露出インジケーター
| 名前 | 説明 | 深刻度 | Type |
|---|---|---|---|
| アプリケーションを登録できる標準アカウント | デフォルトでは、Entra ユーザーであれば誰でもテナント内でアプリケーションを登録できます。便利な機能である一方、セキュリティ上の脆弱性というほどではありませんが、一定のリスクを伴います。そのため、ベストプラクティスに従って、Tenable ではこの機能を無効にすることを推奨します。 | LOW | |
| 通常アカウントと同等のアクセス権を持つゲストアカウント | ゲストを通常ユーザーと見なすように Entra ID を設定することはお勧めできません。悪意のあるゲストがテナントのリソース全体を偵察する可能性があるからです。 | HIGH | |
| レガシー認証がブロックされていない | レガシー認証方法は多要素認証 (MFA) をサポートしていません。そのため、攻撃者はブルートフォースアタック、認証情報のスタッフ攻撃、パスワードスプレー攻撃を仕掛けることができます。 | MEDIUM | |
| 管理対象デバイスの MFA 登録が必須ではない | 管理対象デバイスの MFA 登録を必須にすると、攻撃者が管理対象デバイスへのアクセス権を持っていない場合は、認証情報が盗まれたとしても、不正な MFA を登録することが難しくなります。 | MEDIUM | |
| オンプレミス環境でパスワード保護が有効になっていない | Microsoft Entra パスワード保護は、ユーザーが簡単に推測できるパスワードを設定できないようにして、組織のパスワードセキュリティ全体を向上させるセキュリティ機能です。 | MEDIUM | |
| 弱いパスワードポリシー - 最低存続期間 | パスワードポリシーのパスワード最低存続期間が短く設定されていると、ユーザーが以前使用したパスワードを使いまわすことができ、侵害された認証情報を再利用してしまう可能性があります。 | LOW | |
| テナントに影響を与える危険な委任アクセス許可 | Microsoft は、Entra ID で API を公開して、サードパーティアプリケーションがユーザーの代わりに Microsoft サービスでアクションを実行できるようにしています (「委任されたアクセス許可」と呼ばれます)。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。 | HIGH | |
| 特権ロールが割り当てられている無効なアカウント | 正常なアカウント管理プロセスには、特権ロールへの割り当てを監視することが必要になります。 | LOW | |
| 休眠状態のデバイス | 休眠状態のデバイスは、古くなった設定やパッチ未適用の脆弱性など、セキュリティリスクをもたらします。定期的な監視と更新が行われていないこれらの古いデバイスは、悪用の標的となる可能性があり、テナントの完全性とデータの機密性が侵害される恐れがあります。 | LOW | |
| 休眠状態の非特権ユーザー | 休眠状態の非特権ユーザーは、攻撃者によって不正アクセスのために悪用される可能性があり、セキュリティリスクをもたらします。定期的に監視し非アクティブ化しないと、これらの古いユーザーは、アタックサーフェスを拡大させ、悪意のあるアクティビティの侵入経路を作り出す可能性があります。 | LOW | |
| 休眠状態の特権ユーザー | 休眠状態の特権ユーザーは、攻撃者によって不正アクセスのために悪用される可能性があり、セキュリティリスクをもたらします。定期的に監視し非アクティブ化しないと、これらの古いユーザーは、アタックサーフェスを拡大させ、悪意のあるアクティビティの侵入経路を作り出す可能性があります。 | MEDIUM | |
| 使用されたことがない特権ユーザー | 使用されたことがない特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、それらがデフォルトパスワードのままであれば、攻撃者の主要な標的になります。 | MEDIUM | |
| 使用されたことがない特権ユーザー | 使用されたことがない特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、それらがデフォルトパスワードのままであれば、攻撃者の主要な標的になります。 | MEDIUM | |
| パスワードの有効期限が強制されている | Microsoft Entra ID ドメインでパスワードの有効期限を強制して、ユーザーにパスワードを変更するように頻繁にプロンプトを出すと、弱いパスワード、予測可能なパスワード、再利用されたパスワードの使用につながり、全体的なアカウント保護が低減し、セキュリティを損なう可能性があります。 | LOW | |
| フェデレーションドメインのリスト | 悪意のあるフェデレーションドメイン設定は一般的な脅威であり、攻撃者が Entra ID テナントへの認証バックドアとして使用します。既存のフェデレーションドメインと新たに追加されたフェデレーションドメインの検証は、その設定の信頼性と正当性を確認する上で不可欠です。この露出インジケーター (IoE) は、フェデレーションドメインとその関連属性の包括的なリストを提供します。これは、セキュリティステータスに関して情報に基づいた決定を行うのに役立ちます。 | LOW | |
| 既知のフェデレーションドメインのバックドア | Microsoft Entra ID では、フェデレーションを通じて別のプロバイダーに認証を委任することができます。しかし、昇格された権限を持つ攻撃者は、悪意のあるフェデレーションドメインを追加することで永続性と権限昇格を取得し、この機能を悪用することができます。 | CRITICAL | |
| 非特権アカウントに MFA がない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。 | MEDIUM | |
| パブリック M365 グループ | Entra ID に保存されている Microsoft 365 グループは、パブリックまたはプライベートのいずれかになります。テナント内のいずれのユーザーも、パブリックグループに参加して、そのデータ (チームチャット/ファイル、メールなど) にアクセスできるため、パブリックグループにはセキュリティリスクが生じます。 | MEDIUM | |
| 一時アクセスパス機能が有効 | 一時アクセスパス (TAP) 機能は、期限付きまたは使用回数が制限されているパスコードを使用する一時的な認証方法です。これは正当な機能ですが、組織でその機能を必要としない場合は、無効にしてアタックサーフェスを減らす方が安全です。 | LOW | |
| 未検証のドメイン | Entra ID のすべてのカスタムドメインの所有権を確定する必要があります。未検証のドメインは一時的にのみ保持してください。正式なドメインリストを維持管理し、効率的なレビューを行うためには、これらのドメインを検証するか削除してください。 | LOW | |
| 特権ロールを持つゲストアカウント | ゲストアカウントは、外部 ID であり、特権ロールが割り当てられている場合、セキュリティリスクをもたらす可能性があります。これにより、テナント内の重大な権限が組織外の個人に付与されます。 | HIGH | |
| 不審な「ディレクトリ同期アカウント」ロールの割り当て | 「ディレクトリ同期アカウント」は、Azure ポータルと Entra ID ポータル内では非表示の特権付き Entra ロールで、通常は Microsoft Entra Connect (旧 Azure AD Connect) サービスアカウント用に指定されます。しかし、悪意のある攻撃者がこのロールを悪用して、隠れた攻撃を仕掛ける場合があります。 | HIGH | |
| 認証情報を持つファーストパーティサービスプリンシパル | ファーストパーティサービスプリンシパルは強力なアクセス許可を持っていますが、表示されない、Microsoft 所有である、数が多いということから見過ごされています。攻撃者はそれらに認証情報を付加して、権限昇格や永続性などの権限の恩恵を密かに受けることができます。 | HIGH | |
| 特権ロールで MFA が要求されない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権ロールが割り当てられた特権アカウントで MFA を有効にすることを推奨しています。 | HIGH |