コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=identity-detection-faq

ITDR に関するよくある質問 (FAQ)

Sophos ITDR に関するよくある質問と回答をまとめました。

どの IdP がサポートされていますか?

Microsoft Entra ID がサポートされています。

Microsoft Entra ID テナントを複数追加できますか?

はい、「アイデンティティの設定」ページから Entra ID テナントを複数追加できます。詳細は、アイデンティティの設定を参照してください。

どの Microsoft Entra ID ライセンスが必要ですか?

ITDR には Entra ID P1 または P2 が必要です。これらは、スタンドアロン製品またはアドオンとして入手可能です。また、Microsoft 365 E3 および E5、Microsoft Business Premium、Microsoft 365 Frontline Worker F1、F3、F5 などのライセンスに含まれています。Microsoft Entra ID Free では、Microsoft API にはアクセスできますが、取り込めるデータや実行可能なチェックに制限があります。

Entra ID Free から P1 または P2 ライセンスにアップグレードした場合、ITDR に反映されるまでにどのぐらい時間がかかりますか?

ITDR は、Microsoft API を使ってアカウント情報を収集しています。また、Microsoft ではライセンスに基づき、使用可能な API を制限しています。ユーザーが管理者であるかどうかや、MFA が設定済みかどうかといった情報は、ライセンスのアップグレードの直後には表示されない場合があります。お客様がライセンスをアップグレードした後、Microsoft のほうから最新のユーザー情報が提供されるまで、最大 1週間ほどかかる可能性があります。Microsoft Entra 管理センターのアクティビティレポートで、こうした情報を確認できます。詳細については、認証方法アクティビティをご覧ください。ユーザーレポートの情報が Microsoft によって更新されるまでは、ITDR も古いままとなります。

ユーザーが MFA で保護されていないと表示されるのはなぜですか?

以下のような原因が考えられます。

  • 必要な Microsoft Entra ID ライセンス (P1 や P2 など) を持っていない。
  • ライセンスを最近アップグレードしたばかりで、Microsoft からまだデータが提供されていない。詳細については、「Entra ID Free から P1 または P2 ライセンスにアップグレードした場合、ITDR が更新されるまでにどのぐらい時間がかかりますか?」を参照してください。

  • サードパーティの MFA プロバイダー (Okta や Duo など) を、古い設定で使用している。Microsoft Entra ID では、外部の MFA プロバイダーに関する MFA 情報をユーザーレベルで保存しないため、MFA ステータスが正しく表示されません。ただし、お使いの Entra ID テナントの構成内で、Microsoft の最新の外部認証方式を使用している場合は、外部プロバイダーが使用されていると考えられます。

    詳細については、Microsoft Entra のブログをご覧ください。Duo と Okta については、追加の設定があります。詳細については、Duo のドキュメントおよび Okta のドキュメントをご覧ください。

ITDR による全般チェックはどのくらいの頻度で実行されますか?

ITDR では、各種評価を以下の頻度で実行しています。

  • Entra ID の全般チェック:2時間ごと。
  • 休眠リソースのチェック:2時間ごと。
Entra ID からのデータ収集頻度はどれくらいですか?

初期設定の後、Microsoft Entra ID から完全なデータカタログを収集します。その後、データの種類に応じて、以下の頻度で更新をチェックします。

  • ユーザーの詳細:10分ごと。
  • サービスプリンシパルとアプリの詳細:10分ごと。
  • グループ:10分ごと。
  • デバイス: 10分ごと。
  • ユーザーの MFA の設定:15分ごと。
  • ユーザーアクティビティ (最終サインオン):6時間ごと。
  • ドメインデータ:24時間ごと。
アイデンティティのリスク状況スコアの更新頻度はどれくらいですか?

アイデンティティのリスク状況スコアは、前日から変更があった場合に更新されます。新しい調査結果が見つかった場合や、既存の問題が解決または却下された場合に、スコアが変動します。

チェック項目のリストを見ることはできますか?

アイデンティティの設定」ページの「全般チェックの環境設定」タブで、チェック項目を確認できます。詳細は、アイデンティティの設定を参照してください。

環境内で実行されるチェックをカスタマイズすることはできますか?

アイデンティティの設定」ページの「全般チェックの環境設定」タブで、チェック項目のオン / オフを切り替えられます。詳細は、アイデンティティの設定を参照してください。

ITDR はサービスですか?

いいえ、ITDR は監視用のソフトウェアです。ただし、MDR サービスを利用している場合は、MDR 運用チームが他の調査に加えて、アイデンティティベースの脅威も調査します。

MDR サービスを利用している場合、MDR 運用チームは、アイデンティティの調査結果について優先順位を判断しながら対処してくれますか?

MDR 運用チームでは基本的に、アクティブなアイデンティティ脅威に着目して、アクティブな脅威であると思われる重要な項目について詳しく調べます。ただし、調査結果の監視および管理は、お客様の責任となります。

MDR サービスにおいて、MDR 運用チームは ITDR をどのように活用していますか?

MDR 運用チームは、Microsoft Entra ID からアイデンティティに加えてコンテキスト情報も収集し、ユーザーや関連リスクの把握に努めています。こうしたユーザー情報を相互分析することにより、アイデンティティ関連だけでなく、アイデンティティと無関係な検出項目についても調査や対応が促進されます。

管理者のアイデンティティは、どうやって判断していますか?

