組織内のIT資産を効率的に運用するためには、ネットワーク上のリソースを一元管理する仕組みが欠かせません。そこで重要な役割を担うのが「Active Directory」です。本記事ではActive Directoryの概要や代表的な機能を紹介するとともに、懸念されるセキュリティリスクとその対策について解説します。
Active Directoryとは?
Active Directoryとは、サーバやクライアント端末、アプリケーション、ユーザー情報などに関するネットワークリソースを一元的に管理するディレクトリサービスです。Microsoft社が2000年2月にリリースしたWindows 2000 Serverで初めて実装された機能であり、それ以降はWindows Serverの標準機能となっています。
Active Directoryが登場する前は、多くの企業がWindows NTのディレクトリサービスを利用してネットワークリソースを管理していました。しかしWindows NTのディレクトリサービスはドメインの階層構造を作成できず、ひとつのドメインで管理できる容量も少ないため、大規模なネットワーク環境での運用に適していませんでした。
そこで「ドメインツリー」や「フォレスト」と呼ばれる階層管理の概念を導入し、大規模なドメインをサポートできるディレクトリサービスとして登場したのがActive Directoryです。Windows NTのディレクトリサービスと比較してスケーラビリティが大幅に向上しており、Active Directoryは組織規模の大きな企業を中心として急速に普及していきました。
Active Directoryの代表的な機能
Active Directoryは以下の機能によってネットワークリソースを一元管理し、業務の効率性やセキュリティの安全性を高めます。
ユーザーIDやパスワードの一元管理
ファイルサーバーやクライアント端末などにアクセスする場合、セキュリティを担保するためにIDやパスワードによる認証を実行するのが一般的です。Active Directoryはユーザー情報を一元的に管理できるため、システムやデバイスごとの個別認証が不要になり、一つのユーザーで複数のコンピュータにアクセスすることもできます。また、統一されたパスワードポリシーに基づいてユーザー情報を管理して、不正なアクセスや情報の流出を防止できる点も大きなメリットです。
ユーザーのアクセス権限の設定・管理
セキュリティインシデントを防止するためには、マルウェアや不正アクセスへの対策も重要ですが、内部の人間による意図的な情報漏洩を防止する仕組みも必要です。Active Directoryにはアクセス権限を設定・管理する機能が搭載されており、ドメイン内の情報にアクセスする権限を制御できます。部門や役職、あるいは個人によってファイルの閲覧・編集やデバイスへのアクセス権限を柔軟に設定できるため、内部不正によるセキュリティインシデントを防止する一助となります。
機器やソフトウェアの管理
Active Directoryはユーザーやアクセス権限のみならず、クライアント端末やアプリケーションに対するネットワークリソースを管理できます。たとえばクライアント端末からUSBメモリやSDカードへの書き込みを一元的に禁止するといった設定が可能です。それによってデータやファイルの持ち出しを防止できるため、内部不正によるセキュリティリスクを抑えられます。また、Active Directoryを介してツールのドライバを一斉配布するといった使い方も可能です。
Active Directory上の操作ログの閲覧・管理
Active DirectoryはIISマネージャーから、ログオン時の認証や操作などのログを取得できる機能が搭載されています。操作ログを閲覧・管理する機能により、不正アクセスやサイバー攻撃を受けた際の手がかりを得られる可能性が高まります。ただし閲覧・管理できるのはActive Directoryに関連するサーバの操作ログのみで、個別の端末内で完結している操作ログを解析するためには特定のソフトウェアやアプリケーションが必要です。
ADサーバが攻撃を受けたときに考えられるリスク
近年、デジタル技術の進展とともにマルウェアや不正アクセスの手口も巧妙化しており、Active Directoryを狙った標的型攻撃の被害に遭う企業が少なくありません。Active Directoryのドメイン管理者権限を取得したユーザーは、そのドメイン下にあるネットワークリソースを自由にコントロールできます。そのため、Active Directoryに関連するサーバが標的になった場合、デバイスやアプリケーションの認証情報が窃取されるとともに、社内LANへの侵入や機密情報の窃取、マルウェア感染の踏み台として利用されるリスクが懸念されます。
Active Directoryのセキュリティリスク対策法
セキュリティリスクへの一般的な対策としては、セキュリティパッチを定期的に適用する、アクセス権限の範囲とレベルを最小限にする、パスワードの強度を上げるといった方法があります。しかし、不正アクセスやマルウェアの手口は年々巧妙化しており、こうした一般的な対策だけではセキュリティインシデントそのものを完全に防止するのは困難です。とくに正規アカウントを悪用する攻撃や悪用されたアカウントの特定などは従来のネットワーク監視では検出が難しいため、セキュリティリスクを抑えるためにはログ調査による早期検出が極めて重要です。Windowsでは認証ログがイベントログとして記録されるため、Active Directoryのログを確認することでアカウントの悪用や侵害の痕跡を検出できます。
NEC Active Directory セキュリティリスク診断サービスとは?
