どうも、株式会社ソフトクリエイト で情報屋やってます。山口です。
普段は企業様向けに Microsoft 365 活用のご支援をおこなっています。
2025 年になり、ID基盤を オンプレミス Active Directory(AD)からクラウドへ シフトしていく流れは、かなり現実的なものになってきました。
Microsoft Entra ID を中心に、パスワードレス認証、条件付きアクセス、ゼロトラストといった考え方を前提にした クラウドネイティブなID管理 が、徐々に「当たり前」になりつつあります(^^
一方で、「じゃあ AD はもう不要なのか?」というと、現実はそう単純ではありません(^^;
「ファイルサーバー」「業務アプリ(LDAP/Kerberos 依存)」「古くからの運用ルール」「Entra ID への完全移行が難しいシステム」
こうした理由から、多くの組織では「Entra ID をメインにしつつ、オンプレミス AD もまだ残っている」という ハイブリッド構成 が続いているのが実情もあります。
ID基盤は「クラウド移行前提」へ ~それでも AD は残り続ける中で考える AD 防御の全体像~
■ クラウドシフトが進むほど、残った AD は「狙われやすくなる」
ここで見落とされがちなのが、「AD を縮小している途中の状態」こそが、実は一番リスクが高いという点です。
クラウドシフトが進むと、「普段は AD をあまり触らなくなる」「管理者の意識が Entra ID 側に寄る」「AD の設計や運用が“現状維持”になりがち」
といった状況が起こりやすくなります。
しかし攻撃者目線で見ると、組織内に残っている AD は、今でも最重要ターゲット で、AD を突破できれば、
「特権アカウントの奪取」「横展開(Lateral Movement)」「クラウド環境(Entra ID)への影響拡大※ MFAアプリで対策」
といった形で、被害が一気に広がる可能性があります。
つまり、「Entra ID に移行している途中だからこそ、残っている AD を“放置しない”ことが重要」というわけですね(^^
ここで大事なのは、AD のセキュリティ対策の強化は、オンプレミス AD への固執や後退ではないという点です。
「認証・認可の主役は Entra ID へ」「AD は徐々に役割を縮小」「ただし、残っている間は 確実に可視化・検知・保護する」「今この瞬間に稼働している AD をどう守るか」は、避けて通れないテーマで、そこで登場するのが、Microsoft Defender for Identity(MDI) です。
■ Microsoft Defender for Identity(MDI)って?
Microsoft クラウド製品での AD のセキュリティ対策を考える上で、ぜひ知っておいていただきたいのが Microsoft Defender for Identity(通称:MDI)という製品です。
MDI とは、Active Directory(AD)のようなオンプレミスのIDを保護するID脅威検出(ITDR)のソリューションです。
Active Directory 関連のサーバー(ADDC、Entra Connect 等)に対して MDI のセンサー(エージェント)を導入することで、オンプレミスの認証関連の情報「ドメインコントローラー上のイベントログ」「LSASS まわりの認証イベントやふるまい」「AD の構成情報」といった 「AD が見ている範囲の認証挙動」 を解析・収集して、クラウド側で自動的に分析を行い、怪しいふるまいが見られた際にアラートをあげてくれます(^^
つまり、オンプレミス AD を中心とした怪しい動きを自動で監視・検出してくれる番人みたいなイメージですね。
| 機能 | 説明 |
|---|---|
| リアルタイム監視 | 認証トラフィックやログを常時監視して不審な動きを検出 |
| セキュリティアラート | Pass-the-Hash、Pass-the-Ticket などの攻撃手法を検出してアラート |
| 構成の推奨事項 | AD の設定をチェックして、改善すべきポイントを提案 |
| セキュリティ状態の可視化・評価 | 現在のセキュリティ状態を可視化 |
◆ MDI を利用できるライセンス
MDI は M365 E5 をはじめとする以下のライセンスを契約することで、利用できます。
- Microsoft Defender for Identity
- Microsoft 365 E5
- Microsoft 365 E5 Security
- Defender Suite for Business Premium
- Defender & Purview Suite for Business Premium
※ MDI のセンサーは、オンプレミス AD 上で認証関連の情報を解析するため、ライセンス要件以外にも、メモリ使用量やディスク I/O 等のハードウェア要件があります。
そのため、既存の AD サーバーのリソース状況によっては、スペック増強を検討する必要となる可能性があります。
■ Entra ID Protection との違い
ちなみに、Entra ID のようなクラウドのIDを保護するソリューションとしては、Entra ID Protection があります。
どちらもID保護を目的としていますが、保護対象がクラウドユーザ(Entra ID 上のユーザ)か、オンプレミスユーザ(AD 上のユーザ)かで異なるため、クラウドIDの保護と合わせて、両方の製品を理解したり、構成を考慮する必要があります。
| 製品 | 保護対象 | 必要ライセンス |
|---|---|---|
| Microsoft Defender for Identity(MDI) | オンプレミス AD 上のユーザー・システム | Microsoft Defender for Identity |
| Entra ID Protection | クラウド(Entra ID)上のユーザー | Microsoft Entra ID P2 |
◆ MDIを含めた AD セキュリティ対策の4つの視点
AD に対するセキュリティ対策といっても、何に備えるかによっていくつかのアクションの取り方が考えられます。
現在の課題を意識しながら、将来的なインフラ像を考慮しつつ、無駄の無い対応を心掛けたいですね(^^
| カテゴリ | 目的 | 具体的なイメージ |
|---|---|---|
| Protect(保護) | AD への攻撃を受けにくくする・被害を最小化する | 構成の堅牢化、権限の最小化、パッチ適用など |
| Detect(検出) | 社内に侵入された際に早期発見する | ログ監視、異常検知、MDI などのセキュリティ製品導入 |
| Respond(対応) | 被害発生時に迅速に封じ込める | インシデント対応計画、バックアップ体制、フォレンジック準備 |
| Modernize(近代化) | AD を縮小してクラウド(Entra)管理に寄せていく | Entra ID への移行、クラウドネイティブ認証への切り替え |
■ まとめ
今回は、私としては、珍しく Active Directory のセキュリティ対策について、内容を整理しながらお話ししてきました(^^;
既に実施している対策は何か、どこが足りていないか等、それぞれの環境によって実施すべき事項や優先度も変わるはずです。
完璧なセキュリティ対策を一度に実装するのは難しいですが、まずは現状を把握して、できることから一つずつ対処していくのが大事です。
AD のセキュリティは奥が深いですが、皆さんの環境を守るための第一歩になれば幸いです(^^!
