リスクエクスポージャー管理とは?
リスクエクスポージャー管理とは、攻撃に晒される可能性のある領域(アタックサーフェス)を特定し、セキュリティリスクを軽減する対策を指します。従来のリスク評価は、定期的に点検する断続的なアプローチでした。一方、リスクエクスポージャー管理は、ITインフラ全体が変化し続けることを前提に、脆弱性や攻撃面を常時追跡するプロアクティブな戦略です。
ID・アクセス管理の文脈では、Active Directoryなどにおいてユーザー権限やグループメンバーシップを常時監視し、脅威を事前に検知・排除することが重要です。この取り組みを、リスクエクスポージャー管理と呼びます。リスクエクスポージャー管理を重視することで、過剰に付与された管理者権限や、管理できていないネスト構造などが検知可能になります。これにより、「どのような構成が、悪用を可能にしてしまっているか」を把握し、迅速な修復措置を実施できます。
なぜ、AD管理に「リスクの可視化」が必要なのか?
Active Directory(AD)は、組織のネットワークを掌握しようとするサイバー犯罪者にとって、格好の標的とされています。過剰付与された権限や、休止状態のアカウントなどがAD内で存在すると、リスクエクスポージャーが拡大します。この状態を放置すると、攻撃者による水平展開や特権昇格、データ窃取につながりかねません。こうした脅威に先手を打つには、AD環境内のリスクを継続的に検知・評価するリスクエクスポージャー管理の仕組みが欠かせません。
ADManager Plusは、アクセス制御やリスク評価、コンプライアンス対応を支援するActive Directory運用管理ツールです。リスクエクスポージャー管理機能を活用することで、攻撃が発生する前にADに潜在する攻撃経路を可視化し、優先度に基づいたリスク軽減策を実施できます。
ADManager Plusによるリスクエクスポージャー管理
ADManager Plusは、AD環境を常時分析し、攻撃者に悪用される前に潜在的な脅威を検知します。単なるグループメンバーのリスト化に留まらず、特権グループが悪用されうる攻撃経路を可視化します。これにより、リスクエクスポージャーの最小化を実現し、実際のリスク排除やコンプライアンス適合を効率化できます。
リスクエクスポージャー管理機能のメリット
ADManager Plusのリスクエクスポージャー管理機能を活用することで、次のことが可能になります。
- ADドメイン全体のリスクエクスポージャーを可視化
- グループメンバーがどのような経路で権限を継承しているかを把握
- 特権エンティティがどのような経路で攻撃されうるかを可視化
- グループメンバーシップをマップ化し、危険な権限構成を検知
- 実際のリスクに基づいた対応策の優先度づけ
- GDPRやISO 27001、PCI DSSなどで求められるアクセス制御やリスク管理を効率化
リスクエクスポージャー管理機能を支える5つのコンポーネント
ADManager Plusのリスクエクスポージャー管理は、以下の5つの主要コンポーネントを搭載しています。
- 攻撃フロー:グループメンバーシップや権限の継承関係から、想定される攻撃フローを可視化します
- 特権エンティティ:ドメイン管理者などの既定のグループに限らず、高い権限を付与された任意のADグループを、「特権エンティティ」として分析できます
- クエリライブラリ:あらかじめ定義されたクエリを用意しているため、設定ミスや隠れた攻撃経路などを簡単に調査・特定できます
- エクスポージャーリンク:オブジェクト同士の権限関係を明確化し、「特定のユーザーや端末(ノード)が、組織全体のリスクエクスポージャー拡大にどれだけ影響を与えているか」を特定できます
- 修復措置の提案:特定されたリスクに対し、被害を未然に防ぐための具体的な対策案を提供します
ユースケース
ユースケース1:グループ権限の継承状況を把握
グループ構成や権限継承が複雑化した環境では、管理が行き届かず、必要以上に強いアクセス権限が意図せずユーザーに付与されている場合があります。そこで、ADManager Plusを活用すれば、把握できていなかったグループ構造や、ユーザーが継承している権限が可視化されます。これにより、攻撃の足がかりとなる隠れた攻撃パスを特定し、リスクの解消に向けた対処を即座に実行できます。
ユースケース2:AD移行時の過剰な権限付与や設定ミスを排除
AD移行においては、複雑な権限継承や入れ子構造がそのまま引き継がれ、意図しない脆弱性を生む可能性があります。ADManager Plusを活用することで、不適切な権限付与や、特権への隠れた攻撃パスを即座に特定可能です。リスクエクスポージャー管理機能は、環境移行によって知らぬ間に攻撃面が拡大するリスクを防ぎ、堅牢なセキュリティ維持に貢献します。
リスクエクスポージャー管理によるコンプライアンス要件への対応
ADManager Plusのリスクエクスポージャー管理機能は、以下のようなコンプライアンス要件への適合を支援します。
| 法令・ガイドライン | 該当セクション | 要件 |
|---|---|---|
| ISO/IEC 27001:2013 | 6.1.2 | 情報資産に対するリスク(発生確度や影響範囲など)を特定・評価する基準を確立・維持し、リスク対応のための計画・優先度付けを行うこと |
| NIST SP 800-53 Rev. 5 | RA-3 | システムやデータに対する脅威や脆弱性を特定するために、リスクアセスメントを実施すること |
| PCI DSS v4.0 | 12.3 | カード会員データ環境に対するリスクを特定・評価・管理するための正式なリスク分析を、定期的に実施すること |
| HIPAAセキュリティルール | 45 CFR §164.308(a)(1)(ii)(A)(B) | (A) 電子保護対象医療情報(ePHI)に対する潜在的なリスクを特定するために、正確かつ徹底的なリスク分析を実施すること (B) ePHIに対するリスクを合理的かつ適切な程度まで低減するためのセキュリティ対策を実施すること |
| GDPR | 第35条 | データ処理を行う前に、特にその処理が個人の権利に甚大なリスクをもたらしうる場合、その影響を分析・評価すること |
| SOX | 第404条 | 財務報告の信頼性を確保するため、内部統制の構築・維持責任を明示し、その有効性を年度ごとに評価・報告すること |
| COBIT 2019 | APO12.03 | ITリスクを特定・評価した結果をレポート化し、事業目標への影響を考慮しながら、常に最新の状態に更新し続けること |