Tenable Identity Exposure 2025 年リリースノート

• 不必要なグループ — この新しい露出インジケーター (IoE) は、空のグループ、およびメンバーが 1 人しかいないグループを報告します。

  注意: 不必要なグループ IoE は当初、2025 年 2 月 5 日にエクスポージャーセンターとともに、2 つの別々の IoE (空の AD グループとメンバーが 1 人だけの AD グループ) でリリースされました。この 2 つの IoE は後に [露出インジケーター (IoE)] ビューに移動し、他の AD 関連の IoE と一緒に表示されるようになりました。この新しい不必要なグループ IoE は、これらの以前の IoE を 1 つのエンティティに統合したものです。

• Tenable Identity Exposure では、すべての弱点は 1 つのインスタンスから発生していると見なすため、エクスポージャーインスタンス名から /Default というサフィックスが削除されました。

• [アイデンティティ 360] と [エクスポージャーの概要] のページで関連する弱点をドリルダウンすると、[エクスポージャーインスタンス] ページにリダイレクトするようになりました。

Tenable Identity Exposure バージョン 3.91 には、以下のバグ修正が含まれています。

• サポートされていない、または古くなった Exchange サーバー — この新しい露出インジケーター (IoE) は、Microsoft がサポートしなくなった古い Exchange サーバーや、最新の累積更新プログラムが適用されていない Exchange サーバーを検出します。安全で完全にサポートされている Exchange 環境を維持するには、廃止されたサーバーやパッチ未適用のサーバーにすぐに対処する必要があります。これを怠ると悪用されるリスクが高まり、組織がデータ漏洩やランサムウェア攻撃にさらされることになります。

• ADCS の危険な設定ミス IoE が ESC9 の脆弱性を報告するようになり、安全でない CT_FLAG_NO_SECURITY_EXTENSION が含まれている証明書テンプレートに逸脱のフラグを立てるようになりました。

• [エクスポージャーの概要] ページと [エクスポージャーインスタンス] ページに、セキュリティ検出結果が検出されたアイデンティティデータプロバイダーのテナント名 (AD ドメイン、Entra ID テナントなど) が表示されるようになりました。

Tenable Identity Exposure バージョン 3.90 には、以下のバグ修正が含まれています。

• アイデンティティ 360

  • さまざまなアイデンティティ 360 ページ、特に資産の [アクセス] と [権限] タブを表示する際の読み込み時間を改善しました。

  • Tenable Identity Exposure は Active Directory 権限をより迅速に収集するようになり、製品のセットアップ後に、アイデンティティ 360 ページの [権限] タブで資産の詳細のデータをより早く利用できるようになりました。Tenable Identity Exposure では、お客様のセキュリティコンテキストに影響を与える権限のみに焦点を当てます。

• 露出インジケーター (IoE)

  • アカウントにマッピングされた証明書 — この IoE は特権ユーザーに対して、X509IssuerSubject と X509SubjectOnly の 2 種類のマッピングのみがこれまでは報告されていました。今回、当初の範囲が拡大され、X509RFC822、X509IssuerSerialNumber、X509SKI、X509SHA1PublicKey のマッピングも含まれるようになりました。

  • アカウントにマッピングされた証明書 — Tenable Identity Exposure は、この IoE を改善し、弱い明示的な証明書のマッピングを報告することで、AD CS ESC14 の不正使用手法に対処しました。

  • 単一メンバーの AD/Entra グループ — IoE の「重要である理由」の説明に、グループメンバーが表示されるようになりました。

  • 認証情報を持つファーストパーティサービスプリンシパル — IoE の「重要である理由」の説明に、識別された認証情報の詳細が表示されるようになりました。

  • 単一メンバーの AD/Entra グループおよび 空のグループ — これらの IoE では、より正確で意味のある結果を提供するために、直接のメンバーのみをカウントするようになりました。

