「Microsoft Active Directory(AD)」は、ユーザーアカウントやパスワードなどの情報を一元管理できる便利なツールです。本記事では、ADの概要をはじめ、メリットや注意点、セキュリティ保護における課題を解説します。ADを内部脅威から守る効果的な対策として、9つのベストプラクティスも併せて紹介します。
Microsoft Active Directory(アクティブディレクトリ)とは?
「Microsoft Active Directory(アクティブディレクトリ)」とは、Windows社が提供するサーバー向けOS「Windows Server」に備わった機能のひとつです。略して「AD」とも表記されます。
「ディレクトリ」とは、何がどこにあるのかを示す格納庫、つまりファイルのフォルダです。ディレクトリサービスの一種であるADを利用すれば、企業はユーザー認証やアクセス権限などの情報を一元管理できます。この機能は、「Windows 2000 Server」より標準搭載されています。
Azure ADとの違い
「Azure AD」とは「Azure Active Directory」の略であり、「ADD」とも表記されます。ADDは、いわばADの機能をクラウド対応させたサービスです。
近年は、リモートワークの普及により、社外で仕事をする人が増えましたが、従来のADは社内のローカルネットワーク環境でしか利用できませんでした。ADDはクラウド環境でも利用できるため、社外のモバイル端末からでも認証が行えるなど、利便性が高いです。
Microsoft Active Directoryのメリット
すべてのユーザーのリソース(アカウントやパスワードなど)を一元管理できることで、管理者の作業負担が大幅に軽減されます。また、アップデートなどの各種設定を一括で行えるので、パソコンごとに異なる脆弱性や人為的ミスを防げる点もメリットです。
ユーザー側のメリットとしては、一度のログインで社内の複数のシステムにアクセスが可能な点や、シングルサインオンが可能な点が挙げられます。また、自身でアップデートなどの設定を行う必要がないため、ITに詳しくない人でもシステムを利用しやすいでしょう。
Microsoft Active Directoryを使用する際の注意点
ADは、多くの企業での認証や承認において重要な役割を果たしており、さまざまなアプリケーションとも連携していることから、頻繁にサイバー攻撃の標的にされています。セキュリティ対策を強固にするためにも、定期的なバージョンアップは欠かせません。
また、外部からの攻撃だけではなく、内部の脅威に目を光らせることも必要です。経済スパイや未熟な従業員による攻撃・情報漏洩は、企業の信用を失墜させ、甚大な損失をもたらしてしまいます。
ADへの攻撃はどのように行われる?
では、内部関係者からADへ、どのように攻撃されるのでしょうか。架空の企業A社を例に挙げ、具体的なケースを紹介します。
競合企業B社を買収したA社は、2社のAD統合支援のため、請負業者Cに作業を依頼しました。しかし、途中で契約が解除され、本来なら即座にCを管理者グループから外さなければなりませんが、数日間放置してしまったため、Cの昇格特権乱用を許してしまいます。
契約解除を恨みに思ったCは、自身の管理者資格でシステムにログインし、新しく偽の管理者アカウントを作成して、クレジットカードデータを盗み出します。今後も盗み続けられるよう、資格情報を盗聴するマルウェアを仕掛けました。
A社は、監視システムやGPO(Group Policy Object)により、機密データへのアクセスを予防する措置を講じていましたが、内部関係者はその抜け穴を知っているため、一般的なセキュリティ対策が功を奏すことはありませんでした。
Microsoft Active Directoryにおけるセキュリティ保護の課題
ADはセキュリティ面を考慮して構築されていますが、内部の脅威に対して、十分な対策が講じられているとは言えません。主な課題は以下の4つです。
【1. ネイティブ監査の制限】
元からADが備わっている監査システムでは、一部の内部関係者のアクションはキャプチャされず、変更事項を包括的に表示する手段もありません。したがって、望ましくない変更やアクションが起こった際、即座に脅威を検知して、攻撃を予防することは困難です。
【2. アクセス許可管理の制限】
ADでは最小特権に基づいた権限付与が難しいため、ユーザーに必要以上の権限を与える傾向があります。ユーザーが求める権限の付与と、機密性の高いデータの保護を目的に、アクセス権限をどのように制限していくかが大きな課題です。
