Active Directory(AD)は、Windows Serverに標準搭載されている機能のひとつで、ネットワークリソースの管理を効率化するディレクトリサービスです。本記事ではADに潜むセキュリティリスクや問題点、対策方法を紹介します。
Active Directory(AD)に潜むリスクと問題点
Active Directory(AD)には、企業のネットワークに関するさまざまな情報が集約されています。例えばユーザーIDやパスワードなどの認証情報、デバイスに割り当てられたIPアドレス、アクセス権限設定、コンピュータの周辺機器の接続情報、業務システムとの連携設定などです。
ADは、ネットワークの認証基盤として重要な役割を担っており、業務システムのセキュリティとガバナンスを制御するうえで欠かせません。何らかの障害が発生した場合、サーバーやアプリケーションにアクセスできなくなるだけでなく、業務そのものが停止するリスクを孕んでいます。このようなリスクを招く要因として挙げられるのが、AD環境の老朽化および肥大化、管理コストの増加です。
関連記事:Microsoft Active Directoryとは?課題やセキュリティのベストプラクティス
Active Directory(AD)環境の老朽化
ADは、Windows 2000 Serverで初めて実装され、それ以降はWindows Serverに標準搭載されています。Windows Serverは2~3年ごとに新バージョンがリリースされているものの、アップグレードには相応のコストと移行リスクがともないます。常に最新バージョンのWindows Serverを運用し続けることは容易ではありませんが、旧バージョンを使い続けることにもリスクがあります。
例えばWindows Server 2012/2012 R2は、2023年10月10日にMicrosoft社の延長サポートが終了しました。すでにセキュリティ更新プログラムが提供されておらず、脆弱性に対するリスクは増大しています。延長サポート(メインストリームサポート終了後のサポート)も終了したOSやアプリケーションを利用し続ける場合、仮にVPNで閉域網を構築したとしても、端末を踏み台とするフィッシングメールのようなサイバー攻撃に対応しきれない可能性があります。
Active Directory(AD)環境の肥大化
ADは、基本的に組織規模の拡大にともなって必要性が高まります。「ネットアテスト」の調査でも、ADの導入率が組織規模の大きさに比例して高くなっていることが報告されています。
そして大規模企業で課題となるのが、利用する業務システムやユーザー数が増大することによるADの複雑化です。
数百または数千人のユーザーが存在する大規模組織では、ネットワークリソースの管理が複雑化し、セキュリティポリシーの一貫性の確保が困難になります。企業の買収や合併によってADが煩雑化するケースも少なくありません。その結果、サイバー攻撃の対象経路が増えてしまい、攻撃によってドメインコントローラーの管理者権限を乗っ取られる可能性が高まります。
参照元:【調査データ】Windows Active Directory の導入率|株式会社ソリトンシステムズ
Active Directory(AD)における管理コストの増加
Windows Serverを運用するITインフラの老朽化やADの肥大化は管理コストを増加させます。先述したように、ADのセキュリティを担保するためには、少なくとも延長サポートの終了前にWindows Serverをバージョンアップする必要があります。既存のサーバーやネットワーク機器が最新バージョンのハードウェア要件を満たせない場合、物理的なITインフラの刷新も必要です。
さらに、新入社員の入社時や人事異動の際には、ADで管理するアカウントやグループの情報を更新しなければなりません。ネットワークリソースの管理は、ユーザー数の増加に比例して複雑化するため、組織規模の大きな企業ほど管理コストが増大します。
Active Directory(AD)が狙われやすい理由
ADは、組織内のネットワークリソースを一元管理するサービスであり、管理者が各種制御を実行するドメインコントローラーとしての役割を担っています。したがってADの管理者権限を有するユーザーは、社内ネットワーク全体に対する強力な制御権をもちます。これが、ADが狙われやすい理由です。万が一管理者権限を乗っ取られた場合、重大なセキュリティインシデントにつながる恐れがあります。
例えば2020年9月、ネットワーク認証やアクセス制御の管理に関わるNetlogonプロトコルの脆弱性がJPCERT/CCによって報告され、この脆弱性を悪用した攻撃が確認されたことをMicrosoft社が発表しました。Netlogonプロトコルの脆弱性を突かれた場合、ドメインの管理者権限を掌握されるリスクが懸念されます。デジタル技術の進歩とともにサイバー攻撃も多様化しており、今後は従来の境界防御型に依存しないセキュリティ体制の構築が求められます。
Active Directory(AD)のセキュリティ対策
ADの安全性を確保するためには、予防と検知、システムの最新化、ADの統合といったセキュリティ対策の実行が推奨されます。
予防と検知
ADのセキュリティ対策では、特権アカウントの保護が不可欠です。そのためにはパスワードポリシーの強化や多要素認証の導入などによるセキュリティインシデント対策を実行し、不審な挙動を検知するためのソリューションを設置するといった対応が求められます。
セキュリティイベントをリアルタイムで監視し、機密性の高いデータへのアクセスを制御する仕組みも必要です。さらに不要なドメインが残存している場合には、管理負荷やセキュリティリスクの増大につながります。ほかの業務システムやアプリケーションとの関連性を考慮しつつ、適宜削除する必要があります。
システムの最新化
ADのセキュリティを担保するためには、機密データにアクセスできるアカウントの保護・監視を継続して行い、OSやハードウェア、セキュリティ対策ソフトなどを最新の状態に保つことが大切です。既知の脆弱性や不具合を修正するためには、Microsoft社から提供されるセキュリティ更新プログラムも欠かせません。定期的に配布されるセキュリティパッチの適用により、OSやアプリケーションのセキュリティホールが修正され、ADの攻撃対象となる経路を狭めて、領域を縮小できます。
Active Directory(AD)の統合
ADは、組織規模の拡大に伴って運用管理に要するリソースやコストが増大します。煩雑化したADのユーザー情報や業務システムとの連携設定などを統合できれば、運用管理における業務負荷とセキュリティリスクとを大幅に軽減できます。ただし、手作業によるADのドメイン統合には多大な手間が必要であり、十分な資金的・技術的リソースを確保できる組織は多くありません。そのため、ADの統合や移行を支援するソリューションの導入が推奨されます。
まとめ
ディレクトリサービスであるADには、組織のネットワークに関するさまざまな情報が集約されています。ADの管理者権限が乗っ取られた場合、社内ネットワーク全体のマルウェア感染や機密情報の窃取といったセキュリティインシデントにつながりかねません。
米国に本社を置くQuest Softwareの日本法人「クエスト・ソフトウェア株式会社」では、以下に挙げるような、さまざまなソリューションを通じてセキュリティ対策を支援しています。
- On Demand Migration Active Directory
Active Directory(AD)の移行やドメインの統合をサポートする - Migrator Pro for Active Directory
Active Directory(AD)環境の再構築を自動化する - SpecterOps BloodHound Enterprise
サイバー攻撃の対象経路を最小化して脅威から保護する - Recovery Manager for Active Directory Disaster Recovery Edition
セキュリティインシデント発生後の復旧を自動化・高速化する
ADのセキュリティ強化を推進するためにも、各ソリューションの導入の検討をおすすめします。
