Active Directoryのセキュリティは、よくIT城の鍵を制御する方法と表現されます。この比喩にはメリットもありますが、重要な限界もあります。Active Directoryは門番として機能し、ネットワークに入るためのどの鍵を誰が持っているのか、それらの鍵はそれぞれ、どのデータおよびその他のリソースを解錠できるのかを決定します。しかし、石造りの建物とは異なり、IT環境は極めて動的な場所です。ユーザは絶えず現れては消えていき、従業員は新しい役割を引き受けます。追加される新しいアプリケーションもあれば、廃止されるアプリケーションもあります。そのため、Active Directoryのセキュリティは、城の鍵を変更するような一度きりのイベントではなく、継続的なプロセスです。
Active Directoryをセキュリティで保護するためのヒントについて、以下をお読みください。
Active Directoryのセキュリティは規制コンプライアンスに密接に関連していますが、この2つは同じではないことを理解することが重要です。多くのコンプライアンス規制には、ADのセキュリティポリシーと手順に直接影響する要件が含まれますが、これらの義務は、オフィスビルへの物理的な入場、従業員のトレーニング、役員の説明責任など、他の多くの分野にも及ぶことがよくあります。一方、ADの包括的なセキュリティは、単に1つ以上の規制へのコンプライアンスを達成することだけではありません。
Active Directoryのセキュリティは、GDPR、CCPA、HIPAA、SOX、PCI-DSSなど、数多くのコンプライアンス規制の根幹です。Active Directoryをセキュリティで適切に保護しないと、規制当局からの高額の罰金、役員の懲役刑、クレジットカード取引の処理不能、顧客の信頼の喪失など、さまざまな不快な結果を招くことになります。
Active Directoryのセキュリティリスクは、3つの重要要素に対する洞察と制御が欠如していることから発生します。つまり、誰がネットワークに入るのか、中に入ったら何をすることが許可されるのか、そして実際にどのようなアクティビティが行われるのかについてです。これらのセキュリティリスクの中には、インサイダー脅威、スピアフィッシング、権限昇格、ラテラルムーブメントなど、具体的な名前が付いているものもあります。しかしながら、ADのセキュリティリスクに対処する最善の方法は、それぞれ個別に戦わないことです。このような手当たり次第の手法は、コストを押し上げ、ITシステムがさらに複雑になるだけであり、問題を解決するどころか、悪化させます。
そうではなく、最善の戦略は、Active Directoryをクリーンアップして整然とした状態を保ち、IT環境全体のアクティビティを明確に可視化することです。ネイティブツールには必要な機能のごく一部が用意されているだけで、使用するには膨大な時間と労力が必要です。そのため、賢明なのは、強力なActive Directoryセキュリティに必要なコアプロセスを自動化および簡素化する包括的なソリューションに投資することです。
Active Directoryのセキュリティに関する最も重要なベストプラクティスの1つは、IT環境の状態を定期的に見直し、セキュリティとコンプライアンスの潜在的な問題を予期することです。特に、Windowsエンドポイント、ドメインコントローラー、およびその他のシステムの構成設定を既知の良好な状態と定期的に比較して、意図しない傾向や悪意のある変更が見つかれば速やかに修正する必要があります。
ユーザとコンピューターに標準設定を適用するために使用されるグループポリシーも必ず定期的に見直します。グループポリシーは、幅広いアクティビティを制御するために使用できます。例えば、ユーザのコントロールパネルへのアクセス、コマンドプロンプトの使用、ソフトウェアのインストールを禁止できます。グループ・ポリシー・オブジェクト(GPO)に不適切な変更を1つ加えただけで、故意であるか偶然であるかにかかわらず、大きな損害を引き起こす可能性があります。例えば、ユーザが突然USBドライブを挿入できるようになると、ランサムウェアやその他のマルウェアがシステムにリリースされる可能性があります。そのため、GPOが意図したとおりに機能し、不適切あるいは不正な変更があった場合には素早く発見して元に戻すことができるようにする必要があります。
さらに、Windows Serverオペレーティングシステムおよびその他のソフトウェアに最新のパッチが適用されていること、ベンダーが完全にサポートしているバージョンのみが使用されていることを確認します。
ITセキュリティで最も根本的なベストプラクティスはおそらく、最小特権の原則でしょう。ユーザが仕事を行うのに必要なアクセス権を、必要以上でも必要以下でもなく、ちょうど必要なだけ各ユーザに付与します。ADを使用すると、同様の役割を持つユーザ(すべてのヘルプデスク管理者やすべてのHRスタッフなど)を1つのADセキュリティグループに入れて、一緒に管理することができます。ユーザをプロジェクトベースのグループなど、複数のADグループのメンバーに設定できます。また、通常その状態になっています。
ADセキュリティグループの使用は、管理者にとってただ単に便利なだけではありません。プロビジョニングとプロビジョニング解除におけるエラーを減らし、権限構造の複雑さを最小限に抑えることで、セキュリティを向上させ、誰が何にアクセスできるかを確信を持って容易に判断できるようになります。詳細はこちらをご覧ください。
どんなに優れた予防策を講じても、サイバーセキュリティインシデントは発生します。そのため、インシデントを迅速に調査し、適切に対応できるように準備する必要があります。侵害がどこで発生したのか、どのように起きたのか、正確にどのシステムとデータが関係しているのかを迅速に特定できる必要があります。そうすることで、個人の行動に責任を持たせ、今後同様のインシデントが発生しないようにするための対策を講じることができます。
前述したように、最小特権の原則は、ITセキュリティの最も基本的なベストプラクティスです。ユーザの権限を各リソースに個別に手動で割り当て、現れては消えていくユーザや、組織内での役割の変更に応じて、権限を最新の状態に維持しなければならないとしたら、あっという間に手に負えなくなり、組織はデータ漏洩やコンプライアンス違反のリスクが高くなるでしょう。
