Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

Active Directoryセキュリティ

ADをセキュリティで保護し、コンプライアンスを維持するためのベストプラクティス。

Current state of AD security 03:01

ADセキュリティの現在の状態

Active Directoryのセキュリティは、よくIT城の鍵を制御する方法と表現されます。この比喩にはメリットもありますが、重要な限界もあります。Active Directoryは門番として機能し、ネットワークに入るためのどの鍵を誰が持っているのか、それらの鍵はそれぞれ、どのデータおよびその他のリソースを解錠できるのかを決定します。しかし、石造りの建物とは異なり、IT環境は極めて動的な場所です。ユーザは絶えず現れては消えていき、従業員は新しい役割を引き受けます。追加される新しいアプリケーションもあれば、廃止されるアプリケーションもあります。そのため、Active Directoryのセキュリティは、城の鍵を変更するような一度きりのイベントではなく、継続的なプロセスです。

Active Directoryをセキュリティで保護するためのヒントについて、以下をお読みください。

バランスを取る

バランスを取る

バランスを取る

Active Directoryのセキュリティは、慎重にバランスを取る行為です。城の比喩で言えば、王や女王は臣民に対してどのようなセキュリティ対策でも思いのまま義務付けることができますが、IT専門家はビジネスニーズにしっかりと留意しなければなりません。セキュリティ対策に手間がかかりすぎると、重要なビジネスプロセスが滞り、有能な人材が流出してしまうからです。例えば、適切な人だけが各人の医療データにアクセスできるようにすることは極めて重要ですが、医療チームが患者の診断と処方箋を時間内に確認して適切な治療を提供できるようにすることも同様に不可欠です。さらに、セキュリティ対策があまりにも不便だと感じると、ユーザは回避方法を見つけるものです。複雑なパスワードを作成して30日ごとに変更しなければならないように要求されると、机の上にすぐに大量の付箋が貼られるようになります。不正なアクセスからアカウントを保護するという目的が損なわれてしまうのです。

セキュリティ対コンプライアンス

セキュリティ対コンプライアンス

セキュリティ対コンプライアンス

Active Directoryのセキュリティは規制コンプライアンスに密接に関連していますが、この2つは同じではないことを理解することが重要です。多くのコンプライアンス規制には、ADのセキュリティポリシーと手順に直接影響する要件が含まれますが、これらの義務は、オフィスビルへの物理的な入場、従業員のトレーニング、役員の説明責任など、他の多くの分野にも及ぶことがよくあります。一方、ADの包括的なセキュリティは、単に1つ以上の規制へのコンプライアンスを達成することだけではありません。

Active Directoryのセキュリティは、GDPR、CCPA、HIPAA、SOX、PCI-DSSなど、数多くのコンプライアンス規制の根幹です。Active Directoryをセキュリティで適切に保護しないと、規制当局からの高額の罰金、役員の懲役刑、クレジットカード取引の処理不能、顧客の信頼の喪失など、さまざまな不快な結果を招くことになります。

セキュリティの重要な役割

セキュリティの重要な役割

セキュリティの重要な役割

Active DirectoryはITインフラストラクチャで非常に重要な役割を果たしているため、ADのセキュリティ確保は最優先事項にする必要があります。誰がネットワークにアクセスできるのか、アクセスしたら何ができるのかを文字通り制御します。ADの強力なセキュリティの実装と維持に失敗すると、故意または偶然のいずれかで、使用できてはいけないデータやアプリケーションにユーザがアクセスするリスクが劇的に高まります。また、攻撃者やマルウェアがユーザのアカウントや、さらに悪い場合は管理者のアカウントを乗っ取って、機密データを盗む、暗号化して身代金を要求する、あるいはITシステムを造作なく破壊する危険性が高まります。Active Directoryへの攻撃が1回成功しただけで、組織に長期的な損害を与えたり、場合によっては完全に廃業に追い込んだりする可能性もあるのです。

一般的なセキュリティリスク

一般的なセキュリティリスク

一般的なセキュリティリスク

Active Directoryのセキュリティリスクは、3つの重要要素に対する洞察と制御が欠如していることから発生します。つまり、誰がネットワークに入るのか、中に入ったら何をすることが許可されるのか、そして実際にどのようなアクティビティが行われるのかについてです。これらのセキュリティリスクの中には、インサイダー脅威、スピアフィッシング、権限昇格、ラテラルムーブメントなど、具体的な名前が付いているものもあります。しかしながら、ADのセキュリティリスクに対処する最善の方法は、それぞれ個別に戦わないことです。このような手当たり次第の手法は、コストを押し上げ、ITシステムがさらに複雑になるだけであり、問題を解決するどころか、悪化させます。

