Active Directory からはじめる特権ID管理

オフライン/Webセミナー開催中!

Active Directoryセキュリティセミナー

セミナーに来られない方も!

Active Directory監査 課題相談 (訪問対応)

AD ドメイン管理者アカウントに対する
セキュリティを
"より強力に"

近年、Active Directory環境における特権IDであるドメイン管理者アカウントへのセキュリティ強化を課題とする企業が増加しており、注目が高まりつつあります。

日本では、Active Directoryのドメイン管理者アカウントに対してセキュリティ意識の低い状態が続いたことから、現在においても、不適切な、弱い設定のままとなっている企業が多く存在します。ドメイン管理者アカウントとは、基本的にはActive Directory内のすべてのリソースにアクセスすることができる権限を有しているため、サイバー攻撃の恰好の的となり、「Pass-the-hash」「Pash-the-ticket」等の攻撃によって重要な資産が危険にさらされているという実態があります。

ドメイン管理者アカウントを狙ったサイバー攻撃を防ぐためには、対策のための「行動」をおこすことが大切です。しかしながら、セキュリティ対策というのは一朝一夕でできることではありません。そのため、できるだけ早く行動を開始し、しっかりと情報を収集して対策をとることで、強力な基盤を築くことが大切です。

今、Active Directoryが危ない!

標的型攻撃が横行する昨今、企業ネットワークに侵入した攻撃者により、Active Directoryのドメイン管理者アカウントが狙われるケースが多発しています。
JPCERT/CC ( Japan Computer Emergency Response Team Coordination Center ) からも、従来、注意喚起と対策実施の推奨が行われていました。
>> JPCERT/CCの公開文章に関する詳細については、こちらをクリックしてください。

以下では、JPCERT/CCが提唱する具体策の概要を「3つのポイント」にまとめました。対応するManageEngine製品も併せて紹介します。

  •  

     

    ログ監査

    JPCERT/CCが公開した解説書では、Active Directoryのイベントログを活用した攻撃の検知方法が記されています。注視すべきイベントIDとその詳細も説明されているため、これらを参考にログ監査を実行すると良いでしょう。

    また、日々の認証ログの調査を行い、接続元端末やアカウント名、ログイン成功/失敗の時間帯や回数に不審な点が無いかを調べることも重要です。

    関連製品 >>Active Directoryログ監査ソフト「ADAudit Plus」 統合ログ管理ソフト / 簡易SIEM「EventLog Analyzer」

  •  

     

    特権ID管理

    「申請/承認フロー」と「証跡管理」

    Active Directoryのドメイン管理者アカウントは、その権限範囲の広さから「特権ID」と言えます。従って、パスワードを不用意に共有し、「いつ/誰が」アクセスしたか分からないという状況を作らず、厳重に管理することが求められます。また、定期監査や有事の調整に向けて、適切な証跡を残すことも重要です。

    なお、特権IDを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義できるという効果も発揮します。特権IDの適切な管理は、ひいては異常ログの速やかな検知につながります。

    管理専用端末の分離

    また、管理者アカウントの認証情報が保存される端末は攻撃者の標的となりやすいため、JPCERT/CCの解説書では管理者アカウントを使う端末と他の作業を行う端末と分離し、管理専用端末ではインターネットへのアクセスやアプリケーションの実行を制限する事が望ましいとされています。

    ※例えばManageEngineで提供している特権ID管理ソフト「Password Manager Pro」を導入したサーバーを踏み台とし、Active Directoryへのアクセス元を固定すれば、「特権ID管理」と「端末分離」を効率的に実施できます。

    イメージ図 ※クリックで拡大します
    イメージ図 ※クリックで拡大します

    関連製品 >> 特権ID管理ソフト「Password Manager Pro」

  •  

     

    アカウント/権限の洗い出し

    特権を付与するアカウントを最小化することも重要です。高権限グループに所属するアカウントがどれなのかを定期的に洗い出し、不要なアカウントが含まれていないことを確認する必要があります

    また、退職や異動に伴い使われなくなったアカウントを放置せず、定期的な棚卸しを行うことで攻撃者からの悪用を未然に防げます。

    ソリューションマップ ※クリックで拡大します
    ソリューションマップ ※クリックで拡大します

    関連製品 >> Active Directory ID管理ソフト「ADManager Plus」

  • >>【まとめ解説】ManageEngineでActive Directoryのセキュリティ対策を!

以下のブログでは、Active DirectoryならびにWindows環境に対する
セキュリティ強化を実現するために必要なソリューションをご紹介しています。

 Active Directoryのセキュリティ 
 ローカルユーザーとグループ 
 Active Directoryユーザー 
 効率的なActive Directoryユーザー管理 
 Active Directoryグループ 
 委任 
 パスワード管理 
 Active Directory 監査 
 サービスアカウント