  • セキュリティプロファイルのカスタマイズ — 該当する IoE の「許可されたオブジェクト所有者 (グループメンバーシップ別)」オプションの説明を改善しました。

• ヘルスチェック

  • AD ドメインデータを収集するためのアクセス許可 — ユーザーインターフェースで特権分析が無効になっている場合、「特権データを収集するアクセス許可が付与されている」の詳細が非表示になりました。この機能を使用するには、リレーが最新の状態であることを確認してください。

  • ドメインの到達可能性 — ドメインが到達できない理由を、より正確に表示するようになりました。

Tenable Identity Exposure バージョン 3.89 には、以下のバグ修正が含まれています。

• 露出インジケーター (AD) - Exchange の危険な設定ミスには、Exchange リソースやその基盤となる Active Directory スキーマオブジェクトに影響を与える設定ミスがリストされます。

Tenable Identity Exposure バージョン 3.88 には、以下のバグ修正が含まれています。

• エクスポージャーセンター - Tenable Identity Exposure ではアイデンティティ関連の露出インジケーター (IoE) に対して Vulnerability Priority Rating (VPR) スコアが入力されないため、エクスポージャーの概要から VPR への参照を削除しました。

Tenable Identity Exposure バージョン 3.87 には、以下のバグ修正が含まれています。

• エクスポージャーセンター - エクスポージャーセンターは、組織のアイデンティティセキュリティポスチャーを強化する Tenable Identity Exposure の機能です。Entra ID などの基幹アイデンティティシステムとそれらのシステム内にあるアイデンティティの両方をカバーして、アイデンティティリスクサーフェス全体における弱点や設定ミスを特定します。

  この機能のユーザーエクスペリエンスは、相互に関係し合うエクスポージャーの概要、エクスポージャーインスタンス、検出結果という 3 つのコンセプトを中心に展開されています。Tenable Research は、新しいセキュリティエンジンと特別に開発された露出インジケーター (IoE) によりこれらのコンセプトをサポートして、その機能を強化しています。

  詳細については、Tenable Identity Exposure ユーザーガイドのエクスポージャーセンターを参照してください。

• 新しい Entra ID 露出インジケーター (IoE)

