Active Directory からはじめる特権アカウント管理

- ダウンロードページ

1.Active Directoryに迫る危険

標的型攻撃が横行する昨今、企業内ネットワークに侵入した攻撃者によってActive Directoryのドメイン管理者アカウントが狙われるケースが多発しています。

ドメイン管理者アカウントは、業務用端末や各種サーバーへの横断的なアクセスが可能なため、奪取できればマルウェアの感染拡大や機密情報の流出が容易に行えるためです。

攻撃者が内部ネットワークに侵入した際、Active Directoryのドメイン管理者アカウントを奪取しようとする動きは、Active Directoryのログを定期的に監査することで事前に検知できる例が多いと言われており、 JPCERT/CC( Japan Computer Emergency Response Team Coordination Center )からも従来注意喚起と対策実施の推奨が行われていました。

上記に加え、2017年3月にはJPCERT/CCより新たに攻撃検知のための解説資料も公開され、各企業での対策検討を加速しています。JPCERT/CCから新たに公開された資料については、下記のコラムもご参照ください。

社内にあるから安全だと思っていませんか?JPCERT/CCが「Active Directoryのセキュリティ」にフォーカスした文書を公開

その他の参考資料

Active Directoryのセキュリティ運用ソリューションを提案中!

事例住友金属鉱山株式会社様

JPCERT/CCの公開文書に沿ったセキュリティ対策として
Active Directoryログの可視化を実現

同社は、2016年12月頃からログ管理の課題解決に向けた対策検討と予算確保を開始していた。2017年3月にJPCERT/CCの解説書(ログを活用したActive Directoryに対する攻撃の検知と対策)が公開されたことを受け、当内容にフォーカスした製品/ソリューション提案を各社に依頼。

Active Directoryについては従来、アカウントの管理負荷軽減に対するニーズも持っていたため、Active Directory管理を高いコストパフォーマンスで実現できるManageEngine製品が合致した。その後、予算感や実施内容を検討の上、最終的にフェス社の提案を採用。

導入事例を見る

フェス社提供の「Active Directoryセキュリティ運用ソリューション」の概要はこちら

2.グループ企業の子会社や市町村レベルの自治体にも最適
ManageEngineで身の丈に合った対策を!

Active Directoryの生ログを監査するとなると、システム担当者にとっての負荷はかなり高くなります。

  • Windows PowerShellなどを活用して自作のプログラムを作成

  • 監査人の要求に柔軟に対応するレポートをその都度作成

セキュリティログを解析するための専門担当者を雇っているような大企業なら良いですが、本来別の業務を持っているシステムエンジニアが上記のような作業で手一杯になっていては、企業にとって大きな損失です。

ManageEngineでは、Active Directoryのログ監査に特化したレポーティングソフトをはじめ、種々の製品をリーズナブルな価格で取り揃えることで、上記のような課題に悩む企業の工数削減、およびセキュリティレベルの向上に寄与します。例えば、以下のような企業にも、身の丈に合った現実的な選択肢としてご検討頂けます。

  • グループ企業の子会社/関連会社

  • 国や地方公共団体の出先機関/取引先

  • その他、最高レベルの対策は難しくとも、一律のセキュリティ強化が求められるような場合

banner

 

3.JPCERT/CC推奨! Active Directoryの攻撃検知と対策(対応製品のPDF資料付き)

※以下のコンテンツは、過去にJPCERT/CCが公開したコンテンツに対応する内容となっています。2017年3月に公開された資料に基づく解説はこちらのまとめごご参照ください。

以下表は、JPCERT/CCが公開している「 Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起」から引用した「管理者アカウントについての確認内容」の一覧表です。

管理者アカウントについての確認内容

・ログイン状況
― 使用していないはずのアカウントが使用されていないか

・接続先
― 管理者がログオンすることのないユーザ端末やサーバ、ドメインコントローラへのログオン・ログオン試行がないか

・接続元端末
―管理者アカウントの運用を行うことのない端末での管理者アカウントの使用がないか

・使用している時間帯
― 休日や、業務時間外の深夜・早朝など業務で使用されていない期間のアクセスがないか

・操作内容
― 管理者アカウントの追加や、ポリシーの変更、イベントログの削除など想定していない操作が行われていないか

以下は、具体的な確認作業をフローチャートで表現したものです (Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起から引用の上、加筆・修正)。

flow

上図の内、「F.操作ログが意図した内容か?」を洗い出すための確認作業をフローチャートとして表現したものが下図です( Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起から引用の上、加筆・修正) 。

flow

上記A-Iおよび1-8のフローのそれぞれの項目に対して、すべて人力で行うにはリソース/工数が多分にかかります。ManageEngineが提供するソフトウェアと組み合わせて実施することで、効率的かつ網羅的な確認が可能です。各項目と対応するManageEngine製品機能の対応表については、以下よりダウンロードしてご確認いただけます。

banner

また、 同資料( Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起)では、以下表のとおり、「管理者アカウント不正使用の被害を低減するための対策」も提示されています。

