Active Directoryセキュリティとは？ ADセキュリティの解説

Active Directoryは、ユーザー認証とアクセス管理システムにおいて、企業ネットワークの主要コンポーネントの一つです。これは、企業環境におけるユーザーアカウントやセキュリティ設定などのネットワークリソースを保持・制御するシステムとして機能します。

Active Directoryは、今日の企業ネットワーク内で重要なセキュリティ機能を担っています。特定のリソースへのアクセスを許可されるユーザーを決定し、セキュリティ証明書のアクセスを提供し、接続されたすべてのデバイスとシステムにセキュリティポリシーを適用します。Active Directoryは、機密データを不正アクセスから保護するための一貫したセキュリティ手順を適用するために組織が使用する信頼できるメカニズムです。

このブログでは、Active Directoryセキュリティとは何か、脅威アクターによる攻撃手法、そして組織がこれらの攻撃を軽減するためにできることについて解説します。このブログでは、Active Directory インフラストラクチャを保護するための技術的な解決策と様々なセキュリティ対策に焦点を当てます。

Active Directoryセキュリティとは？

Active Directory セキュリティとは、ディレクトリサービスインフラストラクチャの侵害を防ぐための一連の対策です。このシステムは、Windows Server ネットワーク内からのセキュリティ認証要求に応答するサーバーであるドメイン コントローラーを通じて動作します。

Active Directoryセキュリティが重要な理由

ネットワークリソースや機密データへのアクセスを制御するActive Directoryセキュリティは、企業防御の重要な要素です。Active Directoryはほとんどの企業ネットワークの入り口であり、セキュリティ侵害が発生すると、攻撃者はネットワーク内を移動し、アクセス権限のないシステムに到達することが可能になります。Active Directoryの侵害は組織に重大な運用リスクをもたらし、データ窃取、システムダウンタイム、規制コンプライアンス違反違反を引き起こす可能性があります。

セキュリティ上の欠陥を含むActive Directory構成から、複数の侵入攻撃ポイントが生じます。脆弱なパスワード、誤設定された権限、未修正の脆弱性の存在は、悪用される可能性のあるアクセスポイントを提供します。初期アクセスを得た後、攻撃者は異なるドメイン間の信頼関係を利用して、最終的に最終ターゲットドメインへのアクセスを獲得します。ドメインコントローラーへの侵入は、全ドメインユーザーの認証情報を保持するサーバーであるため、最も深刻な被害をもたらします。

AD攻撃は復旧に長い時間を要します。安全な構成を再確立するには、ユーザー権限、信頼関係、グループポリシー設定の広範な監査が必要です。セキュリティチェックと復旧作業が行われる間、業務機能が妨げられます。

Active Directory セキュリティの主要コンポーネント

Active Directory を保護するために、複数のコンポーネントが相互に接続されています。Kerberos や NTLM は、ユーザーがリソースへのアクセスを許可される前に、そのユーザーが本人であることを確認します。暗号化されたチケットとチャレンジ・レスポンス機構の使用を可能にし、ネットワーク全体で認証情報の保護を提供します。

アクセス制御機構は、ユーザーがアクセスできるリソースを指定します。アクセス制御リスト（ACL）は、セキュリティプリンシパル（ユーザーアカウントまたはセキュリティグループ（ユーザーアカウントの集合体））に権限を付与します。これらの権限は、ディレクトリオブジェクトに対する読み取り、書き込み、変更などの操作を許可するために使用されます。

ドメインセキュリティポリシーは、ドメイン全体で標準化された制御を適用します。パスワードポリシーは、パスワードの複雑性、有効期限、再利用などのルールを強制します。悪意のある攻撃者がセキュリティ対策を推測・総当たり攻撃で突破しようとするブルートフォース攻撃を防ぐため、アカウントロックアウトポリシーは、適切な使用時にのみログイン試行が成功するよう保証します。

Active Directoryセキュリティに対する一般的な脅威

Active Directoryは、ネットワーク内の認証とアクセス制御の中核となるポイントです。これは複数のセキュリティ脅威の主な標的となります。攻撃者は、ドメインリソースへの不正アクセスや制御を得るために、一連の手法を用いてActive Directoryの要素を悪用します。