  名前	説明
  アプリケーションを登録する標準アカウントの機能	デフォルトでは、すべての Entra ユーザーがテナント内でアプリケーションを登録できます。この機能は便利で直接的なセキュリティ上の脆弱性ではありませんが、リスクも伴います。そのため、ベストプラクティスに従って、Tenable はこの機能を無効にすることを推奨しています。
  マルチテナント認証を許可するアプリケーション	Entra アプリケーションは、マルチテナント認証を許可しますが、この設定が完全に認識されず、アプリケーションコード内に適切な認証チェックが実装されていない場合、悪意のあるユーザーに不正アクセスを許可する可能性があります。
  条件付きアクセスポリシーにより継続的なアクセス評価が無効化される	継続的なアクセス評価は、セキュリティポリシーの変更やユーザーステータスの更新への迅速な対応を可能にする Entra ID のセキュリティ機能です。そのため、無効にはしないでください。
  テナントに影響を与える危険なアプリケーションアクセス許可	Microsoft は、Microsoft Entra ID で API を公開して、サードパーティアプリケーションが独自に Microsoft サービスでアクションを実行できるようにします (「アプリケーションアクセス許可」と呼ばれます)。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。
  テナントに影響を与える危険な委任されたアクセス許可	Microsoft は、Microsoft Entra ID で API を公開して、サードパーティアプリケーションが独自に Microsoft サービスでアクションを実行できるようにします (「アプリケーションアクセス許可」と呼ばれます)。特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。
  特権ロールに割り当てられたアカウントの無効化	正当なアカウント管理プロセスの実施には、特権ロール割り当ての監視が必要です。
  休眠状態のデバイス	休眠状態のデバイスは、設定の期限切れやパッチが適用されていない脆弱性などのセキュリティリスクをもたらします。定期的に監視して更新しない限り、このような古いデバイスが悪用されてテナントの整合性とデータの機密性が侵害される可能性があります。
  休眠状態の特権のないユーザー	休眠状態の特権のないユーザーは、攻撃者によって不正アクセスのために悪用される可能性があり、セキュリティリスクをもたらします。定期的に監視して非アクティブ化しない限り、これらの使われていないユーザーがアタックサーフェスを拡大して、悪意のあるアクティビティのエントリポイントを作成する可能性があります。
  休眠状態の特権ユーザー	休眠状態の特権ユーザーは、攻撃者によって不正アクセスのために悪用される可能性があり、セキュリティリスクをもたらします。定期的に監視して非アクティブ化しない限り、これらの使われていないユーザーがアタックサーフェスを拡大して、悪意のあるアクティビティのエントリポイントを作成する可能性があります。
  悪用可能なルールのある動的グループ	攻撃者は、自己変更可能な属性を操作することで Microsoft Entra ID の動的グループを悪用し、自身をグループメンバーに追加する可能性があります。この操作により、権限昇格や、グループに関連付けられている機密リソースへの不正アクセスが可能になります。
  空の Entra グループ	空のグループがあると、混乱やセキュリティの侵害を引き起こし、リソースが未使用になる可能性があります。一般的には、グループの明確な目的を確立し、関連するメンバーが含まれるようにすることが推奨されます。
  Entra セキュリティの既定値群が有効化されていません	Entra ID セキュリティの既定値群は、テナント保護を強化する事前設定済みの Microsoft 推奨設定を提供します。
  フェデレーションドメインリスト	悪意のあるフェデレーションドメイン設定は一般的な脅威であり、攻撃者が Entra ID テナントへの認証バックドアとして利用します。既存のフェデレーションドメインと新しく追加されたフェデレーションドメインを検証することは、その設定が信頼でき、正当なものであることを確認する上で非常に重要です。この露出インジケーター (IoE) は、フェデレーションドメインおよび関連する属性の包括的なリストを提供し、ユーザーがセキュリティステータスについて十分な情報に基づいた意思決定を行うのに役立ちます。
  フェデレーション署名証明書の不一致	Microsoft Entra ID は、フェデレーションを通じて別のプロバイダーへの認証の委任を可能にします。しかし、昇格された権限を持つ攻撃者は、悪意のあるトークン署名証明書を追加することで、持続性と権限昇格を所得し、この機能を悪用することができます。
  認証情報を持つファーストパーティサービスプリンシパル	ファーストパーティサービスプリンシパルには強力なアクセス許可がありますが、その量が多く、可視性に欠け、Microsoft の所有権があるため、見落とされがちです。攻撃者がこれを悪用してプリンシパルに認証情報を付加すると、権限昇格と持続性を密かに取得できます。
  特権ロールを持つゲストアカウント	ゲストアカウントは、特権ロールが割り当てられている場合にセキュリティリスクを引き起こす可能性のある外部 ID です。これにより、テナント内の実質的な権限が組織外の個人に付与されます。
  通常のアカウントと同等のアクセス権を持つゲストアカウント	ゲストを通常のユーザーと見なすように Entra ID を設定することはお勧めしません。悪意のあるゲストがテナントのリソースに対して包括的な偵察を実行する可能性があるためです。
  管理者数が多い	管理者数が多いとアタックサーフェスが拡大し、その昇格した権限によりセキュリティ上のリスクが生じます。これは、最小権限の原則に対する違反ともなります。
  既知のフェデレーションドメインのバックドア	Microsoft Entra ID は、フェデレーションを通じて別のプロバイダーへの認証の委任を可能にします。しかし、昇格された権限を持つ攻撃者は、悪意のあるフェデレーションドメインを追加することで永続性と権限昇格を取得し、この機能を悪用することができます。
  レガシー認証がブロックされない	従来の認証方法は多要素認証 (MFA) をサポートしていないため、攻撃者は、ブルートフォース、認証情報スタッフィング、パスワードスプレー攻撃を実行し続けることが可能です。