管理者アカウント不正使用の被害を低減するための対策

・管理端末や重要なサーバの OS やソフトウエアを最新の状態に保つ

・アカウントは必要最小限の権限のみを付与する

・管理者アカウントには、強固なパスワードを設定する

・管理者アカウントを定期的に監査し、権限の見直しや、不要な管理者アカウントの削除を行う

・管理者での操作を行う際には、管理者以外のアカウントでログオン後、一時的に管理者アカウントとして作業を行う

・一般端末から重要なサーバなどへのアクセスを制限する

・管理者アカウントは、分離した管理セグメント上の端末などの信頼できる端末のみで使用する

・スマートカードを用いた多要素認証などの方法により、管理者でのログオンを制限・管理する

・管理者でのログオンを行う端末や、ログオン先の端末をホワイトリストで管理する

・"Administrator" ユーザなどは、管理者アカウントであることが判断しやすく攻撃者に狙われやすいため、必要に応じて削除・無効化・名称変更する

・管理者アカウントの使用状況を定期的に確認する

先のフローチャートでご紹介している「管理者アカウントの確認作業」だけでは補足されていない項目と、それらに対応するManageEngine製品については、以下をご参照ください。

【まとめ解説】ManageEngineでActive Directoryのセキュリティ対策を!

 

<Active Directoryのログ監査と保管>

以上でご紹介してきた通り、Active Directoryのアカウントが不正に活用されないよう、ログの保管・監査や使われていないアカウントの棚卸しを実行することはとても重要です。しかし、そのようなアクションを実際に行おうとすれば、多くの場合以下のようなジレンマが発生します。

  • (ジレンマ1)システム担当者にとっての負荷が増大。通常業務の圧迫にも。

  • (ジレンマ2)企業にとっての投ß資負担が増大。スキルの高いエンジニアが追加で必要。

このような課題に対して、ManageEngineでは「ADManager Plus(一般アカウントの管理)」「ADAudit Plus(ログの監査)」「EventLog Analyer(ログの保管)」という製品をご提案しています。例えば、ツールを活用することで一部業務を派遣社員に移譲するなどし、工数・リソースの削減が可能です( 参考事例)。

<特権IDの管理>

また、Active Directoryのログを適正に監査する上で意外と忘れられがちな項目に、「特権ID管理」が挙げられます。業務端末や各種サーバーへ自由にアクセスできるActive Directoryのドメイン管理者アカウントは、その権限の高さから「特権ID」として適切に管理されるべきです。一方で、その利便性ゆえに複数人で共有したり、パスワードを使いまわすようなケースも多々発生しています。

このような運用を行っている場合の弊害として、下記が挙げられます。

  • (弊害1)事件/事故が起こった際、誰が行った操作が原因なのか特定できない。

  • (弊害2)「いつでも/誰でも/何でも」できる前提なので、ログから「正常か/異常か」の判断ができない。

反対に、適切な申請/承認手続きを踏まなければドメイン管理者アカウントを使用しないというルールを徹底すれば、ルールを逸脱した操作を浮き彫りにできます。ログ監査において特権ID管理が重要視されるのは、このような理由からです。

ManageEngineでは、特権IDをリーズナブルに管理できるツールとして、「Password Manager Pro」をご提案しています。

以下は、上記課題に対応するManageEngine製品をまとめた表です。合わせてご参照ください。

Active Directoryログ監査ソフト「ADAudit Plus」(エーディーオーディット プラス)

・ユーザーの深夜ログオンやアカウントロックなどを監査することで、不正アクセスの検知を促進。

・PCI DSS準拠レポート等、200種類以上の監査レポートを自動生成。 ・条件を設定してアラートの生成が可能。

ログの監査ログの保管一般アカウントの管理特権ID管理

Active Directoryログ監査ソフト「ADAudit Plus」(エーディーオーディット プラス)

・ユーザーの深夜ログオンやアカウントロックなどを監査することで、不正アクセスの検知を促進。

・PCI DSS準拠レポート等、200種類以上の監査レポートを自動生成。

・条件を設定してアラートの生成が可能。

統合ログ管理ソフト/簡易SIEM「EventLog Analyzer」(イベントログ アナライザー)

・イベントログ・Syslogに加え、任意のテキスト形式のログを一元的に収集。

・複数のログタイプを選択し、特定のキーワードでの同時検索が可能。

・条件を設定してアラートの生成が可能。

Active Directory ID管理ソフト「ADManager Plus」(エーディーマネージャー プラス)

・一定期間使われていないアカウントを抽出することで、アカウントの棚卸しを促進。

・アカウント作成時の申請/承認ワークフローや権限委任、一括更新機能などで工数削減を支援。

特権ID管理ソフト「Password Manager Pro」(パスワード マネージャー プロ)

・特権ID利用時の申請/承認フローを自動化。

・特権IDの利用履歴を記録。

・ユーザーが特権IDを活用している間の操作画面を録画。

・多要素認証システムとの連携可能(リンク)。

banner