そうではなく、最善の戦略は、Active Directoryをクリーンアップして整然とした状態を保ち、IT環境全体のアクティビティを明確に可視化することです。ネイティブツールには必要な機能のごく一部が用意されているだけで、使用するには膨大な時間と労力が必要です。そのため、賢明なのは、強力なActive Directoryセキュリティに必要なコアプロセスを自動化および簡素化する包括的なソリューションに投資することです。

Active Directoryのベストプラクティス

Active Directoryは長い間使用されているため、ADのセキュリティとコンプライアンスを劇的に強化することが証明されているベストプラクティスをすぐに利用できます。以下のベストプラクティスを実践することで、ITデータとシステムに対するリスクを最小限に抑えるという目標、そして組織の将来の成功に向かって進むことができるようになります。

定期的な評価

定期的な評価

定期的な評価

Active Directoryのセキュリティに関する最も重要なベストプラクティスの1つは、IT環境の状態を定期的に見直し、セキュリティとコンプライアンスの潜在的な問題を予期することです。特に、Windowsエンドポイント、ドメインコントローラー、およびその他のシステムの構成設定を既知の良好な状態と定期的に比較して、意図しない傾向や悪意のある変更が見つかれば速やかに修正する必要があります。

ユーザとコンピューターに標準設定を適用するために使用されるグループポリシーも必ず定期的に見直します。グループポリシーは、幅広いアクティビティを制御するために使用できます。例えば、ユーザのコントロールパネルへのアクセス、コマンドプロンプトの使用、ソフトウェアのインストールを禁止できます。グループ・ポリシー・オブジェクト(GPO)に不適切な変更を1つ加えただけで、故意であるか偶然であるかにかかわらず、大きな損害を引き起こす可能性があります。例えば、ユーザが突然USBドライブを挿入できるようになると、ランサムウェアやその他のマルウェアがシステムにリリースされる可能性があります。そのため、GPOが意図したとおりに機能し、不適切あるいは不正な変更があった場合には素早く発見して元に戻すことができるようにする必要があります。

さらに、Windows Serverオペレーティングシステムおよびその他のソフトウェアに最新のパッチが適用されていること、ベンダーが完全にサポートしているバージョンのみが使用されていることを確認します。

権限を最小限に抑える

権限を最小限に抑える

権限を最小限に抑える

ITセキュリティで最も根本的なベストプラクティスはおそらく、最小特権の原則でしょう。ユーザが仕事を行うのに必要なアクセス権を、必要以上でも必要以下でもなく、ちょうど必要なだけ各ユーザに付与します。ADを使用すると、同様の役割を持つユーザ(すべてのヘルプデスク管理者やすべてのHRスタッフなど)を1つのADセキュリティグループに入れて、一緒に管理することができます。ユーザをプロジェクトベースのグループなど、複数のADグループのメンバーに設定できます。また、通常その状態になっています。

ADセキュリティグループの使用は、管理者にとってただ単に便利なだけではありません。プロビジョニングとプロビジョニング解除におけるエラーを減らし、権限構造の複雑さを最小限に抑えることで、セキュリティを向上させ、誰が何にアクセスできるかを確信を持って容易に判断できるようになります。詳細はこちらをご覧ください。

セキュリティインシデントを調査する

セキュリティインシデントを調査する

セキュリティインシデントを調査する

どんなに優れた予防策を講じても、サイバーセキュリティインシデントは発生します。そのため、インシデントを迅速に調査し、適切に対応できるように準備する必要があります。侵害がどこで発生したのか、どのように起きたのか、正確にどのシステムとデータが関係しているのかを迅速に特定できる必要があります。そうすることで、個人の行動に責任を持たせ、今後同様のインシデントが発生しないようにするための対策を講じることができます。

権限を管理および監視する

Active Directoryは長い間使用されているため、ADのセキュリティとコンプライアンスを劇的に強化することが証明されているベストプラクティスをすぐに利用できます。以下のベストプラクティスを実践することで、ITデータとシステムに対するリスクを最小限に抑えるという目標、そして組織の将来の成功に向かって進むことができるようになります。

ユーザとグループの権限を管理する

ユーザとグループの権限を管理する

ユーザとグループの権限を管理する

前述したように、最小特権の原則は、ITセキュリティの最も基本的なベストプラクティスです。ユーザの権限を各リソースに個別に手動で割り当て、現れては消えていくユーザや、組織内での役割の変更に応じて、権限を最新の状態に維持しなければならないとしたら、あっという間に手に負えなくなり、組織はデータ漏洩やコンプライアンス違反のリスクが高くなるでしょう。

