露出インジケーター
| 名前 | 説明 | 深刻度 | Type |
|---|---|---|---|
| Microsoft Authenticator 通知に追加の詳細情報を表示する | 可視性を向上させるため、Microsoft Authenticator 通知を有効にして、アプリケーション名や地域などの追加の詳細情報を表示します。これは、ユーザーが潜在的に悪意のある MFA またはパスワードレス認証のリクエストを特定して拒否するのに役立ち、MFA 疲労攻撃のリスクを効果的に軽減します。 | MEDIUM | |
| 不審な AD 同期ロールの割り当て | Microsoft は、Active Directory 同期のために 2 つの非表示の組み込み Entra ID ロールを設計しました。これらは、Entra Connect または Cloud Sync のサービスアカウント専用です。これらのロールには暗黙的に特権アクセス許可が付与されており、悪意のある攻撃者がそのアクセス許可を悪用してひそかに攻撃を仕掛ける可能性があります。 | HIGH | |
| 休眠状態のデバイス | 休眠状態のデバイスは、古くなった設定やパッチ未適用の脆弱性など、セキュリティリスクをもたらします。定期的な監視と更新が行われていないこれらの古いデバイスは、悪用の標的となる可能性があり、テナントの完全性とデータの機密性が侵害される恐れがあります。 | LOW | |
| フェデレーション署名証明書の不一致 | Microsoft Entra ID では、フェデレーションを通じて別のプロバイダーに認証を委任することができます。しかし、昇格された権限を持つ攻撃者は、悪質なトークン署名証明書を追加することで永続化と権限昇格を取得し、この機能を悪用する可能性があります。 | HIGH | |
| 認証情報を持つファーストパーティサービスプリンシパル | ファーストパーティサービスプリンシパルは強力なアクセス許可を持っていますが、表示されない、Microsoft 所有である、数が多いということから見過ごされています。攻撃者はそれらに認証情報を付加して、権限昇格や永続性などの権限の恩恵を密かに受けることができます。 | HIGH | |
| レガシー認証がブロックされていない | レガシー認証方法は多要素認証 (MFA) をサポートしていません。そのため、攻撃者はブルートフォースアタック、認証情報のスタッフ攻撃、パスワードスプレー攻撃を仕掛けることができます。 | MEDIUM | |
| 認証の必要がない管理対象デバイス | 管理対象デバイスを必須とし、不正アクセスや侵害の可能性を防ぎます。セキュリティのベストプラクティスとして、条件付きアクセスポリシーを使用して、管理対象でないデバイスから Entra ID への認証をブロックするすることが推奨されています。 | MEDIUM | |
| 使用されたことがないデバイス | 使用されたことがないデバイスアカウントの事前作成は、セキュリティ衛生上、良くないプラクティスであり、セキュリティリスクをもたらす可能性があるので避けてください。 | LOW | |
| メンバーが 1 人だけのグループ | メンバーが 1 人だけのグループを作ることは推奨されません。冗長で複雑になるためです。このようなプラクティスでレイヤーを追加すると、管理が不必要に複雑になり、無駄のないアクセス制御と管理を実現するためにグループを使用するという、本来意図された効率性を低下させます。 | LOW | |
| 一時アクセスパス機能が有効 | 一時アクセスパス (TAP) 機能は、期限付きまたは使用回数が制限されているパスコードを使用する一時的な認証方法です。これは正当な機能ですが、組織でその機能を必要としない場合は、無効にしてアタックサーフェスを減らす方が安全です。 | LOW | |
| 特権ロールで MFA が要求されない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権ロールが割り当てられた特権アカウントで MFA を有効にすることを推奨しています。 | HIGH | |
| アプリケーションに管理者の同意ワークフローが設定されていない | Entra ID の管理者の同意ワークフローでは、構造化された承認プロセスを通じて管理者以外のユーザーがアプリケーションのアクセス許可をリクエストできます。このワークフローが設定されていない場合、ユーザーがアプリケーションにアクセスしようとしても、同意をリクエストする手段がないため、エラーが発生する可能性があります。 | MEDIUM | |
| 認証方式の移行が完了していない | 「認証方式」ポリシーに移行することで、Microsoft Entra ID の認証管理が合理化され、最新化されます。この移行によって管理が簡素化され、セキュリティが強化され、最新の認証方式のサポートが可能になります。従来のポリシーの廃止に伴う中断を防ぐため、2025 年 9 月までに移行を完了してください。 | MEDIUM | |
| テナントに影響を与える危険なアプリケーションのアクセス許可 | Microsoft は、サードパーティアプリケーションが Microsoft サービスに対してアクションを実行できるようにするため (「アプリケーションのアクセス許可」と呼ばれる)、Entra ID の API を公開しています。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。 | HIGH | |
| テナントに影響を与える危険な委任アクセス許可 | Microsoft は、Entra ID で API を公開して、サードパーティアプリケーションがユーザーの代わりに Microsoft サービスでアクションを実行できるようにしています (「委任されたアクセス許可」と呼ばれます)。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。 | HIGH | |
| 特権ロールが割り当てられている無効なアカウント | 正常なアカウント管理プロセスには、特権ロールへの割り当てを監視することが必要になります。 | LOW | |
| 休眠状態の非特権ユーザー | 休眠状態の非特権ユーザーは、攻撃者によって不正アクセスのために悪用される可能性があり、セキュリティリスクをもたらします。定期的に監視し非アクティブ化しないと、これらの古いユーザーは、アタックサーフェスを拡大させ、悪意のあるアクティビティの侵入経路を作り出す可能性があります。 | LOW | |
| 休眠状態の特権ユーザー | 休眠状態の特権ユーザーは、攻撃者によって不正アクセスのために悪用される可能性があり、セキュリティリスクをもたらします。定期的に監視し非アクティブ化しないと、これらの古いユーザーは、アタックサーフェスを拡大させ、悪意のあるアクティビティの侵入経路を作り出す可能性があります。 | MEDIUM | |
| 特権ロールを持つゲストアカウント | ゲストアカウントは、外部 ID であり、特権ロールが割り当てられている場合、セキュリティリスクをもたらす可能性があります。これにより、テナント内の重大な権限が組織外の個人に付与されます。 | HIGH | |
| 特権アカウントに MFA がない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権アカウントで MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。 | HIGH | |
| 使用されたことがない非特権ユーザー | 使用されたことがない非特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、それらがデフォルトパスワードのままであれば、攻撃者の主要な標的になります。 | LOW | |
| デバイスの参加が許可されたユーザー | Entra テナントに対してすべてのユーザーの無制限のデバイスの参加を許可すると、攻撃者が不正なデバイスを組織の ID システムに設置し、さらなる侵害の足がかりを得る可能性が出てきます。 | LOW | |
| 管理者数が多い | 管理者には昇格された権限があるので、その数が多くなるとアタックサーフェスが拡大し、セキュリティリスクをもたらす可能性があります特権を最小限に抑えるという原則が尊重されていない兆候でもあります。 | HIGH |