【内部対策コンテンツ一覧】
Active DirectoryのID管理およびログ監査
【Active DirectoryのID管理】
ネットワーク上に存在する様々なリソース、ユーザー、またそれらのユーザー権限を一元的に管理するために、WindowsのActive Directoryを活用する企業 / 組織は国内に多数存在します。
このような企業 / 組織において、オフィス拠点の移転や組織構造の改革、社員の異動 / 退職に伴い、Acitve Directoryの不使用アカウントが放置されるケースは珍しくありません。
必要以上の権限が割り当てられたアカウントが多数放置されていると、標的型サイバー攻撃による侵入者に認証情報を窃取され、組織内での攻撃活動に利用されてしまいます。
中でも、Active Directoryのドメイン管理者アカウントは組織内システムへの横断的なアクセスが可能なため、攻撃者が認証情報の窃取に成功すれば業務端末やサーバーへの侵入、マルウェアの感染拡大を助長します。
2015年に発生した年金機構の情報漏洩事件でも、Active Directoryのドメイン管理者アカウントが窃取された事により情報の大量流出が起こりました。
このように、Active Directoryは企業 / 組織が内部対策を実行する上で重要な防衛ポイントと言えます。
JPCERT/CCからも、Active Directoryのドメイン管理者アカウントの不正使用に関する注意喚起が出され ( ※1) 、定期的な不使用IDの棚卸しやAcitve Directoryのログ監査が推奨されています。
| AD管理 | 具体策 | ソリューション |
|---|---|---|
| ADのID/権限変更の最適化 |
| 申請・承認のワークフロー機能、不要(未使用)アカウントの抽出機能 |
| ManageEngine ADManager Plus(マネージエンジン エーディーマネジャー・プラス)は、AD(Active Directory)のID管理効率化に特化したWebベースのツールです。 | |
【Active Directory / DNSのログ監査】
標的型攻撃の内部対策について、Active Directoryと共にDNSサーバーのログ監査についても重要視されています( ※2 )
攻撃者が侵入に成功してから、Active Directoryのアカウント認証情報を窃取し、重要情報へのアクセスを試みる際、大量のログイン失敗や不正な権限操作の履歴が残ることがあります。このような異常、あるいは深夜・休日などの業務時間外に頻繁にログインしているといった不審な兆候から、マルウェア感染を早期に検知できます。
| AD監査 | 具体策 | ソリューション |
|---|---|---|
| ADのログ監査 |
| ManageEngine - ADAudit Plusドメインログオン(失敗)レポート、GPOの変更レポート、グループへのユーザー移動情報レポート機能 |
| DNSサーバーのログ監査 | DNSレコードに悪意ある変更が行われていないかを監視 | DNS変更レポート機能 |
| ||
【ログ監査サービスについて】
ManageEngineでは、ログ/IDの管理を効率化できるソフトウェア提供と共に、これらを活用してリーズナブルな価格帯でログ監査を外部委託できる「ログ監査サービス」の紹介を行っています。
【注釈&参考情報】
(※1)Active Directoryのドメイン管理者アカウントの不正使用に関する注意喚起(JPCERT/CC)
(※2)高度サイバー攻撃への対処におけるログの活用と分析方法(JPCERT/CC)
【内部対策コンテンツ一覧】