SBT、Active Directoryのセキュリティ診断サービス

　ソフトバンク・テクノロジー株式会社（SBT）は10日、「Active Directory（AD）診断」サービスを開始した。

　企業の認証情報管理の要であるADのセキュリティを診断するサービス。従来の脆弱性診断で対応が難しかった「攻撃者視点」での診断により、実際に侵入されてしまった後の影響範囲や発生が想定される事態について、より詳細に可視化できるという。

AD保護の重要性

　多くの企業で導入されているADドメインサービスは、ドメインは以下のサーバー・クライアント・ユーザー情報などのオブジェクトを管理しており、オブジェクトが提供するサービスに対しての認証を制御している。中心となるドメインコントローラーにはドメインは以下のすべてのユーザー情報が含まれる。このため、企業の重要な情報を狙う攻撃者は、標的型攻撃により企業内部への足がかりを作った後に、認証情報を管理しているドメインコントローラーを攻撃し、アカウント情報の窃取を試みる傾向がある。

SBTの診断サービス内容

　AD診断では、ADサーバーおよび環境に対して、ネットワーク経由とサーバー設定情報の両面から問題点を検出し、対策を提示する。

　ネットワーク経由では、攻撃者が実際に利用する手法を用いてシステムに内在する問題点を検出する。また、寝台対象への不正アクセスを行い、侵入への耐性を調査。侵入できた場合、侵入による被害範囲を特定する。さらにOSやソフトウェアの設定ミスによる欠陥を攻撃し、さまざまな情報を収集。OSやソフトウェアが持つ機知の脆弱性に対して攻撃コードを実施し、その影響を調査する。

　設定情報に関しては、ADに適用されているポリシーについて攻撃に対抗できる設定となっているかを確認。イベントログについても、攻撃や侵入を受けた際に追跡調査が可能な設定になっているかを確認する。確認項目は約400件におよぶという。

　また、侵入の糸口となり得る、推測されやすいパスワードが設定されたアカウントを検出。推測されやすいパスワードか否かについては、SBTのパスワード基準を用いた強度判定を行う。

　内容や回数は要望に応じてカスタマイズ可能。価格例としては、スポット対応（1回）、1ドメインコントローラー、100ユーザーまでの診断の場合で98万円から。