本稿では2023年時点のActiveDirectoryのセキュリティについて記載します。

前提

ADは単体で攻撃されるものではない（外部露出してれば別だけど）　基本的には標的型攻撃のストーリの中で攻撃されるもの

attack.mitre.org

大事なのは　

　攻撃者にとって目的が達せられるならばADを攻撃しなくてもいい

　よく攻撃されるからと言って必ず攻撃されるとは限らない

　ADが攻撃されていなくても攻撃を受けていないとは言えない

だから近視眼的にならない、ほかの攻撃対策とのバランスを考える、全体を見る視点を持つ＝CyberKillChainを切ることを意識する

ADとは

ADはWindowsで利用される認証基盤

だいたい以下の説明をいくつか見ると概要がわかるしくみ

Active Directory（アクティブディレクトリ）をゼロから解説、関連用語もまとめて紹介
https://www.sbbit.jp/article/cont1/37798

Active Directory
https://ja.wikipedia.org/wiki/Active_Directory

ADが攻撃される事例

以下の記事に詳しい

おおまかに2パターンあり　１：脆弱性を攻撃される　２．認証情報をローカルで窃取される

攻撃者はなぜActive Directoryを狙うのか 侵害の理由とその対策 
https://www.trendmicro.com/ja_jp/jp-security/23/l/securitytrend-20231213-02.html

対策

　１や2への対策に加えて攻撃を受けたことを検知するのが重要

　1への対策だと脆弱性は対応の修正パッチを適用するかその他の脆弱性に対する緩和措置を講じる

[IT 管理者むけ] Active Directoryのセキュリティ強化への対応をご確認ください 
https://msrc.microsoft.com/blog/2021/12/ad-hardenings/

　2への対策だとOS側の防御機能の有効かが王道

Active Directory のセキュリティ保護に関するベスト プラクティス
https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory

痕跡確認（よりリアルタイムにやると検知、さらに監視）

　気づく＝痕跡を確認する方法は少し大変だけど　JPCERTにノウハウが掲載されている

ログを活用したActive Directoryに対する攻撃の検知と対策
最
https://www.jpcert.or.jp/research/AD.html

運用面

　痕跡が確認された＝攻撃されたことが明らかになったときにすることを決めておく

　緊急時の対策

　中長期的な対策　不要アカウントや構成の定期レビュー・修正

インシデント対応一般において考慮・整理が必要な事項は別項目に記載