  特権のないアカウントに対して多要素認証が行われない	MFA は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特権のないアカウントに対しても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。
  特権アカウントに対して多要素認証が行われない	MFA は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特権のないアカウントに対しても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。
  特権ロールに多要素認証が求められない	MFA は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権ロールが割り当てられた特権アカウントで MFA を有効にすることを推奨しています。
  危険なサインインに多要素認証が求められない	MFA は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスと標準では、認証リクエストが正当な ID 所有者からのものでない場合など、危険なサインインには MFA を要求することが推奨されています。
  一度も使用したことのないデバイス	事前に作成されて一度も使用されていないデバイスアカウントは、セキュリティの健全性が不十分で、潜在的なセキュリティリスクをもたらす可能性があるため、使用を避けてください。
  使用されたことがない特権のないユーザー	使用されたことがない特権のないユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、デフォルトのパスワードが使用されることで、攻撃者にとって最高のターゲットになります。
  使用されたことがない特権ユーザー	使用されたことがない特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、デフォルトのパスワードが使用されることで、攻撃者にとって最高のターゲットになります。
  オンプレミス環境でパスワード保護が有効になっていない	Microsoft Entra パスワード保護は、容易に推測できるパスワードをユーザーが設定できないようにするセキュリティ機能で、組織のパスワードセキュリティ全体を強化します。
  特権アカウントの命名規則	Entra ID における特権ユーザーの命名規則は、 管理を容易にするだけでなく、セキュリティ、標準化、監査コンプライアンスのためにも非常に重要です。
  Active Directory と同期された Entra 特権アカウント (ハイブリッド)	ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうため、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。
  Microsoft 365 サービスへのアクセス権を持つ Entra 特権アカウント	管理タスク用に別の Entra アカウント (日常的に使用する標準アカウントと管理アクティビティ専用の特権アカウント) を維持します。このアプローチにより、特権アカウントのアタックサーフェスが最小限に抑えられ、セキュリティが強化されます。
  公開 Microsoft 365 グループ	Entra ID に保存されている Microsoft 365 グループは、公開または非公開のいずれかです。公開グループの場合、テナント内のすべてのユーザーが参加してデータ (Teams チャット/ファイル、メールなど) にアクセスできるため、セキュリティリスクをもたらします。
  Microsoft Authenticator の通知に追加情報を表示する	可視性を向上させるため、Microsoft Authenticator 通知で、アプリケーション名や位置情報などの追加情報が表示されるようにすることができます。これにより、ユーザーは悪意のある可能性がある MFA またはパスワードのない認証リクエストを特定して拒否できるため、多要素認証疲労攻撃のリスクを効果的に緩和できます。
  単一メンバーの Entra グループ	1 人のメンバーのみでグループを作成することはお勧めしません。不要な冗長性と複雑さが発生するためです。この方法では管理のレイヤーが余分に増え、グループによってアクセス制御と管理を合理化するという効率性のメリットが損なわれる可能性があります。
  疑わしいディレクトリ同期アカウントのロールの割り当て	「ディレクトリ同期アカウント」は、権限のある Entra ロールで、Azure および Entra ID ポータル内で非表示になっています。通常、Microsoft Entra Connect (旧 Azure AD Connect) サービスアカウント用に指定されています。ただし、悪意のある攻撃者がこの役割を悪用して隠れた攻撃を仕掛ける可能性があります。
  一時アクセスパス機能の有効化	一時アクセスパス機能 (TAP) 機能は、期間限定または利用制限付きのパスコードを使用する一時的な認証方法です。これは正当な機能ですが、組織で必要としない場合は、アタックサーフェスを減らすために無効にする方が安全です。
  無制限ゲストアカウント	デフォルトでは、Entra ID はゲストユーザーのアクセスを制限し、テナント内での可視性を低くします。これらの制限を強化することで、セキュリティとプライバシーをさらに強化できます。
  アプリケーションに対する無制限ユーザーによる同意	Entra ID により、ユーザーは外部アプリケーションによる組織データへのアクセスに自律的に同意することができ、攻撃者はこれを「不正な同意の付与」攻撃で悪用する可能性があります。検証済みの発行元へのアクセスを制限するか、管理者の承認を要求することで、これを防ぐことができます。
  フェデレーション署名証明書の異常な有効期間	フェデレーション署名証明書の有効期間が異常に長い場合、疑わしいと言えます。攻撃者が Entra ID で昇格した権限を取得し、フェデレーション信頼メカニズムを通じてバックドアを作成した可能性があります。
  未検証のドメイン	Entra ID のすべてのカスタムドメインの所有権を確認してください。検証されていないドメインは一時的に保持するだけにし、検証または削除することでクリーンなドメインリストを維持し、効率的なレビューを促進します。

