ソフトクリエイトは2021年2月17日、Active Directory(AD)へのサイバー攻撃を検知するセキュリティサービス「Active Directory 脅威診断/監視サービス」を発表した。同日提供を開始した。企業のアカウント管理の中枢となるADに対する脅威を早期に検知することで、被害を最小限に抑える。価格(税別)は、「診断サービス」が1台あたり30万円、「監視サービス」が要問い合わせ。
ソフトクリエイトの「Active Directory 脅威診断/監視サービス」は、Active Directory(AD)へのサイバー攻撃を検知するセキュリティサービスである(図1)。ADが出力するイベントログを、ソフトクリエイトが独自に開発した検出エンジンで分析する。検出エンジンは、ADや管理者端末に対する攻撃の検知に特化したロジックを搭載している。この上でさらに、ソフトクリエイトのセキュリティエンジニアがログを確認する。
拡大画像表示
診断サービスと監視サービスで構成する。
診断サービスでは、ADやファイルサーバーに対する脅威をイベントログを分析して診断し、結果を報告書にまとめて提出する。管理者アカウントの窃取、不審なPowerShellスクリプトの実行、グループポリシーの改竄、などの不審な挙動を検出し、これらの攻撃の影響を、対処方法とともにユーザーに報告する。また、脅威を検出するのに必要な監査ログの設定が適切に設定されているかを診断する。
監視サービスでは、ソフトクリエイトのアナリストが脅威の可能性を常時監視/精査し、必要に応じてユーザーに連絡する。ドメインコントローラー、ドメイン管理者端末、ファイルサーバー(任意)を監視する。監視サービスの利用にあたっては、S&Jが開発した監視用エージェントをインストールする必要がある。
AD向けのセキュリティ監視サービスを提供する背景について同社は、ADを狙った攻撃や乗っ取りが増えているという状況を挙げる。「ADの管理者権限を奪取して機密情報を盗み出してダークウェブなどで公開するケースや、ADから得た情報を基に身代金を要求するケースなどの被害が実際に発生している。アカウント情報を管理するADが陥落してしまうと被害は大きいため、ADを守ることは重要である」(同社)