ADセキュリティグループを作成し、同様のユーザの権限を一緒に管理できると、負荷が軽減されます。ユーザをプロジェクトベースのグループなど、複数のADグループのメンバーに設定できます。また、通常その状態になっています。例えば、新しい営業マネージャが任命されたら、営業と営業マネージャの両方のセキュリティグループに追加するだけで、適切なすべてのリソースにアクセスできるようになります。同様に、すべての営業担当者がアクセスする必要がある新しいフォルダまたはファイル共有が存在する場合は、営業グループにアクセス権を付与するだけでよく、個々のユーザアカウントに1つずつ追加する必要がありません。逆に、あるユーザが営業職から組織内の別の地位に移動する場合は、そのユーザを営業グループから削除するだけで、すべての営業リソースへのアクセス権を素早く削除できます。そのユーザが使用権限を持つ各リソースを苦労して確認し、そのアクセス権がまだ正当であるかどうかを判断する必要はありません。

管理者権限を制御する

管理者権限を制御する

管理者権限を制御する

ADセキュリティグループの使用は、管理者にとってただ単に便利なだけではありません。プロビジョニングとプロビジョニング解除におけるエラーを減らし、権限構造の複雑さを最小限に抑えることで、セキュリティを向上させ、誰が何にアクセスできるかを確信を持って容易に判断できるようになります。

特に懸念されるのは、非常に強力なEnterprise Admins、Domain Admins、Schema Adminsグループなどの管理者レベルの権限を付与するActive Directoryセキュリティグループと、Windowsのインストール時に作成され、ローカルコンピューター上のファイル、ディレクトリ、サービスなどのリソースを完全に制御する、ローカルのAdministratorアカウントです。組織は、これらの特権アクセスグループのメンバーを厳密に制御し、メンバーシップの変更に注意する必要があります。攻撃者または悪意のある内部関係者が自分の権限を昇格させ、追加のシステムやデータへのアクセス権を得ようとしていることを示している可能性があるからです。

サービスアカウント��権限

サービスアカウントの権限

サービスアカウントの権限

サービスアカウントは、アプリケーションとサービスがIT環境でログオンを使用してアクションを実行する特別なユーザアカウントです。残念ながら、サービスアカウントには、実際に必要とされる権限よりもはるかに多くの権限が付与されていることが多く、セキュリティリスクを高めています。オーバープロビジョニングのよくある理由には、アプリケーションベンダーが指定した要件をそのまま受け入れる、運用上の課題を適切に対処できない、適切な権限セットを使用して時間をかけて新しいサービスを作成せずに、単に既存のサービスのクローンを作成することなどがあります。

ベストプラクティスは、もちろん、すべてのサービスアカウントが最小特権の原則に準拠するように保証することです。また、サービスアカウントに管理者権限が必要な場合は必ず、特別な注意を払う必要があります。サービスアカウントを、ローカルのAdministratorグループやDomain Adminsグループなど、標準の管理者グループのメンバーにしてはいけません。サービスをLocalSystemアカウントで実行するか、サービスアカウント用のカスタムグループを作成し、そのグループの他のアカウントへのアクセスを明示的に拒否することをお勧めします。さらに、可能な限り、1日の特定の時間帯にのみログオンできるようにサービスアカウントを設定するのが賢明です。

AD環境のサポートを受けるには

AD環境のサポートを受けるには

Questは、Active Directoryソリューションの熟練のベンダーです。AD環境における管理、セキュリティ保護、移行、およびレポート作成により、ビジネスを推進するお手伝いをします。さらに詳しい情報は、以下をご覧ください。

リソース

Nine Best Practices to Improve Active Directory Security and Cyber Resilience
電子書籍
Nine Best Practices to Improve Active Directory Security and Cyber Resilience
Nine Best Practices to Improve Active Directory Security and Cyber Resilience
This ebook explores the anatomy of an AD insider threat and details the best defense strategies against it.
電子書籍を読む
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
ホワイトペーパー
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
Smart companies are adopting NIST Cybersecurity and Microsoft’s ESAE (“Red Forest”) as models for protecting credentials, particularly those that reside in Active Directory. Download your complimentary copy of this white paper today to learn more.
ホワイトペーパーを読む
Enhancing Active Directory Security and Lateral Movement Security
電子書籍
Enhancing Active Directory Security and Lateral Movement Security
Enhancing Active Directory Security and Lateral Movement Security
Limit lateral movement by attackers inside your network with these best practices and Quest solutions.
電子書籍を読む
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
ホワイトペーパー
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
NIST cybersecurity framework enables organizations to create a secure environment. Learn how to apply this framework to your AD and Microsoft environment.
ホワイトペーパーを読む

ビデオ

TEC TALK - Office 365 & Azure Active Directory Security | Quest
TEC TALK - Office 365 & Azure Active Directory Security | Quest

01:03:26

ビデオ
TEC TALK - Office 365 & Azure Active Directory Security | Quest

Learn how to prioritize Office 365 & Azure AD security for your remote workforce in this TEC Talk presented by Microsoft Certified Master, Sean Metcalf.

