Active Directory

Active Directory（AD）とは、Microsoft社が開発したディレクトリサービスであり、Windows Server環境においてユーザー、コンピューター、グループ、ポリシーなどのネットワークリソースを一元管理するための基盤技術です。AD DS（Active Directory Domain Services）を中核として、企業ネットワーク全体の認証・認可・ポリシー管理を実現し、世界中の企業で最も広く利用されているID管理インフラストラクチャです。

Active DirectoryはKerberos認証プロトコルとLDAPを基盤とし、ドメイン・ツリー・フォレストという階層構造でネットワークリソースを論理的に整理します。グループポリシー（GPO）を通じてセキュリティ設定やソフトウェアの配布を集中管理でき、数万人規模の大規模組織でも統一的なセキュリティポリシーの適用が可能です。

近年ではクラウドへの移行に伴い、Azure Active Directory（現 Microsoft Entra ID）がクラウドベースのID管理サービスとして急速に普及しています。オンプレミスのAD DSとクラウドのEntra IDを組み合わせたハイブリッドID管理が多くの企業で採用され、SaaSアプリケーションやクラウドリソースへのシームレスなアクセス制御を実現しています。

AD DS（Active Directory Domain Services）の基本構造

AD DSはActive Directoryの中核となるサービスであり、ディレクトリデータの格納とユーザー認証を担当します。AD DSの論理構造は、ドメイン（管理の基本単位）、OU（組織単位）（ドメイン内のリソースをグループ化する単位）、ツリー（連続した名前空間を持つドメインの階層）、フォレスト（1つ以上のツリーで構成されるセキュリティ境界の最上位単位）で構成されます。

物理構造としては、ドメインコントローラー（DC）がAD DSデータベースのコピーを保持し、認証要求の処理やディレクトリ変更のレプリケーションを行います。サイトは物理的なネットワークの場所を表し、レプリケーショントラフィックの最適化に使用されます。

Azure AD / Microsoft Entra ID

Azure Active Directoryは2023年にMicrosoft Entra IDにリブランドされたクラウドベースのIDおよびアクセス管理サービスです。オンプレミスのAD DSとは異なるアーキテクチャを持ち、REST APIベースの通信、OAuth 2.0/OIDC/SAMLによる認証・認可、条件付きアクセスポリシーなどのクラウドネイティブな機能を提供します。

Entra IDは、Microsoft 365、Azure、その他数千のSaaSアプリケーションへのSSOを実現し、多要素認証（MFA）、リスクベース認証、IDの保護（Identity Protection）などの高度なセキュリティ機能を備えています。ライセンスはFree、P1、P2の3段階があり、P2では特権ID管理（PIM）やアクセスレビューなどのガバナンス機能が利用可能です。

グループポリシー（GPO）

グループポリシーは、AD DS環境においてユーザーやコンピューターの設定を一元管理するための仕組みです。パスワードポリシー、ソフトウェアのインストール制限、USBデバイスの使用制限、ファイアウォール設定、監査ポリシーなど、数千項目にわたる設定をグループポリシーオブジェクト（GPO）として定義し、OU・ドメイン・サイトにリンクして適用します。

GPOはセキュリティ強化の強力なツールですが、設定の競合や優先順位の問題が複雑になりやすく、不適切な設定は組織全体のセキュリティを低下させる可能性があります。GPOの変更管理と監査は、ADセキュリティの重要な要素です。

Kerberos認証の仕組み

Active DirectoryはKerberos v5を標準の認証プロトコルとして使用します。Kerberosは、ユーザーがドメインコントローラー上のKDC（Key Distribution Center）からTGT（Ticket Granting Ticket）を取得し、そのTGTを使ってサービスチケットを発行してもらうことで、各サービスにパスワードを再送信することなくアクセスできる仕組みです。