ADセキュリティグループを作成し、同様のユーザの権限を一緒に管理できると、負荷が軽減されます。ユーザをプロジェクトベースのグループなど、複数のADグループのメンバーに設定できます。また、通常その状態になっています。例えば、新しい営業マネージャが任命されたら、営業と営業マネージャの両方のセキュリティグループに追加するだけで、適切なすべてのリソースにアクセスできるようになります。同様に、すべての営業担当者がアクセスする必要がある新しいフォルダまたはファイル共有が存在する場合は、営業グループにアクセス権を付与するだけでよく、個々のユーザアカウントに1つずつ追加する必要がありません。逆に、あるユーザが営業職から組織内の別の地位に移動する場合は、そのユーザを営業グループから削除するだけで、すべての営業リソースへのアクセス権を素早く削除できます。そのユーザが使用権限を持つ各リソースを苦労して確認し、そのアクセス権がまだ正当であるかどうかを判断する必要はありません。
ADセキュリティグループの使用は、管理者にとってただ単に便利なだけではありません。プロビジョニングとプロビジョニング解除におけるエラーを減らし、権限構造の複雑さを最小限に抑えることで、セキュリティを向上させ、誰が何にアクセスできるかを確信を持って容易に判断できるようになります。
特に懸念されるのは、非常に強力なEnterprise Admins、Domain Admins、Schema Adminsグループなどの管理者レベルの権限を付与するActive Directoryセキュリティグループと、Windowsのインストール時に作成され、ローカルコンピューター上のファイル、ディレクトリ、サービスなどのリソースを完全に制御する、ローカルのAdministratorアカウントです。組織は、これらの特権アクセスグループのメンバーを厳密に制御し、メンバーシップの変更に注意する必要があります。攻撃者または悪意のある内部関係者が自分の権限を昇格させ、追加のシステムやデータへのアクセス権を得ようとしていることを示している可能性があるからです。
サービスアカウントは、アプリケーションとサービスがIT環境でログオンを使用してアクションを実行する特別なユーザアカウントです。残念ながら、サービスアカウントには、実際に必要とされる権限よりもはるかに多くの権限が付与されていることが多く、セキュリティリスクを高めています。オーバープロビジョニングのよくある理由には、アプリケーションベンダーが指定した要件をそのまま受け入れる、運用上の課題を適切に対処できない、適切な権限セットを使用して時間をかけて新しいサービスを作成せずに、単に既存のサービスのクローンを作成することなどがあります。
ベストプラクティスは、もちろん、すべてのサービスアカウントが最小特権の原則に準拠するように保証することです。また、サービスアカウントに管理者権限が必要な場合は必ず、特別な注意を払う必要があります。サービスアカウントを、ローカルのAdministratorグループやDomain Adminsグループなど、標準の管理者グループのメンバーにしてはいけません。サービスをLocalSystemアカウントで実行するか、サービスアカウント用のカスタムグループを作成し、そのグループの他のアカウントへのアクセスを明示的に拒否することをお勧めします。さらに、可能な限り、1日の特定の時間帯にのみログオンできるようにサービスアカウントを設定するのが賢明です。
Active Directoryは現代のビジネスで成功するための中核を成します。Active Directoryの最も重要な領域におけるベストプラクティスの詳細については、次のページも参考にしてください。
Learn how to prioritize Office 365 & Azure AD security for your remote workforce in this TEC Talk presented by Microsoft Certified Master, Sean Metcalf.
ビデオを観るHank the Hacker is back and he's ready to attack your Active Directory (AD) environment, whether on-premises or in the cloud. Worse yet, this time he brought friends. With Disgruntled Dan and Careless Craig, he has even more leverage to take control. That's why it's so important to get protected.
Read this informative e-book, Nine Best Practices for AD Security, and discover what you can do to protect your environment from insider threats. Explore:
Password spraying, credential stuffing, brute force attacks—the similarities extend beyond their names. Learn how they work and how to prevent them.
Do I need to migrate SID History from source to target environment in an AD migration? Read about pros and cons, including product risk and security risk.
Active Directory security groups play a critical role in controlling access to your vital systems and data. Learn how they work.
Active Directory auditing is essential because without it, organizations are at increased risk. Learn why it’s so critical and how to enable it.
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.
Active Directory migration in a hurry? Bad idea. Migration is a perfect time to examine identity, groups, apps, data and devices. Learn how to do it right.
