巧妙化するサイバー攻撃の手口に対抗するには、ADセキュリティの確立が重要です。この記事では、NISTのフレームワークや近年注目されている「サイバーレジリエンス」について解説します。また、複雑化するADセキュリティをより効果的に実現するためのソリューションもご紹介しますので、ぜひ参考にしてください。
AD(Active Directory)セキュリティの重要性
「Active Directory」は、マイクロソフト社が提供しているディレクトリ・サービスです。一般的に「AD」と略し、多くの企業で利用されています。
年々巧妙化するサイバーセキュリティから身を守るには、ADを適切に管理し、セキュリティ対策を実施することが大切です。なぜならADは、ユーザアカウントやシステムへのアクセス権限など、認証や承認にまつわる情報を管理しているためです。
「Microsoft デジタル防衛レポート2022」によると、攻撃の影響を受けた顧客のうち88%が、適切なAD対策ができていなかったと回答しました。将来にわたってビジネスを安定的に継続させるためには、ADセキュリティは欠かせません。
ADセキュリティに必要な「NISTフレームワーク」の原則とよくある問題点
「NISTフレームワーク」とは、米国の政府機関である「米国国立標準研究所(NIST)」が2014年に発行したフレームワークです。サイバー攻撃などのリスクに対する、考慮すべき基準やガイドライン、具体的な実践内容などが含まれています。
一般的にセキュリティ対策は複雑でややこしいものです。一方、NISTフレームワークは業種、業態を問わず汎用的に使えることから、世界各国で準拠されるようになりました。
ここでは、ADセキュリティにとって欠かせない、NISTフレームワークの基本となる柱を5つ解説します。これらを実施することで、ADセキュリティ対策の最適化を図れます。
特定
NISTフレームワークの第一歩目は、自社にとって保護が必要な資産(リソース)と、そこに存在する弱点や脅威を「特定」することです。自社にとって最重要の資産が特定できていないケースは少なくありません。また、攻撃されやすそうな経路を特定することも大切なポイントです。
保護
2つめは、安全な防御対策を確立し、重要な資産を「保護」することです。Azure ADやOffice 365だけに依存していると、ランサムウェアなどの攻撃を受けるおそれがあります。AD環境は進化と拡張を続けていますが、それは脆弱性や資産も同様であり、対応し続ける必要があることを認識しなければなりません。
検知
「検知」とは、セキュリティ上の問題およびインシデントを調査することです。Office 365とAzure ADのセキュリティログでは、オンプレミスとクラウドにおけるアクティビティの統合ビューが提供されず、適切に検知されないことがあります。
対応
セキュリティインシデントを阻止するための「対応」策を構築することも、NISTフレームワークの原則です。ただし多くの企業では、不審な動きなど問題が起こった際の適切な対応策を立てられていないのが実情です。
復元
何らかの問題が起きた場合、どのように機能とデータを「復元」させるかは重要なポイントです。手作業などで行っていると、さらなるマルウェアの感染やダウンタイムの延長など、問題がさらに大きくなってしまうリスクがあります。
NISTの原則に対応したサイバーレジリエンスとは
NISTでは、サイバーレジリエンスを「サイバーリソースを含む、システムに対する悪条件・ストレス・攻撃、または侵害を予測し、それに耐え、そこから回復・適応する能力」と定義づけています。
近年はサイバー攻撃が巧妙化しているため、完璧に防御することは困難になりつつあります。その点、サイバーレジリエンスは攻撃によって侵害されることを前提としており、攻撃前・攻撃中・攻撃後、それぞれのリスクに対処する能力として注目を集めています。
引用元:Developing Cyber-Resilient Systems:A Systems Security Engineering Approach
Questで実現! ADセキュリティに効果的な3つの対策ソリューション
ADセキュリティをより効果的に実現するためには、Questがおすすめです。Questでは、NISTフレームワークのすべての階層で、多層防御を提供する「ハイブリッドADサイバーレジリエンス」のアプローチを提供しています。
ここでは、Questにおける3つのソリューションをご紹介します。
1. Quest AD Risk Assessment Suite
「AD Risk Assessment Suite」は、主力商品である「Change Auditor」と「On Demand Audit Hybrid Suite」の2つを組み合わせているのが特長です。「SpecterOps BloodHound Enterprise」も付属し、潜在的な脅威から環境を保護します。
AD Risk Assessment Suiteでは、たとえばADセキュリティに関する変更やオフラインコピーの悪用などを監視可能です。不正なドメインレプリケーションやADデータベースのオフライン抽出などの脅威を早期に検出し、ランサムウェア攻撃を軽減できます。さらに勝手な設定変更を阻止し、ADデータベースの持ち出しも回避可能です。
2. Quest AD Risk Protection Suite
「AD Risk Protection Suite」では「Risk Assessment Suite」と「GPOADmin」を使用でき、GPO(Group Policy Object)を管理できるようになります。GPOとは、ADに関する設定のひとつで、ユーザやコンピュータのグループに適用したい設定項目と値の組み合わせをひな型として定義したものです。
AD Risk Protection Suiteの機能を使うと、ADを展開する前に最適な変更管理ができているかどうかを確認できます。また自動アテステーション(証明書)によって、GPOを継続的に検証を行えます。素早く正確にGPOのバージョンを比較し、GPO監査の改善や設定における一貫性のチェックも可能です。
GPOの変更によって望ましくない状況になれば、動作中のGPOに素早く戻すという機能もあります。このように、常に最適な環境で運用しやすくなるのが、AD Risk Protection Suiteの強みです。
3. QuestハイブリッドADサイバー・レジリエンス・スイート
ここまで紹介した2つで、NISTフレームワークにおける5つの柱のうち、「特定」「検知」「保護」については基本的にカバーできます。そしてハイブリッドADを使うことで、残りの「対応」と「復元」も補えます。
ハイブリッドADサイバー・レジリエンス・スイートには、「IT Security Search」や「Recovery Manager Disaster Recovery Edition」、「On Demand Recovery」が追加されています。これらによって、規模や環境を問わず、あらゆるリカバリのニーズに対処できます。どのようなサイバー関連のイベントがあったとしても、最大限セキュアな環境で確実に対応できるのがメリットです。また、ADフォレストの回復プロセスを自動化できるほか、ADバックアップをマルウェアなどの侵害から保護することも可能です。
まとめ
現代は、サイバー攻撃の完全な阻止が難しい時代です。そこで、攻撃を受けても早期に復活させるサイバーレジリエンスの重要性が高まっています。
QuestはNISTフレームワークに準拠し、すべての階層で多層防御ができるソリューションサービスです。利用することで、潜在的なサイバー攻撃を迅速に察知し、アクションを起こせるようになります。継続的に最適なADセキュリティを実現したいとお考えなら、ぜひQuestの導入をご検討ください。