1.アカウントベースの攻撃

パスワードスプレー攻撃やユーザーアカウントに対するブルートフォース攻撃は、脅威アクターが頻繁に試みる手法です。これらのアカウントまたはパスワード攻撃は、広範に使用されているパスワードを多数のアカウントに対して使用したり、特定のアカウントに対して複数のパスワードをテストしたりすることを目的としています。攻撃者は自動化されたツールを使用して、アカウントのロックアウトを回避しながら膨大な数のパスワードの組み合わせを試みることができます。ユーザーアカウント、特に高レベルの管理者アクセス権を持つアカウントは、多くの場合、最初の侵入ポイントとなります。

2. 認証情報の盗難

攻撃者はさまざまなツールを使用して、メモリから認証情報を抽出します。攻撃者は、LSASS プロセスメモリに保存されているパスワードハッシュや、Kerberos チケットさえも盗むことが知られています。認証情報ダンプツールは、ドメインコントローラーやワークステーションから直接、これらの認証情報を抽出します。攻撃者が有効な認証情報を入手した場合、多くの場合、正当なユーザーになりすまし、通常の認証制御をバイパスすることができます。

3.ディレクトリサービスの悪用

Active Directoryプロトコルとサービスに存在する欠陥は攻撃の機会を生み出します。LDAPの設定ミスにより平文接続が許可され、ディレクトリクエリが操作に晒されます。DNSゾーン転送設定と動的更新設定の両方が、適切に保護されていない場合に脆弱性を生み出します。攻撃者はこれらのサービスレベルの問題を利用して、ドメインアーキテクチャと資産に関する情報を入手します。

4. レプリケーション攻撃

ドメインコントローラーのレプリケーション処理は特有の脅威に晒される。DCSync攻撃はレプリケーションプロトコル経由でパスワードデータを読み取る。攻撃者がレプリケーション通信にアクセスできれば、ドメイン コントローラー間で流れるデータを改ざんできます。レプリケーションが失敗するとデータの不整合が露呈し、ドメイン全体のポリシー適用にセキュリティ上の脆弱性が生じます。

Active Directory 攻撃の仕組み

ドメイン侵害は、様々な種類のActive Directory攻撃手法によって達成されます。これらの手法は認証・認可システムの異なる部分を攻撃対象とし、ネットワークへの完全なアクセス権を得るために複数の手法を組み合わせることがよくあります。これらの攻撃パターンを理解することで、組織は強力な防御策を講じることが可能になります。

権限昇格の手法

権限昇格は、攻撃者が（基本レベルから）Active Directory環境への上位アクセス権を取得するために用いる手法です。初期段階では、脆弱なパスワードや効果的なフィッシング攻撃を利用した一般ユーザーの共通アカウントの悪用が含まれます。高度な手法では、ドメイン管理者権限で実行されている設定ミスのあるサービスアカウントを攻撃者が回避することが可能になります。

Kerberoasting攻撃

Kerberoasting は AD 内のサービスアカウントを標的とします。ドメインアカウントで実行されているサービスに対して TGS チケット要求を行うことで動作します。これらのチケットには、サービスアカウントのパスワードのハッシュが暗号化された形式で提示されます。攻撃者はこれらのハッシュをオフラインで抽出し、パスワードの解読を試みます。この手法は、管理特権を持つことが多い脆弱なパスワードのサービスアカウントに対して特に危険です。

パス・ザ・ハッシュ攻撃とパス・ザ・チケット攻撃

これらの攻撃は、事前に取得した認証情報のセットを再利用して行われます。パス・ザ・ハッシュ攻撃では、攻撃者はNTLMパスワードハッシュを1台のマシンから盗み出し、他のマシンへの認証に使用します。別の手法であるチケット転送攻撃は、同じ原理に基づきますが、ハッシュではなく侵害されたKerberosチケットを標的とします。いずれの場合も、実際のパスワードを必要とせずネットワーク上で実行される横方向移動の手法です。