• 露出インジケーター (IoE) — 新しい IoE ハイブリッド Entra ID 情報は、オンプレミスの Active Directory にレプリケーションされている Microsoft Entra ID データに関するインサイトを提供します。これにより、組織は潜在的なセキュリティリスクを特定し、ポリシーの不整合に対処できるようになります。

• 露出インジケーター

  • 管理サービスアカウントの危険な設定ミス — この IoE の改善により、グループのサポートが追加され、gMSA へのアクセスの制御が効率化できるようになりました。

  • SDProp の一貫性を確保する — 推奨事項を改善しました。

  • シャドウ認証情報 — ROCA (Return of Coppersmith’s Attack) の修正の推奨事項を改善しました。

  • 次の2 つの新しいオプションにより、グループメンバーシップによるオブジェクトの所有権とアクセス許可の管理が強化されています。

  • 許可されたオブジェクト所有者 (グループメンバーシップ別): グループメンバーシップを通じて、セキュリティプリンシパルをオブジェクト所有者として指定できます。

  • 許可されたトラスティのリスト (グループメンバーシップ別): グループメンバーシップに基づいて、セキュリティプリンシパルに特別なアクセス許可を割り当てることができます。

• 攻撃インジケーター — ゴールデンチケット IoA の攻撃手法のテキストが改善されました。

• ディレクトリサービスのトラスト属性とタイプ

  • trustType 属性が、TTAAD (TRUST_TYPE_AAD) 値をサポートするようになりました。

  • trustAttributes 属性が、TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION) 値をサポートするようになりました。

• エクスポート機能 — ユーザーは CSV エクスポートを実行する際にセパレーター (コンマまたはセミコロン) を選択できるため、さまざまな用途に合わせて柔軟に対応できます。ブラウザは、その後のエクスポートのために最後に使用したセパレーターを記憶します。

Tenable Identity Exposure バージョン 3.86 には、以下のバグ修正が含まれています。

• アイデンティティ 360 — Tenable Identity Exposure の ID 中心の新しい機能は、組織の ID リスクサーフェス全体のすべての ID の豊富で網羅的なインベントリを提供します。

  この機能は、Active Directory と Entra ID の ID を統合し、リスク別にランク付けできるようにするため、組織全体の ID を最もリスクの高いものから低いものへとランク付けできます。

  さらに、アイデンティティ 360 を使用すると、特定の ID に関連付けられているアカウント、弱点、デバイスなど、さまざまなコンテキストの視点から各 ID を深く理解し、その ID を完全に把握することができます。

  詳細については、Tenable Identity Exposure ユーザーガイドのアイデンティティ 360 を参照してください。

• ヘルスチェック — 新しいドメインヘルスチェックは、ドメインごとに既知のエラーを特定して対処することで、攻撃インジケーターを確実にデプロイできるようにします。

  詳細については、Tenable Identity Exposure ユーザーガイドのヘルスチェックを参照してください。

Tenable Identity Exposure バージョン 3.85 には、以下のバグ修正が含まれています。