サイト内の現在位置

NEC Active Directory
セキュリティリスク
診断サービス

社内Windows環境における
セキュリティリスクを効果的に検出

お問い合わせ

資料ダウンロード

オンラインマーケット・セキュリティ

ご契約・ご購入手続きを、オンラインで。(法人限定)
「サイバー脅威からお客様の資産・ビジネスを守るセキュリティサービス」
すぐ使いたい、すぐ欲しいといった声にお応えしてご用意しました。

オンラインマーケット・セキュリティ

Active Directoryのログ分析により、攻撃者が残した侵害の痕跡や、
特権アカウントまたは管理者権限の不正利用、悪用の有無などを診断。
セキュリティ監査にもご活用いただけます。

Active Directoryは、攻撃者にとってはセキュリティ被害を拡大させるために”活用”できるツールのひとつです。一般的には、攻撃者はターゲットに侵入後、Active Directoryへ何らかのアクセスをおこないます。Active Directoryは、企業として守るべき要所であり定期的にセキュリティチェックをおこないたい箇所ですが、通常、専用ツールのインスト―ルやシステム構成の変更が必要となるため、なかなか手がまわらないのが現状です。
本サービスでは、当社が攻撃手法の分析やペネトレーションテストで得た知見をベースに、必要最小限のログからセキュリティ診断をおこない、不審な挙動がないかをご報告します。システム構成の変更やソフトウエアのインストールが不要なため、Active Directory環境に対して診断のための負荷をかけず、さらに運用者の方にも作業負荷がかからないことが特長です。
セキュリティ診断には、特権アカウントの利用状況まで含まれているため、診断結果をセキュリティ監査などにもご活用いただけます。

本サービスのユースケース

Active Directory環境、Windows環境の
定期的なセキュリティ診断(またはチェック)に

各種アカウントや端末、
特権の利用状況の結果をセキュリティ監査に

セキュリティインシデント対応後の経過観察に

社内環境におけるセキュリティリスクを可視化し、
経営層への報告に

Active Directoryは便利な反面、攻撃者も組織内で効率的に侵害を拡大するためにActive Directoryを悪用する傾向があります。Active Directoryはインターネットに公開されていないことが多いため、対策が後手に回る傾向にありますが、一旦組織内に侵入されると、Active Directoryを攻撃されることで社内環境が乗っ取られるリスクがあります。
攻撃の巧妙化により、侵入自体を防ぐことは難しくなってきていますが、早期段階で不審な挙動に気づくことができれば、重要なサーバやドメイン管理者アカウントを乗っ取られるリスクを低減することが可能です。

Active Directoryのログには、組織内ネットワークの横断的侵害において悪用されたアカウントやコンピュータを特定するのに有用な情報が含まれます。Active Directoryのログを定期的に確認することで、不審な挙動に早く気づき、対処を取ることが重要です。
また、特権アカウントや管理者端末を適切に管理出来ていない場合、攻撃を受けるリスクや攻撃を受けても気づけないリスクが高まります。特権アカウントや管理者端末の利用状況を把握しておくことも重要です。

特長

1. 運用の現状把握と攻撃の検出の双方に対応した診断

Active Directoryサーバ(ドメインコントローラ)のイベントログ(セキュリティ)やAzure Active Directoryのサインインログ・監査ログをお預かりし、当社で分析を行うことで、以下のようなセキュリティリスクを検出することが可能です。
アカウントや端末の利用状況をレポーティングできるため、特権アカウントや管理者端末の洗い出しなど、運用状況の把握や監査などにもご活用いただけます。

  • 意図しない特権の利用
  • 意図しないアカウント、ブラウザ、端末からの認証要求
  • 管理共有の利用
  • 不審なプロセスの実行
  • 多数回の認証失敗、認証回数の急激な変化
  • 権限昇格や不正なKerberos認証チケットの悪用
  • Azure Active Directoryに登録されているアプリケーションのセキュリティ設定の変更

Active Directoryに対する攻撃では、正規のアカウントが悪用されることが多いため、一目で攻撃と判断できるログが残るケースは少ないです。そのため、平常運用時と比較し、通常と異なる挙動がないかを定期的に確認することが大切です。

2. Active Directoryサーバや運用者の負荷を低減した診断方法

対象サーバ(ドメインコントローラ、Azure Active Directoryなど)のログを抽出してオフラインで診断を行うため、運用中のシステムへの影響を抑えつつ、セキュリティ診断を行うことができます。ログの抽出も簡単なため、運用者の方の負担も低減できます。

3. 丁寧で分かりやすいフォローアップ

診断結果を踏まえて、確認すべきポイントや推奨するセキュリティ対策などを専門家が会議で分かりやすくフォローアップいたします。お客様から不明点などをメール等でお問い合わせいただくことも可能です。