Entra ID 内で管理者ロールまたは特権ロールに割り当てられているユーザーは、Entra ID の管理者フラグが true に設定されています。このようなロールは、通常、ディレクトリリソースや、ユーザー、セキュリティに関して、重要な操作や設定を行う権限があります。管理者フラグが true に設定されている Entra ID ロールのリストを以下に示します。

  • グローバル管理者:Entra ID のすべての管理機能にフルアクセスできます。
  • 特権ロール管理者:Entra ID でロールの割り当てや、他の管理者の割り当てを行います。
  • ユーザー管理者:ユーザーアカウント、グループ、および一部のユーザー属性を管理します。
  • セキュリティ管理者:セキュリティのすべての機能および設定にフルアクセスできます。
  • コンプライアンス管理者:電子情報開示や監査など、コンプライアンス関連の機能を管理します。
  • アプリケーション管理者:Entra ID におけるアプリケーションの登録および設定を管理します。
  • 認証管理者:認証の方法やコントロールを確認、設定、リセットします (パスワードをリセットするなど)。
  • Exchange 管理者:Microsoft Exchange Online の設定を管理します。
  • SharePoint 管理者:SharePoint Online の設定を管理します。
  • Teams 管理者:Microsoft Teams の設定を管理します。
  • Intune 管理者:Microsoft Intune でデバイスの管理設定を行います。
  • 課金管理者:サブスクリプション、課金、およびサポートチケットを管理します。
  • ヘルプデスク管理者:パスワードリセットや、基本的なトラブルシューティングを行います。
  • サービスサポート管理者:サービスのサポート関連の設定を行います。
  • ディレクトリ閲覧者 (他の特権ロールと組み合わせた場合):ディレクトリ情報を閲覧できます。通常、他のロールと組み合わせることで、権限が昇格します。
  • グローバル閲覧者 (他の管理者ロールと組み合わせた場合):Entra ID および Microsoft サービス全体で閲覧専用アクセスができます。他の管理者ロールと組み合わせることで、管理者フラグが true に設定されます。
  • レポート閲覧者 (他の管理者ロールと組み合わせた場合):レポートやログにアクセスできます (他の管理者ロールと組み合わせるのが一般的です)。
  • 条件付きアクセス管理者:条件付きアクセスポリシーを管理します。
  • Identity Governance 管理者:アイデンティティガバナンス、アクセスレビュー、エンタイトルメント管理に関連する設定を行います。
  • 管理特権を持つカスタムロール:上記のロールと同等の管理権限を持つカスタムロールは、管理者フラグが true に設定される場合があります。

このリストは、Entra ID の管理者フラグに関係する一般的なロールをカバーしています。ただし、Microsoft がロールを更新、追加した場合、管理者フラグの処理に変更が入る可能性があります。

アイデンティティが休眠状態とみなされる条件は?

最後のサインインから 90日を超えたユーザーを、休眠状態とみなします。

認証情報の流出は、どのくらいの頻度でチェックされますか?

認証情報の流出は常時監視しており、データセット内で一致が見つかった場合、ただちに処理して有効性を判断します。

アカウント侵害の調査結果 (ファインディング) は、どのようにして生成されますか?

実際に役立つ調査結果を生成するため、以下の処理ステップに従って、収集データを相互に分析、検証しています。

  1. 設定済みの IdP に、アクティブなアイデンティティがあるかどうかを確認します。
  2. 過去からのデータに基づき、プレーンテキストまたはハッシュのパスワードが最初に流出した日を特定します。新しく公開されたコンボリストには、過去の侵害からの古いデータが混じっていることが多いため、時期の特定は重要です。
  3. プレーンテキストのパスワードの場合は、Microsoft Entra ID のグローバルなパスワードの複雑さ要件と照合して、無効な値を排除します。
  4. 最後に、パスワードの最初の流出日と、パスワードを最後に変更した日を比較します。パスワードを最後に変更した後に流出が発生した場合は、調査結果を生成します。

アカウント侵害の調査結果は、アクティブなアイデンティティについてのみ生成されます。「認証情報の侵害」ページで元のデータを確認できます。

アカウントの侵害に関する調査において、リスクレベルはどのように判定されますか?

調査結果 (ファインディング) の生成に伴い、関連するアカウントの MFA の設定および強度をチェックします。ユーザーの種類、流出の種類、および MFA の設定に基づき、リスクレベルは以下のようになります。

アカウントの種類 パスワードの種類 MFA なし MFA 有効 フィッシング対策の MFA が有効
管理者アカウント プレーンテキスト 重大
管理者アカウント ハッシュ
非管理者アカウント プレーンテキスト
非管理者アカウント ハッシュ
ハッシュまたはパスワードを収集、保存していますか?

いいえ、プレーンテキストのパスワードやハッシュ値はいっさい保存していません。ソフォスでは、こうした情報を IdP から取得することはできません。データをスキャン、収集する際は、パスワードの値にカスタムハッシュを適用したうえで、プレーンテキストまたはハッシュとして分類しています。この方法により、パスワードの値そのものを保持することなく、パスワードが一意であるかどうかを判断したり、指標を計算したりすることが可能となります。

認証情報の流出を監視するために、どんなデータを使用していますか?

Russian Marketplace や Genesis Market などの各種ダークウェブ (闇取引市場)、Tor サイト、公開または非公開の Telegram チャンネル、stealer のログファイルなどを使用しています。