NEC Active Directory セキュリティリスク診断サービスで実施する診断の内容と、どのように活用できるかについて解説します。
サービスの概要
NEC Active Directory セキュリティリスク診断サービスとは、Active Directoryに関連するイベントログからセキュリティリスクを検出するソリューションです。セキュリティの専門家が運用上の問題点や想定外の挙動、標的型攻撃における横断的侵害の痕跡を発見し、診断結果に基づいた適切なフォローアップを提供します。「オンプレミス環境のActive Directoryの診断」「Microsoft Entra ID(旧称:Azure Active Directory)の診断」「Active DirectoryとMicrosoft Entra IDのハイブリッド診断」が可能です。
検出できるセキュリティリスク例
オンプレミス環境におけるActive Directoryの診断は、ドメイン管理者権限の端末以外からのアクセスや不審なプロセスの起動などを検出します。Microsoft Entra IDの診断では、意図しないアカウントやブラウザからの認証要求、パスワードクラックといった不正の検出が可能です。ハイブリッド診断では、SAMLトークンを偽造して認証を突破するGolden SAML攻撃や、Windowsのドメイン認証に使用されるチケットを悪用するSilver Ticket攻撃などを検出できます。
診断の形式
セキュリティリスク診断サービスには、2種類の診断形式が用意されています。ひとつはユーザーがログをNECに提出して診断してもらう方法です。診断後はレポートを生成するとともに、フォローアップ資料の提供とフォローアップ会議を実施します。もうひとつはユーザーが診断ツールを利用して自身で診断する方法です。この方法はユーザーが任意のタイミングで診断とレポートの作成を実行できますが、フォローアップ資料とフォローアップ会議はオプションとなります。
セキュリティリスク診断サービスの活用例
セキュリティリスク診断サービスは、Active Directoryの利用状況や運用環境を可視化し、セキュリティリスクの早期検出に役立つソリューションです。たとえばActive Directoryに関連するサーバやクライアント端末がサイバー攻撃を受けていないかを調査し、悪用されたアカウントやマルウェアに感染したデバイスを検出します。また、社内で感染が広がっている範囲を確認できるとともに、Active Directoryの運用改善にも役立てられます。
まとめ
Active Directoryとは、ネットワークリソースを一元管理するディレクトリサービスです。Windows Serverに標準搭載されており、「ユーザー情報の管理」「アクセス権限設定」「デバイスの管理」「操作ログの管理」などの機能を備えています。Active Directoryを狙った標的型攻撃の被害に遭う企業が増加傾向にあるため、セキュリティインシデントを防止するためにはログ調査による早期検出が極めて重要です。Active Directoryのセキュアな運用を目指す企業は、NEC Active Directory セキュリティリスク診断サービスの導入を検討してみてはいかがでしょうか。