Kerberosは効率的なSSO認証を実現しますが、Pass-the-Ticket攻撃、Golden Ticket攻撃（KRBTGTアカウントのハッシュを窃取してTGTを偽造）、Silver Ticket攻撃（サービスアカウントのハッシュを窃取してサービスチケットを偽造）、Kerberoasting攻撃（サービスチケットをオフラインでクラックしてパスワードを解読）などの攻撃手法が知られており、適切な対策が不可欠です。

ADセキュリティの強化と運用

Active Directoryはその普及度と重要性から、攻撃者にとって最優先の標的です。ADセキュリティの強化には、特権アカウントの保護（Admin SDホルダー、保護されたユーザーグループの活用）、Tier型管理モデルの採用（Tier 0：ADインフラ、Tier 1：サーバー、Tier 2：ワークステーション）、PAW（特権アクセスワークステーション）の導入が推奨されます。

また、LAPS（Local Administrator Password Solution）によるローカル管理者パスワードの自動ローテーション、Credential GuardによるNTLMハッシュの保護、AD監査ログの適切な収集と分析も重要な対策です。

ハイブリッドID管理

ハイブリッドID管理は、オンプレミスのAD DSとクラウドのEntra IDを連携させる構成です。Azure AD Connect（現 Entra Connect）を使用してオンプレミスのディレクトリ情報をクラウドに同期し、ユーザーが単一のIDでオンプレミスとクラウド双方のリソースにアクセスできるようにします。

同期方式には、パスワードハッシュ同期（PHS）、パススルー認証（PTA）、AD FSによるフェデレーション認証の3種類があり、セキュリティ要件や可用性要件に応じて選択します。ハイブリッド環境では攻撃面が拡大するため、オンプレミスとクラウド双方のセキュリティ対策を統合的に管理する必要があります。

• 01
  特権アカウントの厳格な保護：Domain Admins、Enterprise Adminsなどの特権グループのメンバーシップを最小限に制限してください。特権アカウントには専用のPAW（特権アクセスワークステーション）からのみログインを許可し、通常業務用アカウントとの分離を徹底します。KRBTGTアカウントのパスワードは年に2回以上リセットしましょう。
• 02
  Tier型管理モデルの導入：AD環境をTier 0（ドメインコントローラー・AD管理サーバー）、Tier 1（業務サーバー）、Tier 2（ワークステーション・エンドユーザーデバイス）に分離し、上位Tierの資格情報が下位Tierに露出しないよう制御してください。Tier間の認証の流れを一方向に制限することで、横展開攻撃のリスクを大幅に低減できます。
• 03
  グループポリシーによるセキュリティ強化：パスワードポリシーの強化（最小文字数14文字以上、複雑性要件の有効化）、アカウントロックアウトポリシーの設定、PowerShellスクリプトの制限（Constrained Language Mode）、LMハッシュの保存無効化、SMBv1の無効化などをGPOで組織全体に適用してください。
• 04
  AD監査ログの包括的な収集と監視：ドメインコントローラーの監査ポリシーを有効化し、ログオン成功・失敗、権限変更、グループメンバーシップの変更、GPOの変更などを記録してください。SIEMと連携し、DCSync攻撃の兆候（レプリケーション権限の不正使用）やゴールデンチケット攻撃の検知ルールを設定しましょう。
• 05
  Entra IDの条件付きアクセスポリシー：Azure AD/Entra ID環境では、ユーザーのリスクレベル、デバイスのコンプライアンス状態、アクセス元の場所、使用するアプリケーションに基づく条件付きアクセスポリシーを設定してください。MFAの必須化、レガシー認証のブロック、リスクの高いサインインの自動ブロックを組み合わせて多層防御を実現しましょう。
• 06
  ハイブリッド環境のセキュリティ統合管理：Azure AD Connectサーバーを最高レベルのセキュリティで保護し、Tier 0資産として扱ってください。パスワードハッシュ同期を有効化してオンプレミス障害時のフォールバック認証を確保しつつ、漏洩した資格情報の検知（Azure AD Password Protection）を活用して既知の脆弱なパスワードの使用を防止しましょう。