近年のサイバー攻撃では、Active Directory（以下、AD）が侵害の起点となるケースが増えています。
ADは認証・認可の基盤であるため、一度侵害されると被害は組織全体に及びます。
こうした状況を背景に、ファイブアイズ（Five Eyes）と呼ばれる国際的な枠組みが公開したActive Directoryセキュリティガイダンスが注目を集めています。
本記事では、「ファイブアイズ（Five Eyes）とは何か」、そしてなぜADセキュリティの観点で重要なのかを解説します。

ファイブアイズ（Five Eyes）とは、以下の5カ国で構成される機密情報共有の枠組みです。

• アメリカ
• イギリス
• カナダ
• オーストラリア
• ニュージーランド

第二次世界大戦後に締結されたUKUSA協定を起点とし、通信傍受や諜報活動で得た情報を共有する目的で発足しました。
現在では、国家安全保障のみならず、サイバーセキュリティ分野においても連携が進められています。

日本は5カ国と安全保障面で協力を進めています。米国は日米安全保障条約に基づく同盟関係に基づいて連携し、英豪などとの関係は「準同盟国」とも呼ばれ、情報保護協定や物品役務相互提供協定(ACSA)などを結んでいます。

2024年9月、ファイブアイズ（Five Eyes）5カ国は共同で
「Detecting and Mitigating Active Directory Compromises」（Active Directory侵害の検出と軽減）というガイダンスを公開しました。
このガイダンスでは、DCSync、ゴールデンチケット、Kerberoastingなど、実際に多用されているAD攻撃手法を17項目に整理し、それぞれに対する具体的な緩和策が示されています。
出典：https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/detecting-and-mitigating-active-directory-compromises　閲覧日：2026/4/22

本ガイダンスが高く評価されている理由は、次の3点です。

• 実攻撃ベースの内容
  理論ではなく、実際に確認されている攻撃手法に基づいています。
• 「予防」を重視した設計
  侵害後の検知だけでなく、侵害されにくいAD構成を重視している点が特徴です。
• Tier0資産の明確な位置づけ
  Domain AdminやKRBTGTなど、Tier0（最重要）資産の保護が最優先であることが明確に示されています。
  ADが侵害されると、ネットワーク全体の支配につながるため、Tier0の管理状況がセキュリティレベルを左右します。
  

Tenable Identity Exposureは、ファイブアイズ（Five Eyes）のガイダンスで示されているリスクや攻撃手法を「露出インジケーター（IoE）」として可視化します。

• 既知のAD攻撃につながる設定ミスを継続的に検証
• Tier0資産に直結するリスクを重点的に検出
• 修正優先度を分かりやすく提示

ガイダンスを「読む」だけでなく、日常運用に落とし込むための実践的な仕組みとして活用できます。

次回以降、「Detecting and Mitigating Active Directory Compromises」（Active Directory侵害の検出と軽減）のガイダンスにある攻撃手法及びTenable Identity Exposureを活用した事例を紹介させて頂きます。