4. スタンドアロンのWindowsサーバの診断も可能

Active Directoryに参加していないスタンドアロンのWindowsサーバの診断も可能です。重要なファイルサーバのセキュリティ診断や、ランサムウエアなどの横展開調査などにもご活用いただけます。

5. オンプレミスのActive DirectoryとAzure Active Directoryのハイブリッド環境も診断可能

オンプレミスのActive Directory単体やAzure Active Directory単体だけでなく、Active DirectoryとAzure Active Directoryを併用しているハイブリッド環境の診断もサポートしています。双方のログを突合することで、ハイブリッド環境を悪用する攻撃(Golden SAML・Silver Ticketなど)を検出することが可能です。

6. ご要望に応じて選択可能な診断形式

以下のような診断形式をご用意しており、お客様のご要望に応じて選択することが可能です。

  • お客様にて診断ツールを購入・診断:診断ツールを使用することで、お客様ご自身で任意のタイミングで診断レポートを生成できます。オプションで当社がフォローアップ資料(※)を作成し、フォローアップ会議を実施することも可能です。
  • 当社にて診断:お客様からログを受領し、診断レポートの生成・フォローアップ資料(※)の作成・フォローアップ会議を実施します。
  • フォローアップ資料は診断レポートから更なる分析を行い、リスクレベルや推奨する確認事項・対策などをまとめた資料です。

サービスメニュー

サービス価格:診断1回30万円~

お客様にてツールを購入・診断する場合のライセンス体系

お問い合わせください。

当社にて診断する場合のライセンス体系

診断対象 オンプレミス Azure Active Directory
ライセンス種別 基本ライセンス オプションライセンス 基本ライセンス オプションライセンス
説明 診断1回、最初の1台のActive Directoryサーバにつき1つの基本ライセンスが必要です。
※ハイブリッドの場合、Azure Active Directoryの基本ライセンスも必要です。
診断対象のActive Directoryサーバが2台以上の場合、追加台数分オプションライセンスが必要です。 診断1回、Azure Active Directoryドメイン1つ、最初の1万ユーザにつき1つの基本ライセンスが必要です。
※ハイブリッドの場合、オンプレミスの基本ライセンスも必要です。
診断対象のAzure Active Directoryの登録ユーザ数が1万を超過する場合、追加の1万ユーザごとに1つのオプションライセンスが必要です。
価格 30万円 15万円 30万円 15万円

料金の例

  • オンプレミスActive Directoryサーバ3台を当社にて診断する場合
    30万円(基本ライセンス)×1+15万円(オプションライセンス)×2=60万円
  • オンプレミスActive Directoryサーバ3台、Azure Active Directoryドメイン2つ(合計3万ユーザ)を当社にて診断する場合
    60万円(オンプレミスActive Directoryサーバ3台分)+30万円(基本ライセンス)×2+15万円(オプションライセンス)×1=135万円

診断対象

  • Active Directory Domain Serviceを用いて構築したActive Directoryサーバ
  • Active Directory Federation Serviceサーバ
  • Windowsサーバ
  • Azure Active Directory

サポート対象のOSのバージョン

診断対象(オンプレミス)

  • Windows Server 2008R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

診断ツール実行環境

  • Windows 10(64 bit)
  • Windows 11

実施フロー

お客様にてツールを購入・診断する場合の実施フロー

  1. ログ収集ツール・診断ツールの使用方法を説明(当社→お客様)
  2. Active DirectoryサーバやAzure Active Directoryからログを抽出(お客様)
  3. 診断ツールを実行し、診断レポートを生成・確認(お客様)
  4. オプション:生成した診断レポートを送付(お客様→当社)
  5. オプション:診断レポートを分析・診断(当社)
  6. オプション:フォローアップ資料を送付・フォローアップ会議(診断レポート受領から10営業日以内)(当社→お客様)
  7. オプション:お問い合わせサポート(フォローアップ会議から10営業日以内)

当社にて診断する場合の実施フロー

  1. 事前説明・ヒアリング・ログ収集ツールの送付(当社→お客様)
  2. Active DirectoryサーバやAzure Active Directoryからログを抽出(お客様)
  3. 抽出したログを送付(お客様→当社)
  4. ログを分析・診断(当社)
  5. 診断レポートとフォローアップ資料を送付・フォローアップ会議(ログ受領から10営業日以内)(当社→お客様)
  6. お問い合わせサポート(フォローアップ会議から10営業日以内)

ニュース

2021年7月7日
「NEC Active Directory セキュリティリスク診断サービス」のページを公開いたしました。

情報セキュリティコラム第24回

対策が後手になっていませんか?
Active Directoryのセキュリティ対策

Active Directoryを守ることの重要性