1分で分かるかも？「IDセキュリティー」

～アイデンティティーセキュリティーって何？～

1分でふんわり分かるかも？

2025年03月17日

1分でふんわり分かるかも？略して分分（ふんわか）シリーズ！

今回は「IDセキュリティー」です。IDセキュリティーの強化というと、どのような対応策があるかイメージできますでしょうか？ IDとパスワードの認証では弱いので認証強化として多要素認証を導入する、あるいはIDライフサイクル管理のIAM（ID and Access Management）や特権管理システムのPAM（Privileged Access Management）を導入するといったところでしょうか。

しかし、今はゼロトラスト全盛期です。社内も社外も信用しないという考えですので、社内のIDもクラウドのIDもさらなるセキュリティー対策が必要です。特に、社内ネットワークにあるからと安心しているために対策が甘くなる、Active Directory（以降、AD）はサイバー攻撃の恰好の標的となっています。

昨今のサイバー攻撃の高度化から考えると、ADなどへの適切な権限管理と脆弱性への対応が必要であると各方面で声が上がっています。また、IDはユーザーのIDだけではなくサービスのIDもありますが、攻撃者はそのどちらにもアタックを試みますので対策の範囲は大きく拡大しています。

令和6年10月4日に金融庁が発行した「金融分野におけるサイバーセキュリティに関するガイドライン」の中の「2.2.4. 脆弱性診断及びペネトレーションテスト　【基本的な対応事項】① 」において「システムの脆弱性対策やセキュリティーの問題点を特定し、改善するために、リスクの大きさやシステムの重要度等も考慮した上で脆弱性診断及びペネトレーションテストを定期的に実施すること」と記載があり、その中で内部環境のセキュリティー上の根幹となる機器としてAD サーバーに言及し、脆弱性診断を求めています。

海外でもADへの対策が求められています。ファイブ・アイズ同盟（英語圏5カ国によるUKUSA協定に基づく機密情報共有の枠組みの呼称）のオーストラリア、カナダ、ニュージーランド、イギリス、アメリカのサイバーセキュリティー機関は「Detecting and Mitigating Active Directory Compromises （Active Directory 侵害の検出と軽減）」と題した報告書を2024年9月に発表しました。この報告書ではKerberoasting攻撃、パスワードスプレー、DCSync攻撃、ゴールデンチケット攻撃など17種類のADへの攻撃手法と対策が詳細に記されています。ADのセキュリティー対策を検討する上でとても参考になります。

では近年、なぜIDセキュリティーが重要視されているかといいますと、ランサムウエアも標的型攻撃も内部犯行も狙うターゲットがIDだからです。ID、特に特権IDを奪うことでIT資産を広く探し出し、情報窃取、身代金の要求が可能となります。昨今の多くの事件では内部ネットワークへの侵入後にADの弱点を突いて、特権IDつまりAdministratorsやDomain Adminsなどに参加するユーザーの権限を奪取しています。また、パスワード攻撃によって容易に特権IDを窃取されるリスクがあります。他にも上述のDCSync攻撃やZerologonへの攻撃などさまざまな脅威が存在しています。

ADは各種システムと連携しているため、アップデートや設定変更が難しく、稼働を優先するあまりセキュリティー強化が遅れてしまう傾向にあります。侵入者はそこを狙って攻撃を仕掛けます。セキュリティー対策はOSのバージョンアップだけではなく設定や運用の不備への対応が必要です。

ADの歴史は長く、25年以上前のWindows 2000の時代から始まっており、何回もバージョンアップと移行を繰り返していることでしょう。その際、リスクのある設定が引き継がれていないでしょうか？ADの運用者も何度も交代しているため、なぜそのような設定をしたのかを聞きたくてもその方はすでに退職されていたりするでしょう。

では、どうしたらよいでしょうか？これからは設定や運用に対する最新のリスクを把握しておくことが大切です。それを支援するのがIDセキュリティーツールの役割となります。

ADだけでなくMicrosoft Entra IDやOktaなどのIDaaSに対しても同様の対応が可能なツールもあります。ファイアウオールやVPNによる境界型防御からゼロトラストへの移行においては、新たなセキュリティーの境界はIDとなります。IDをしっかり守って高度なサイバー攻撃に備えましょう。