ビデオを観る
TEC Talk: Hardening Privileged Access
TEC Talk: Hardening Privileged Access

01:06:36

ビデオ
TEC Talk: Hardening Privileged Access
Learn steps you can take to secure privileged Active Directory access.
ビデオを観る
Current state of AD security
Current state of AD security

03:01

ビデオ
Current state of AD security
Join Sean Metcalf, Microsoft Certified Master, as he discusses what organizations are seeing and missing when it comes to Active Directory security.
ビデオを観る
Recovering from an AD security breach or disaster
Recovering from an AD security breach or disaster

04:15

ビデオ
Recovering from an AD security breach or disaster
Join experts Sean Metcalf and Brian Desmond as they discuss the best practices for quickly dealing with and recovering from AD security breaches.
ビデオを観る
Common AD security pitfalls
Common AD security pitfalls

03:21

ビデオ
Common AD security pitfalls
Join Sean Metcalf, Microsoft Certified Master, as he discusses the most common mistakes organizations make when it comes to Active Directory security.
ビデオを観る
Is your AD environment safe from the dark side?
Is your AD environment safe from the dark side?

03:10

ビデオ
Is your AD environment safe from the dark side?
See how Quest Software and One Identity can protect your organization from Hank the Hacker and other forces poised to steal AD-controlled credentials and your valuable data.
ビデオを観る
Prepare for destructive AD cyber-attacks
Prepare for destructive AD cyber-attacks

10:59

ビデオ
Prepare for destructive AD cyber-attacks
Learn how you can prepare for – and recover from – a destructive attack on your Active Directory.
ビデオを観る
How to reduce AD security risks and insider threats
How to reduce AD security risks and insider threats

01:32

ビデオ
How to reduce AD security risks and insider threats

Hank the Hacker is back and he's ready to attack your Active Directory (AD) environment, whether on-premises or in the cloud. Worse yet, this time he brought friends. With Disgruntled Dan and Careless Craig, he has even more leverage to take control. That's why it's so important to get protected.

Read this informative e-book, Nine Best Practices for AD Security, and discover what you can do to protect your environment from insider threats. Explore:

  • Why attackers target AD and how the growing popularity of Office 365 increases the threat
  • What an AD security breach means to the organization
  • Why it is difficult to secure Active Directory using native auditing alone
  • How a typical insider threat unfolds and how to identify common insider threat indicators
  • How following nine critical security best practices will help you minimize the risk of the internal threats to the availability, confidentiality and integrity of your AD

ビデオを観る

ブログ

What is multifactor authentication (MFA) and what are the benefits of using it?

What is multifactor authentication (MFA) and what are the benefits of using it?

What exactly is multifactor authentication (MFA)? Learn what it is, the different technologies available to implement it, and the pros and cons of each.

Strengthening Active Directory security: 3 best practices for implementing a Zero Trust model

Strengthening Active Directory security: 3 best practices for implementing a Zero Trust model

Learn how to implement a Zero Trust model in on-premises or hybrid Active Directory environments to dramatically strengthen Active Directory security.

What is Active Directory Domain Services and how do I protect domain controllers?

What is Active Directory Domain Services and how do I protect domain controllers?

What is Active Directory Domain Services? Is it different from Active Directory? We explain it all and share best practices to protect domain controllers.

Golden ticket attacks: How they work — and how to defend against them

Golden ticket attacks: How they work — and how to defend against them

Golden Ticket attacks have a playful name but are a serious threat to Active Directory environments. Learn how they work and how to defend against them.

Zero trust: What it is, why you need it, and how to get started

Zero trust: What it is, why you need it, and how to get started

Everyone’s talking about Zero Trust security. Learn what it is, the benefits and downsides, and steps your organization can take to get started.

10 Microsoft service account best practices

10 Microsoft service account best practices

Microsoft service accounts are a critical part of your Windows ecosystem. Learn what they are and 10 best practices for managing them efficiently.

今すぐ開始する

Active Directory環境のセキュリティを保護するための頼りになるベンダーです。