Active Directory セキュリティ

English -> Visit BeyondTrust Original Page

Active Directory とは何ですか?

Active Directory (AD) は、IT 管理者がユーザー、アプリケーション、データ、および組織のネットワークのさまざまな側面を管理できるようにする Microsoft Windows ディレクトリ サービスです。Active Directory のセキュリティは、ユーザーの資格情報、会社のシステム、機密データ、ソフトウェア アプリケーションなどを不正アクセスから保護するために不可欠です。AD のセキュリティが侵害されると、ID 管理インフラストラクチャの整合性が損なわれ、壊滅的なレベルのデータ漏洩やシステムの破損/破壊につながる可能性があります。

Active Directory システムのセキュリティを確保することの重要性

AD は組織全体のユーザー、アクセス、アプリケーションの承認の中心となるため、攻撃者にとって主要なターゲットとなります。サイバー攻撃者が AD システムにアクセスできる場合、接続されたすべてのユーザー アカウント、データベース、アプリケーション、およびあらゆる種類の情報にアクセスできる可能性があります。したがって、Active Directory の侵害は、特に早期に発見されなかった場合、広範囲にわたる影響を及ぼし、回復が困難になる可能性があります。

Active Directory システムへの脅威

Active Directory システムが脅威の影響を受ける可能性があるいくつかの重要な領域について詳しく見ていきましょう。

  • デフォルトのセキュリティ設定
    AD には、Microsoft によって作成された、事前に決定された一連の既定のセキュリティ設定があります。これらのセキュリティ設定は、組織のニーズに最適ではない可能性があります。さらに、これらの既定のセキュリティ設定はハッカーによく知られており、ハッカーはギャップや脆弱性を悪用しようとします。
  • 不適切な管理ユーザーと特権アクセス
    ドメイン ユーザー アカウントおよびその他の管理ユーザーには、AD への完全な特権アクセスが与えられている場合があります。IT 部門の従業員であっても、ほとんどの従業員には高レベルの権限やスーパーユーザー権限は必要ないでしょう。
  • 役割と従業員に対する不適切または広範なアクセス
    AD を使用すると、管理者は従業員の役割に基づいて特定のアプリケーションとデータへのアクセスを許可できます。役割はアクセス レベルを決定するグループに割り当てられます。個人と役割に、職務を遂行するために必要なアクセス レベルのみを許可することが重要です。
  • 管理者アカウントのパスワードは複雑でない
    AD サービスに対するブルート フォース攻撃は、多くの場合、パスワードをターゲットにします。複雑でないパスワードや簡単に推測できるパスワードが最も危険にさらされます。
  • AD サーバー上の未修正の脆弱性
    ハッカーは、AD サーバー上のパッチが適用されていないアプリケーション、OS、ファームウェアをすぐに悪用し、環境内で重要な最初の足掛かりを得ることができます。
  • 不正アクセスの試みの可視性と報告の欠如
    IT 管理者が不正アクセスの試みを認識していれば、将来的にそのようなアクセスの試みをより効果的に阻止または防止することができます。したがって、正当なアクセスの試みと悪意のあるアクセスの試みの両方を識別し、AD に加えられた変更を検出するには、明確な Windows 監査証跡が不可欠です。

Active Directory セキュリティのベスト プラクティス

Active Directory の総合的なセキュリティを確保するために、IT 部門が実装すべきベスト プラクティスは少なくとも 7 つあります。これには少なくとも次のものが含まれます。

  • デフォルトのセキュリティ設定の確認と修正
    AD をインストールした後は、セキュリティ構成を確認し、ビジネス ニーズに合わせて更新することが重要です。
  • AD ロールとグループに最小権限の原則を実装する
    組織内のすべての従業員の役割について、データとアプリケーションに必要なすべての権限を確認します。従業員が職務を遂行するために必要な最小限のアクセス レベルのみを持つようにします。また、権限の分離を確実に行い、役割間の監査可能性を高め、アカウントが侵害された場合に横方向の移動を防止します。強力な特権アクセス管理 (PAM) ポリシーとセキュリティ制御を適用します。
  • 強力なAD管理権限を実装し、ドメインユーザーアカウントを制限する
    すべての IT スタッフの責任を慎重に見直し、役割を遂行するために絶対にアクセスが必要なスタッフにのみ、管理者権限とスーパーユーザー アクセスを付与します。PowerShell Just Enough Administration (JEA) や PAM ソリューションを使用して、このアクセスが可能な限りきめ細かく制限されていることを確認します。これらのアカウントが堅牢なパスワードで適切に保護されていることを確認します。
  • リアルタイムのWindows監査とアラートを使用する
    異常なアクセス試行の報告を実施します。組織の内部または外部からのアクセスについて、完全な Windows 監査と警告を提供します。Windows AD 変更監査には特に注意してください。これは、PCI、SOX、HIPAA などのコンプライアンス要件を満たすのにも役立ちます。
  • アクティブなバックアップとリカバリを確実に
    AD 構成とディレクトリを定期的にバックアップします。AD 整合性が侵害された場合に迅速に回復できるように、災害復旧プロセスを実践します。
  • すべての脆弱性を定期的に修正する
    脆弱性を特定して修正することは、IT 部門の最も重要なタスクの 1 つです。AD やその他の欠陥に対する修正とメンテナンスのプロセスを迅速かつ効率的かつ効果的に実行できるようにします。
  • 一元化と自動化
    すべてのレビュー、レポート、コントロール、管理を 1 か所に一元化し、アラートを発して問題の解決を支援する自動ワークフローを提供できるツールを探します。

AD の脆弱性を理解し、セキュリティと最小権限のアクセス制御を実装することは、ドメイン アカウントを保護し、IT エコシステムを安全に保つために不可欠です。適切な可視性、管理、レポート、監査機能により、AD のセキュリティを大幅に強化し、システムの整合性を確保できます。

ADセキュリティ関連製品

Password Safe

Password Safeを利用することによりADアカウントの認証情報を定期的に更新することが可能になります。

合わせて利用者にはシングルサインオンの機能により、利用者にパスワード情報をしることなく利用することが可能になります。

Password Safe
Password Safeは、特権アカウントのパスワード、アカウント、キー、シークレット、セッションを管理します。ビジネス アプリケーションの一般ユーザーのパスワードの管理も行います。

Privileged Remote Access

Privileged Remote Access はインターネットのどこからでも管理サーバーにアクセスでき、社内だけでなく外部にある協力企業のメンバーのチームの複数人が同じ画面をみて協力してみることができるようになります。

加えてADアカウントの定期的なパスワード更新にも対応しております。またPassword Safeと組み合わせることも可能です。

Privileged Remote Access
BeyondTrust Privileged Remote Access(PRA)は、社外からインターネット越しに特権アカウントを使用して対象となるサーバーなどにアクセスができるようになります。