Active Directory を守るための“専用EDR”を正しく理解する

企業のセキュリティ対策において、エンドポイント(PC)やクラウドサービスの防御は年々強化されています。一方で、Active Directory(AD)を狙った攻撃は依然として後を絶たず、ひとたび侵害されると被害が全社規模に広がる危険性があります。

本記事では、社内のセキュリティ担当者向けに、Defender for Identityがどのような役割を果たし、どのような脅威を検知できるのかを解説します。

Active Directory はなぜ狙われるのか

Active Directory は、ユーザー・グループ・端末・権限を一元管理する社内認証基盤の中核です。
攻撃者にとって AD を掌握することは、以下を意味します。

  • 管理者権限の奪取
  • 全端末・全ユーザーへの横展開
  • ログ削除や痕跡隠蔽による長期潜伏

実際の侵入シナリオでは、次のような流れが非常に多く見られます。

  1. フィッシング等により PC が侵害される
  2. 端末上で認証情報が窃取される
  3. AD 内で横展開・権限昇格が行われる

この過程では、正規ユーザーの資格情報が悪用されるケースが多く、EDR だけでは AD 内部の不審な挙動を十分に把握できないという課題があります。

 

Defender for Identity とは

Defender for Identity は、Microsoft が提供する Active Directory 専用の脅威検知ソリューションです。

一言で表すと、次のような製品です。

「Active Directory 上で発生する認証・通信・操作の振る舞いを分析し、侵害の兆候を検知する」

エンドポイントに対する Defender for Endpoint が「PC の EDR」だとすれば、
Defender for Identity は 「Active Directory の EDR」 と考えると理解しやすいでしょう。

 

どのような脅威を検知できるのか

Defender for Identity は、単なるログの有無や回数ではなく、行動パターン(Behavior)を基にした分析を行います。代表的な検知内容は以下の通りです。

① 認証情報の悪用

  • Pass-the-Hash
  • Pass-the-Ticket
  • Golden Ticket 攻撃

これらは、正規の認証情報を使って不正アクセスを行うため、従来の境界防御では見逃されやすい攻撃です。

② 横展開・内部探索

  • 不自然な LDAP クエリの実行
  • 通常とは異なる管理者権限の使用
  • 短時間に複数端末へ接続する挙動

AD 内を探索し、次の攻撃対象を探すフェーズを検知できます。

③ 権限昇格・設定変更

  • 管理者グループへの不審なユーザー追加
  • AD オブジェクトの不正な属性変更

「設定変更=正規作業」となりがちな領域だからこそ、振る舞いベースでの検知が重要になります。

 

導入構成と基本的な仕組み

Defender for Identity は、ドメインコントローラにセンサーを配置して動作します。
このセンサーが以下の情報を収集・分析します。

  • 認証トラフィック
  • Windows イベントログ
  • ネットワーク通信のメタデータ

検知結果は Defender ポータルに集約され、アラートとして可視化されます。また、Microsoft Sentinel などの SIEM と連携することで、SOC 運用の中で一元的に監視・分析することも可能です。

 

EDR・SIEM との役割分担

Defender for Identity 導入時によくある疑問として、次のような声があります。

「すでに EDR や SIEM を導入しているが、それでも必要なのか?」

それぞれの役割を整理すると、以下のようになります。

  • EDR:端末上の挙動(マルウェア、プロセス、不審操作)を監視
  • Defender for Identity:Active Directory 内部の挙動を監視
  • SIEM:複数製品のログを集約し、相関分析を行う

Defender for Identity は、AD という最重要基盤の可視性を補完する存在であり、既存対策を置き換えるものではなく「補強する」位置付けになります。

 

SOC 視点でのメリット

SOC 運用の観点では、Defender for Identity を導入することで次のような効果が期待できます。

  • AD 攻撃の早期検知
  • 侵害範囲(影響ユーザー・端末)の迅速な特定
  • CSIRT による調査・対応へのスムーズな連携

特に、「EDR は入れているが、AD 内部の状況は見えていない」という組織にとって、重大なセキュリティギャップを埋める製品です。

 

まとめ

Defender for Identity は、

  • Active Directory を狙った高度な攻撃を
  • 振る舞いベースで検知し
  • SOC / SIEM と連携して実運用に活かせる

Active Directory セキュリティの中核となるソリューションです。

ゼロトラストや XDR が注目される今だからこそ、
「認証基盤そのものをどう守るか」という視点で、Defender for Identity の導入・活用を改めて検討する価値があると言えるでしょう。

Colorkrew SecurityではDefender for Identitiyの導入から運用までサポート可能です。
Microsoft 365 E5ライセンスに含まれているけれども活用できていない、などのお悩みがある方は是非お気軽にご相談ください。