Active Directory と Entra ID を多層的に守る ─ Semperis製品(DSP/ADFR/DRET)を解説
Active DirectoryやEntra IDを狙う攻撃に備え、Semperis製品(DSP/ADFR/DRET)が実現する監視・バックアップ・復旧によるIDセキュリティ強化を解説します。
こんにちは。東京エレクトロンデバイスのJo Nishikawaです。
今回は当社で新しく取り扱いを開始した、Semperis製品に関してご紹介したいと思います!
はじめに
ここ数年、ID管理の在り方が大きく変化しています。
オンプレミスの Active Directory(AD)を中心に構築された企業環境も、Microsoft Entra ID(旧Azure AD)などのクラウド基盤を組み合わせたハイブリッド認証構成が主流になりつつあります。
一方で、AD・Entra ID ともに認証の“中枢”を担う存在であるがゆえに、攻撃者にとっては依然として最も魅力的なターゲットでもあります。
-
ADのドメイン管理者アカウントが奪取される
-
Entra ID のアクセスポリシーが意図せず変更される
-
特権ロールが誤って付与され、管理権限が流出する
こうした事象は一度発生すると、事後対応だけでは取り返しがつかないケースも多く、「どう守るか」だけでなく「どう復旧するか」が重要なテーマとなっています。
この課題に対し、Semperisはオンプレとクラウドの双方で、ID基盤の“可視化・保護・復旧”を包括的に支援するソリューションを提供しています。
前回までの記事(目利きのTEDが選んだITDRの解 Semperis(センぺリス)社 / ITDR製品「Semperis(センぺリス)」が日本市場に初上陸)では、営業チームからSemperis社の概要やITDR製品の概要を紹介しました。
本記事では、主要3製品
- DSP(Directory Services Protector)
- ADFR(Active Directory Forest Recovery)
- DRET(Disaster Recovery for Entra Tenant)
の技術的な特徴をご紹介します。
DSP(Directory Services Protector)
オンプレAD/Entra IDの変更監視・脅威検知・追跡の統合基盤
DSPは、ADおよびEntra IDに対するリアルタイム変更監視と脅威検知を行うソリューションです。
単なるログ収集ではなく、変更イベントを“意味づけ”して異常を判断できるのが特徴です。
-
権限昇格/GPO変更/スキーマ改変などをリアルタイム検知
-
管理者操作の履歴を完全追跡し、ロールバック点を提示
-
SIEM/SOAR連携による自動対応(Microsoft Sentinel, Splunkなど)
-
Entra IDの変更も同一基盤で可視化可能
DSPは、「攻撃者に侵入を許しても、その後の不正操作の可視化と即時復旧ができる」体制を作ることができます。
ADFR(Active Directory Forest Recovery)
侵害・障害発生時にフォレスト単位で“クリーンに”復旧
ADのバックアップを取っていても、ランサムウェアなどによって“感染済みの状態をそのまま戻してしまう”危険があります。
ADFRは、この課題を解決するために設計されたフォレスト全体の自動復旧プラットフォームです。
-
フォレスト構成全体を再構築可能
-
OSを含まないバックアップからのリカバリが可能なためマルウェアを引き継がない
-
GUIで手順が標準化され、これまで数日~数か月かかっていたリカバリが数時間で可能
「侵害後にどう立て直すか」という現実的な課題に真正面から取り組んだツールと言えます。
■ DRET(Disaster Recovery for Entra Tenant)
Entra ID(旧Azure AD)のバックアップ&リカバリを実現
DRETは、Entra IDの設定・構成データをバックアップし、誤削除や侵害、誤設定時に柔軟にリカバリできるSaaS型のバックアップ製品です。
対象範囲は非常に広く、次のような構成要素を網羅しています。
-
ユーザー、グループ、ロール、アプリケーション、サービスプリンシパル
-
条件付きアクセス(CA)ポリシー、認証強度、Named Locations
-
Administrative Units、Authentication Contexts、テナントポリシー など
また、定期バックアップ により、ユーザーの認証手段を含む属性も週次で取得します。
復旧時にはExpanded Backupの最新情報を自動的に適用するため、ユーザーの再認証に関するトラブルを最小限に抑えられます。
リカバリ操作も柔軟で、
-
単一オブジェクトの復旧
-
一括復旧
-
条件付きアクセスの有効/無効状態の切替え
-
過去バージョン指定でのロールバック
などが可能です。
UI操作だけで短時間に復旧できる点は、Entra IDの“保険”として極めて実用的です。
まとめ
Semperisの3製品は、異なる階層をカバーしながらも、一貫した目的を共有しています。
| レイヤー | 製品 | 役割 |
|---|---|---|
| 可視化・監視 | DSP | AD/Entra IDの変更検知・監査・追跡 |
| 復旧(オンプレ) | ADFR | Active Directory フォレストのバックアップ&リカバリ |
| 復旧(クラウド) | DRET | Entra ID テナントのバックアップ&リカバリ |
ADとEntra IDに特化して保護ができるベンダーは限られており、SemperisはハイブリッドIDセキュリティのソリューションとして注目されています。
オンプレのActive Directoryも、クラウドのEntra IDも、企業にとって“認証と信頼の根幹”であることに変わりはありません。
しかし一度トラブルが起きると、認証が止まり、復旧にも膨大な工数がかかります。
SemperisのDSP・ADFR・DRETは、そうした「ID基盤の守りと立て直し」を、現実的かつ自動化された形で支援してくれるソリューション群です。
「可視化して、守って、すぐ戻せる」こういう多層防御の仕組みがあると、運用者として本当に安心できますよね。
今後は実際の検証や、運用設計のポイントなども紹介していきたいと思います。ぜひ、次回の記事もご覧ください。
ウェビナー開催のお知らせ
ID侵害やランサムウェア観戦後の対応などに悩まれている方を対象に、下記の日程でウェビナーを開催いたします。
- 2025年11月27日(木) 10:00 〜 10:50
- 2025年11月28日(金) 12:00 〜 12:50
- 2025年11月28日(金) 15:00 〜 15:50
この記事の投稿者Jo Nishikawa
セキュリティ製品のプリセールスを担当しています!
この記事をシェア