ゴールデンチケットとシルバーチケットの悪用

ゴールデンチケット攻撃は、ドメインの最高権限アカウント（KRBTGT）を使用してKerberosチケットを偽造します。攻撃者がKRBTGTハッシュを入手すると、ドメイン内の任意のユーザーやサービスに対するチケットを作成できます。これにより通常のセキュリティ制御を迂回でき、パスワード変更後も有効です。

ドメイン全体のKRBTGTアカウントではなく、特定のサービスアカウントに対してシルバーチケット攻撃が行われます。攻撃者がサービスアカウントのハッシュを入手すると、そのサービス向けの偽造サービスチケットを作成できます。これらのチケットではアクセス可能なサービスは限定されますが、ゴールデンチケットほど包括的ではありません。

ドメインレプリケーション攻撃

DCSyncは、ディレクトリ複製サービスリモートプロトコル（MS-DRSR）を利用してドメインコントローラーからパスワードデータを取得する侵害手法です。攻撃者が複製権限を有する場合、ドメイン内の全パスワードベースアカウントのパスワードハッシュを抽出します。

DCShadow攻撃では、特定のRPCサーバーを登録し必要なディレクトリオブジェクトを作成することでDCの動作を模倣し、正当なレプリケーション経路を通じて悪意のある変更を注入します。

Active Directory 強化手法

技術的な制御と構成により、組織の Active Directory セキュリティを強化できます。これらの手法には、攻撃対象領域を拡大させないようディレクトリインフラの重要な要素を強化し、一般的に使用される悪用手法による影響を防ぐことが含まれます。

1. ドメインコントローラーの強化

ドメインコントローラーは AD ネットワークのバックボーンであるため、多層的なセキュリティアプローチによって保護する必要があります。具体的には、物理的なセキュリティ対策によりサーバーハードウェアへの不正アクセスを防止し、OSの強化により攻撃の入り口となり得る不要な機能やサービスを削除します。既知の脆弱性を修正し悪用を防ぐため、Windows Serverコンポーネントへのセキュリティ更新プログラムの適用が必要となる場合があります。

2. LDAPセキュリティ設定

ディレクトリクエリおよび変更に関する軽量ディレクトリアクセスプロトコル（LDAP）のセキュリティには特別な監視が必要です。リスクを軽減し、送信中のディレクトリトラフィックが改ざんされるのを防ぐため、組織はLDAP署名機能を有効にする必要があります。

チャネルバインディングの実装を設定し、LDAP接続を特定のTLSチャネルに紐付けることで、接続の乗っ取りを不可能にします。これらの設定は、ドメイン全体に展開されるグループポリシーによって強制されます。これにより、LDAPサーバー署名、クライアント署名、チャネルバインディングが要求され、SSLおよびTLS以外の接続でのシンプルバインディングが拒否されます。

3.DNS セキュリティの実装

DNS セキュリティは、Active Directory 保護の最も重要な側面の一つです。これは、名前解決サービスがディレクトリの中核機能に不可欠であるためです。トラフィックをリダイレクトする可能性のある DNS レコードの不正な更新を防ぐことで、セキュアな動的更新が役立ちます。DNS 要求の送信元整合性は、DNSSEC 検証によって認証されていることを確認してください（スプーフィングを防止するため）。

4. 認証プロトコルのセキュリティ

認証のセキュリティは、認証情報の検証プロセスに関するものであり、慎重に構成する必要があります。特にKerberos設定には注意が必要であり、AES暗号化サポートを有効化しつつ、暗号化方式としてRC4を無効化する準備が求められます。組織は適切な最大チケット有効期間を定義し、パスワード変更通知システムを導入すべきです。NTLMセキュリティも同様に厳格な検証が必要であり、廃止されたLMおよびNTLMv1プロトコルを無効化し、NTLMv2とセッションセキュリティを強制する設定が求められます。

5. 管理者アクセス制御

ディレクトリ内の特権乱用を防ぐため、管理者アクセスには広範な制御が必要です。特権アクセス管理システムを通じて、時間制限付き管理者アクセスとジャストインタイム特権昇格を強制すべきです。組織は日常業務用と特権操作用に別々の管理者アカウントを必要とします。保護対象ユーザーのセキュリティグループへの所属は特権アカウントに追加保護を適用し、役割ベースのアクセス制御により、特定の職務機能に合わせた権限のきめ細かい割り当てが可能になります。