【3. ネイティブの自動化機能の欠如】
安全性を維持するには、アクセス制御の継続的な評価や修正が必要ですが、ADではこのプロセスを自動化できません。もし不正なアクセスが検知されても、それを自動で予防・修正できなければ、企業は多大なダメージを被ってしまいます。
【4. 人的およびビジネス面の要因】
業務に携わる社内外の関係者が、互いの特権AD資格情報を共有することは一般的ですが、特権の乱用を招くリスクもあります。また、社内の異動後にアクセス許可が適切に更新されていない場合も、セキュリティ面に脆弱性が生じてしまうでしょう。
Microsoft Active Directoryを内部脅威から守る9つのベストプラクティス
上記のセキュリティ面における課題に対し、絶対的な解決策は存在しません。しかし、企業は内部の脅威に対して、以下の9つのベストプラクティスを実践することにより、保護の効果をもたらします。
1. 攻撃対象領域を削減
まずはIT環境を整理し、不必要なドメインやグループ、ソフトウェアを削除しましょう。さらに最小特権の原則に基づいて、特権ユーザーを中心に、すべてのユーザーのアクセス権限を見直します。請負業者などの一時的なスタッフに対しては、アカウントの有効期限を設定して乱用を防ぐことが重要です。
2. 機密性の高いシステムと資格情報へのアクセス制御を強化
機密性の高いシステムや資格情報に対するアクセスは、多要素認証を採用しましょう。「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせることで、情報漏洩リスクを低減できます。さらに特権アカウントのアクセスは、「踏み台サーバー(ジャンプボックス)」を経由させれば、監視を行いやすくなります。
3. 特権グループの監視を強化
環境が整ったら、従業員や請負業者など関係者全員の監視を行います。特に、権限昇格(特権昇格)には要注意です。特権グループへの直接変更はもちろん、ネストされたグループへのメンバー追加も、リアルタイムで監視します。
4. 不審なアクティビティに関する警告
特権昇格以外にも、就業時間外の機密サーバーへのアクセスや、ログオンに複数回失敗した後で成功するといった不審なアクティビティがあれば、不正アクセスを警戒すべきです。
5. アクセス制御・脅威・脆弱性を継続的に確認
ADのアクセス許可は人事異動や組織の変更などにより、時間とともに変化します。ADおよびWindowsシステム全体で、アクセス許可を定期的にチェックし、非アクティブや無効になったアカウントは悪用されないように、その都度削除しましょう。
6. セキュリティポリシーを自動化・適用・修正
ネイティブでは対応しきれない脅威に対しては、自動化ツールの利用により、セキュリティ機能を補完します。不正アクセスの検知や問題の修正を自動化するツールを利用すれば、いち早く脅威に対処可能です。さらに、承認済みの資格情報をホワイトリストに定義づけることで、不正なアカウントの作成を防げます。
7. 複数にわたるセキュリティインシデント情報を一元化
ログオンからログオフまで、各ステージにおけるユーザーやリソース全体の関連アクティビティを一元化して監視・管理できれば、セキュリティインシデントを迅速に検知できます。さらに、情報の分析能力が向上し、インシデント対策にも有効です。
8. ADのビジネス継続性プロセスを計画・テストし実装
急なインシデントに備えて、ドメインコントローラーやデータベースなどのバックアップを定期的に取っておくことや、ディザスタリカバリ計画を立てておくことも重要です。この計画を含めたビジネス継続性プロセスは定期的にテストを行い、データ漏洩からリカバリまで、目標時間内で実施されるかを確認します。
9. ADオブジェクトのクリーンアップを自動化
一定期間使われていないアカウントは削除するなど、クリーンアップの条件を構築して自動化することで、不要なアカウントを確実に整理できます。アカウントの無効化・削除だけではなく、リストからの削除や関係各所への通知まで自動化すれば、さらに効率的です。
まとめ
ADは、認証や権限に関する情報を一元管理できる便利な機能ですが、その反面、内外問わず脅威にさらされやすく、ネイティブ監査だけではセキュリティ面において脆弱性が生じやすくなります。
「Quest」はソフトウェアを通じて、お客様の生産性向上やセキュリティ対策の支援を行っています。ADのセキュリティに関するソリューションも用意しているので、困っている際は一度相談してみてください。
