサービスが保存するユーザーのデータに脅威をもたらす可能性があります。 | MEDIUM | |
| API トークンを持つユーザー | ユーザーが API トークンを持っている場合、Okta API を介してユーザーに代わってアクションを実行することができます。不正なトークンは、不正アクセスやデータ漏洩につながる可能性があります。 | LOW | |
| 悪用可能なルールを持つ動的グループ | 攻撃者は自己変更可能な属性を操作することで Microsoft Entra ID の動的グループを悪用し、グループメンバーとして攻撃者自身を追加できるようにする可能性があります。この悪意のある操作により、権限昇格や、グループに関連付けられた機密性の高いリソースへの不正アクセスが可能になります。 | MEDIUM | |
| Entra セキュリティの既定値群が有効になっていない | Entra ID セキュリティの既定値群では、テナントの保護を強化する、Microsoft 推奨の設定が事前設定されています。 | MEDIUM | |
| Microsoft Authenticator 通知に追加の詳細情報を表示する | 可視性を向上させるため、Microsoft Authenticator 通知を有効にして、アプリケーション名や地域などの追加の詳細情報を表示します。これは、ユーザーが潜在的に悪意のある MFA またはパスワードレス認証のリクエストを特定して拒否するのに役立ち、MFA 疲労攻撃のリスクを効果的に軽減します。 | MEDIUM | |
| 無制限のゲストアカウント | デフォルトでは、Entra ID のゲストユーザーの制限されたアクセスは、テナント内のゲストユーザーの可視性を低下させるものですが、これらの制限をさらに強化することでセキュリティとプライバシーを高めることもできます。 | MEDIUM | |
| マルチテナント認証を許可するアプリケーション | マルチテナント認証を許可する Entra アプリケーションは、この設定が十分な認識により有効にされておらず、アプリケーションコード内で適切な認証チェックが実装されていない場合、悪意のあるユーザーに不正なアクセス権を付与してしまう可能性があります。 | LOW | |
| リスクのあるサインインで MFA を要求していない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、認証要求が正当な ID 所有者からでない場合など、危険なサインインには MFA を要求することを推奨しています。 | HIGH | |
| デバイスの参加が許可されたユーザー | Entra テナントに対してすべてのユーザーの無制限のデバイスの参加を許可すると、攻撃者が不正なデバイスを組織の ID システムに設置し、さらなる侵害の足がかりを得る可能性が出てきます。 | LOW | |
| 弱いパスワードポリシー - ロックアウトしきい値 | パスワードポリシーのロックアウトしきい値が高く設定されていると、アカウントのロックアウトがトリガーされる前に、攻撃者が総当たり攻撃を実行できる可能性があります。 | HIGH | |
| 認証方式の移行が完了していない | 「認証方式」ポリシーに移行することで、Microsoft Entra ID の認証管理が合理化され、最新化されます。この移行によって管理が簡素化され、セキュリティが強化され、最新の認証方式のサポートが可能になります。従来のポリシーの廃止に伴う中断を防ぐため、2025 年 9 月までに移行を完了してください。 | MEDIUM | |
| 休眠状態の非特権ユーザー | 休眠状態の非特権ユーザーは、攻撃者によって不正アクセスのために悪用される可能性があり、セキュリティリスクをもたらします。定期的に監視し非アクティブ化しないと、これらの古いユーザーは、アタックサーフェスを拡大させ、悪意のあるアクティビティの侵入経路を作り出す可能性があります。 | LOW | |
| 特権アカウントに MFA がない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権アカウントで MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。 | HIGH | |
| 使用されたことがない非特権ユーザー | 使用されたことがない非特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、それらがデフォルトパスワードのままであれば、攻撃者の主要な標的になります。 | LOW | |
| 特権アカウントの命名規則 | Entra ID の特権ユーザーの命名規則は、セキュリティ、標準化、監査コンプライアンスにとって非常に重要であり、管理を容易にします。 | LOW | |
| M365 サービスへのアクセス権を持つ特権 Entra アカウント | 管理タスクを実行するには別の Entra アカウントを使ってください。1 つを日常に使う標準アカウント、もう 1 つを管理アクティビティにのみ使用する特権アカウントに分けます。このアプローチにより、特権アカウントのアタックサーフェスを減らせます。 | MEDIUM | |
| メンバーが 1 人だけのグループ | メンバーが 1 人だけのグループを作ることは推奨されません。冗長で複雑になるためです。このようなプラクティスでレイヤーを追加すると、管理が不必要に複雑になり、無駄のないアクセス制御と管理を実現するためにグループを使用するという、本来意図された効率性を低下させます。 | LOW | |
| データに影響を与える危険な委任アクセス許可 | Microsoft は、Entra ID で API を公開して、サードパーティアプリケーションがユーザーの代わりに Microsoft サービスでアクションを実行できるようにしています (「委任されたアクセス許可」と呼ばれます)。特定のアクセス許可は、これらのサービスが保存するユーザーのデータに脅威をもたらす可能性があります。 | MEDIUM |