Active Directoryセキュリティのベストプラクティス

このセクションでは、Active Directoryに対する一般的な攻撃を防ぐためのセキュリティベストプラクティスについて説明します。

1. 管理作業のセキュリティ対策

管理アカウントからの脅威を回避するには、運用面で厳格な管理が必要です。ディレクトリ管理専用の管理用ワークステーションを組織に導入する必要があります。ワークステーションが存在する場所では、アプリケーションのホワイトリスト化やインターネットへのアクセス制限といった強力なセキュリティ対策が必要です。すべての管理操作は、特権アクセス管理（PAM）システムを通じて記録され、機密性の高い操作には承認ワークフローを含める必要があります。

2. パスワードポリシーの実施

パスワードポリシーはドメインアカウントセキュリティの基盤を確立します。組織は、16文字以上、多様な文字の使用、パスワードの有効期限といった複雑性要件を設定すべきです。ブルートフォース攻撃を防ぐため、一定回数以上のログイン失敗後、アカウントを一定期間ロックアウトする必要があります。パスワードポリシーは、最新のセキュリティ対策や脅威シナリオに適合していることを確認するため、定期的に評価する必要があります。

3. グループポリシーのセキュリティ

セキュリティ設定は、ドメインに参加しているシステムに対してグループポリシー構成を介して制御されます。組織は、未使用のサービスを制限し、ユーザー権限の割り当てを制限するために、ベースラインのセキュリティ設定を適用する必要があります。グループポリシーオブジェクトの変更には、変更を追跡するためのバージョン管理と変更管理プロセスも必要です。グループポリシー処理が定期的に行われ、ポリシーが意図したとおりにすべてのシステムに適用されていることを確認してください。グループポリシー設定を監査して設定ミスや競合するポリシーをチェックすることは、セキュリティチームにとって負担となる可能性があります。p>

4. サービスアカウント管理

サービスアカウントは、作成時の悪用を防ぐため、独自に調整されたセキュリティ制御が緊急に必要です。各サービスやアプリケーションには、組織が提供する固有のサービスアカウントが必要です。アカウントには推測困難な長くて複雑なパスワードを設定し、各アカウントで一意に保ち、組織が定義したスケジュールで変更する必要があります。未使用のサービスアカウントや過剰な権限を特定・削除するための定期的な監査を実施してください。

5. 定期的なセキュリティ評価

Active Directoryの健全性は、セキュリティ評価という形で実施されるセキュリティ制御の体系的な評価によって維持されます。特権監査は、過剰な権限を特定し不要なものを排除するために組織が定期的に実行すべきもう一つの重要な概念です。ベースラインで承認されたセキュリティ対策や基準は、ディレクトリ構成レビューを実施することで検証できます。評価報告書には、セキュリティギャップを解消するための是正計画とタイムラインを記載する必要があります。

Active Directoryセキュリティの課題

ADセキュリティの実装には重大な課題が存在します。これらの困難は、アーキテクチャ上の制約、運用上の要求、およびエンタープライズディレクトリサービスシステムの複雑性から生じます。その一部について検討しましょう。

1. レガシー認証プロトコル

レガシーシステムは、時代遅れの認証方法を使用しているため、組織内にセキュリティ上の抜け穴を生み出します。多くのレガシーアプリケーションでは依然としてNTLM認証が要求されるため、組織はこの安全でないプロトコルを有効にするしか選択肢がありません。

2. 複雑な権限階層構造

Active Directory環境が拡大するにつれ、ADの権限構造はより複雑で扱いにくいものとなります。ネストされたグループメンバーシップは明確さを損ないます。オブジェクトの権限は、様々な管理タスクを通じて時間をかけて徐々に付与されます。そのため、特に権限が多数の組織システムやドメインに分散している場合、ACLの管理は複雑な作業となります。セキュリティチームが明確な権限境界を追跡し、不要になったアクセス権限を撤回することは困難になります。

