Microsoft Defender for Identity とは?
Microsoft Defender for Identity は、オンプレ AD を狙った攻撃を早期に検知するためのセキュリティソリューションです。ドメインコントローラーにインストールしたセンサーを通じて、ユーザーやサービスアカウントの認証動作、権限の利用状況などを監視し、横移動や特権昇格といった不審な挙動をリアルタイムで検知します。収集された情報はクラウド側で分析され、Microsoft Defender XDR と連携することで、他のセキュリティ情報とあわせた調査・可視化が可能となります。
Defender for Identity 構成図
Defender for Identity を導入すべき理由:オンプレ AD は今も攻撃者の主要な標的
クラウド化が進んでも、オンプレ AD は依然として攻撃者の主要な標的です。 多くの企業で、業務システムや管理アカウントはオンプレ AD に依存しており、侵入後の横移動や認証情報の悪用などの攻撃が成立しやすい状況にあります。
【補足情報】
調査対象:661件(世界70か国・34)
調査期間:2024年11月1日~2025年10月31日
出典:Sophos「Active Adversary Report 2026」
2026年に公開された調査では、初期アクセスの原因の約 67% が ID に関連する攻撃であると報告されています。これは、攻撃者がアカウントや認証情報を足がかりに Active Directory の掌握を狙うケースが非常に多いことを示しています。
Defender for Identity は、こうしたオンプレ AD 内部の不審な挙動を可視化し、見えにくいリスクを明らかにします。
Defender for Identity の特徴1:簡単に導入でき、運用負荷も小さい
オンプレ AD へ Defender for Identity を導入するとなると、「設定が複雑そう」「運用が大変そう」と感じる方も多いかもしれません。
しかし、Defender for Identity は導入・運用のハードルが高いソリューションではありません。以下の3点がポイントです。
- ドメインコントローラーにセンサーをインストールするだけで利用可能
- ネットワーク構成の大きな変更は不要
- 検知や分析はクラウドで自動実施され、オンプレミスでの分析基盤や検知ルールの構築と運用は不要
Defender for Identity の特徴2:Microsoft 365 E5 利用ユーザーは既存ライセンスで導入できる
Microsoft 365 E5 や Enterprise Mobility + Security E5 を既に利用中の場合、Defender for Identity のライセンスを追加購入する必要はありません。追加コストなく、すぐに利用できます。
既存の Microsoft セキュリティ製品と同じ管理ポータルで運用できる点も、大きなメリットです。
※ Microsoft 365 E3 や Microsoft 365 Business Premium には含まれていないため、別途ライセンスの購入が必要です。
※ 参考リンク:Microsoft Defender for Identity ライセンスの要件(Microsoft Learn)
| 利用中のライセンス | Defender for Identity |
|---|---|
| Microsoft 365 E5 | 含まれる |
| Enterprise Mobility + Security E5 | 含まれる |
| Microsoft 365 E3 | 含まれない |
実際の画面例:不審な挙動を検知したインシデント
以下の画面は、Microsoft Defender for Identity により検知されたインシデントの一例です。不審なアカウントの挙動を検知し、警告しています。
この画面では、検知したアカウントのアクティビティ情報や深刻度を確認できます。
これにより、「どのアカウントで・いつ・どのような不審な動作が行われたのか」を把握でき、初動対応や影響範囲の調査を効率的に進めることが可能です。
まとめ
- オンプレ AD は、今も攻撃者の主要な標的であるため、継続的な可視化と監視が不可欠です
- Microsoft Defender for Identity の導入はシンプルで、運用負荷も小さく済みます
- 既存ライセンスを活用でき、追加コストを抑えることが可能です
Microsoft Defender for Identity について、ご不明な点や課題をお持ちのようでしたら、お気軽にご相談ください。