3.信頼関係の管理

フォレスト間、および同一フォレスト内の異なるドメイン間の信頼関係は、特にセキュリティ管理において複雑な問題です。外部信頼は攻撃経路を開くため、セキュリティチームは警戒を怠れません。組織は、これらの信頼関係の正確な文書化を維持し、セキュリティ設定を検証することが困難です。

4. サービスアカウントの増殖

組織が新しいアプリやサービスを開始するにつれて、サービスアカウントが作成されます。アカウントの安全性は常に管理する必要があり、古いパスワードは時間の経過とともに更新されます。パスワード変更はサービス依存関係に問題を引き起こし、セキュリティポリシーに違反する固定認証情報を生み出します。多くのアプリケーションがサービスアカウントに不要な権限を要求するため、攻撃対象領域がさらに拡大します。組織がサービスアカウントの使用状況を追跡し、古いアカウントを整理することは困難です。特権アクセスの設定ミス

管理アクセス制御の実装は非常に困難です。緊急アクセス手順は通常、通常のセキュリティ制御の外で実装されるため、セキュリティの隙間が生じます。また一時的な特権付与は期限切れになりません。時間制限付きアクセス制御を適切に実装しなければ、組織は特権ユーザーの正確なインベントリを把握できません。

SentinelOneによるActive Directoryセキュリティ

SentinelOneはActive Directory専用の監視・保護機能を追加します。本プラットフォームはディレクトリサービスと連携し、Active Directoryインフラに対する攻撃を検知・対応します。

リアルタイムディレクトリ監視

SentinelOneエージェントはActive Directoryのイベントと活動を監視するために展開されます。これらのエージェントを通じて、認証試行、権限変更、ディレクトリ更新を秒単位で監視します。ディレクトリ階層内の管理操作やセキュリティ関連イベントに関する詳細なログを維持します。

ID保護機能

SentinelOneはディレクトリID保護の制御機能を提供します。SentinelOneは、過去の認証情報使用パターンを活用し、潜在的な認証情報の侵害を特定します。特権昇格の試みやシステム管理機能への不正アクセスをログに記録します。これらは、不審な認証イベントや異常なアカウント活動への対応を含む自動応答を提供します。

自動応答アクション

SentinelOneは、脅威がActive Directoryを標的とした場合に自動的に対応します。その対応には、不審な認証試行のブロックや侵害されたデバイスの隔離が含まれます。侵害されたアカウントは停止され、不正なアクセス権限はプラットフォーム上で自動的に取り消されます。設定可能なポリシーが対応アクションを決定し、ディレクトリサービスの可用性を確保します。

セキュリティ統合

本プラットフォームは既存のディレクトリベースのセキュリティツールや制御機能とシームレスに連携します。追加のセキュリティチェックを活用し、グループポリシーの強制適用を実現。Windows標準のログ機能に詳細なセキュリティテレメトリを補完します。SentinelOneコンソールによるディレクトリセキュリティの一元管理を可能にする統合機能を備えています。

結論

Active Directoryのセキュリティには、技術的対策、運用慣行、継続的な監視を組み合わせた包括的なアプローチが求められます。組織は、洗練された攻撃手法でディレクトリサービスを標的とし、様々なシステム脆弱性を悪用する進化する脅威に直面しています。これらの脅威を理解し、適切なセキュリティ対策を実施することで、重要な認証およびアクセス制御システムを保護できます。

セキュリティのベストプラクティスは、Active Directory環境を保護するための基盤を築きます。定期的なセキュリティ評価を実施して潜在的な脆弱性を発見するとともに、関連する制御の有効性を検証します。管理者アクセスは特定のシステムと文書化されたプロセスを通じて管理すべきですが、サービスアカウントはセキュリティホールを回避するために継続的なメンテナンスが必要です。グループポリシーは、ドメイン参加システムすべてにセキュリティ基準を適用する優れた方法であり、不正アクセスやシステム侵害を防ぐための複数の保護層を追加します。

SentinelOneのような最新のセキュリティソリューションは、Active Directory向けに特別に設計された監視や自動修復など、追加の高度な保護を提供します。こうしたツールは、脅威の検知と対応を迅速化しながら、ディレクトリ内で発生している事象に対する可視性をさらに高めます。