Active Directoryのセキュリティ

Narendran Vaideeswaran - 10月 6, 2023

Active Directoryのセキュリティとは

Active DirectoryはMicrosoft Windowsが提供するディレクトリサービスです。これにより、管理者は、権限とネットワークアクセスを構成できます。Microsoft Windows Active Directoryには、Active Directory Domain Service、Active Directory Certificate Service、Active Directory Federation Serviceの複数のコンポーネントが用意されています。

情報技術(IT)管理者は、これらのMicrosoft Active Directoryサービスを利用して、ドメインコントローラーのワークフローなど、さまざまな日常的なプロセスを実行します。たとえば、ユーザーがドメイン参加デバイスにログオンすると、ドメインコントローラーがユーザー名とパスワードを認証します。このユーザーがシステム管理者の場合、ドメインコントローラーは追加の権限を付与できます。

Microsoft Active Directoryセキュリティは、サービスがシステム、アプリケーション、リソースへのアクセス権を提供するキーを保持するため、企業にとって重要です。企業は、脆弱性を認識し、サイバー攻撃からネットワークを守るために、セキュリティツールを使用し、ベストプラクティスに従うことでActive Directoryを強化する必要があります。

Active Directoryのセキュリティリスクの削減

重要なアイデンティティストアを保護するためのフリクションレスなアプローチ

今すぐダウンロード

Active Directoryのセキュリティが重要な理由

Active Directoryのセキュリティ(ADセキュリティ)をビジネス全体のセキュリティポスチャにおいて非常に重要にしている主な要因は、組織のActive Directoryがすべてのシステムへのアクセスを制御できることです。効果的なActive Directory管理は、ビジネスの認証情報、アプリケーション、機密データを不正アクセスから守ることができます。悪意のあるユーザーによりネットワークが侵害され、損傷を受ける前に強力なセキュリティ対策を実施することが重要です。

ADセキュリティを無視するリスク

Active Directoryのセキュリティを無視すると、次のようなサイバー攻撃やエスカレーションのリスクにさらされます。

  • 最初に、悪意のあるユーザーは、認証情報を盗むか、マルウェアを使用してアクセスし、アクティビティを監視します。
  • 悪意のあるユーザーは、別のアカウントに侵入し、システム内をラテラルムーブメントします。
  • ネットワークを広範囲にアクセスすることで、悪意のあるユーザーはデータを盗み出したり、システムを破損させたりする可能性があります。

ADセキュリティリカバリの課題

Active Directoryセキュリティが侵害された後のリカバリにおける最大の課題は、侵害の原因の特定、侵害の範囲の確定、新しい安全な環境の構築です。Verizonの2021年版データ侵害調査レポートによると、データ侵害の98%は外部エージェントから由来し、データ侵害の85%は発見まで数週間以上かかっています。

悪意のあるユーザーは、ユーザーアカウントにアクセスし、システムを広範に侵害するまで検知されません。ハッカーはシステム内で検知されない状態が長続きするほど、より多くの損害をもたらします。また、ハッカーが侵害したすべてのエリアを追跡することは困難になります。そのため、既存のシステムにパッチを適用しようとしても、効果が出ない可能性があります。複雑で旧式のインフラストラクチャを使用している組織は、最も重要なユーザーアカウントと情報を、セキュリティ保護された新しい小規模システムに移植することでメリットを得ることができます。

Active Directoryセキュリティの重要性により、組織は災害復旧計画を策定し、Active Directoryへの攻撃が発生した際に迅速に対応できるようにする必要があります。不正アクセスを慎重に監視し、計画を立てることで、組織はシステムが破壊されたり、修復不能になったりする前に、攻撃を阻止することができるようになります。

Active Directoryの脆弱性

Active Directoryの侵害を監視する最適な方法は、イベントログ監視システムを使用することです。Verizonの2021年データ侵害調査レポートによると、侵害を受けた組織の84%がイベントログに侵害の証拠が記録されていました。これらのログでアクティビティを監視することで、組織はさらなる損傷が発生する前に、侵害を発見できます。

イベントログを監視する際は、次のようなイベントを含む疑わしいアクティビティの兆候を探します。

  • 特権アカウントのアクティビティ: 一般的に攻撃者は、特権の脆弱性を利用し、特権のエスカレーションを試行し、侵害されたユーザーアカウントの特権を上げます。また、特権ユーザーアカウントでの時間外アクティビティが発生したり、ユーザーアカウントがアクセスするデータ量が突然増加したりする可能性があります。
  • ログイン失敗:アカウントのログインに繰り返し失敗する場合、脅威アクターがアクセスしようとしている兆候の可能性があります。
  • リモートログイン:多くの場合、悪意のあるユーザーは、システムにリモートでアクセスしようとします。異なる国やロケールのインターネットプロトコル(IP)アドレスからのログインがある場合、Active Directoryが侵害されている可能性があります。

Active Directoryの侵害にはさまざまな兆候があるように、脆弱性の種類も数多くあります。悪意のあるユーザーが利用するいくつかの最も一般的な脆弱性について説明します。

すべてのユーザーには、ドメインにワークステーションを追加する権限があります

デフォルトでは、ドメインユーザーはワークステーションにドメインを追加できます。このコンフィグレーションのリスクは、ユーザーはパーソナルコンピューターを使用して、企業ドメインにもアクセスできることです。パーソナルコンピューターは、アンチウィルスソフトウェアや、エンドポイントでの検知と対応(EDR)ソフトウェアから保護されていない可能性があります。組織の設定とポリシーは追加されたワークステーションに適用されない可能性があります。このActive Directory設定を使用すると、マシンに対するローカル管理者権限を持つこともできます。個人用マシンのローカル管理者権限は、ユーザーがネットワーク上の他のシステムを攻撃するアクションを実行できるため、セキュリティリスクをもたらします。

この脆弱性を制限するには、ms-DS-MachineAccountQuota属性を調整して、コンピューターをドメインに追加する機能を制限します。代わりに、指定した特定のユーザーや、ユーザーのグループにコンピューターアカウントを作成する権限を委譲できます。

権限を持つActive Directoryグループにユーザーが多すぎる場合

ドメイン管理者やエンタープライズ管理者のActive Directoryグループのような権限を持つセキュリティグループのユーザー数が増加すると、ドメインの侵害リスクが高まります。ドメイン管理者は、ドメインを完全に管理できます。ドメイン管理者は、すべてのドメインコントローラー、ドメインワークステーション、およびすべてのドメインメンバーのサーバーの管理者グループのメンバーです。これらのユーザーアカウントは広範なセキュリティ特権があるため、脅威アクターがこれらのセキュリティグループ内のユーザーの認証情報を盗んだ場合、ドメインが侵害される可能性があります。

この脆弱性を制限するには、特権アクセス管理、およびグループポリシー管理の設定とポリシーを定期的に確認する必要があります。ユーザーがこれらのジョブを実行する権限のみを持っていることを確認してください。これらの特権セキュリティグループにユーザーを追加しますが、ユーザーの追加が不可欠となる場合のみ追加します。これにより、グループが大きくなりすぎないようにします。

弱いパスワードポリシー

パスワードのセキュリティと利便性のバランスを最適にする方法については、さまざまな考え方があります。組織がユーザーに複雑なパスワードを設定し、それらを頻繁に変更することを求める場合、ユーザーは自分のパスワードを忘れて、安全ではない方法でパスワードを保存する可能性があります。組織があまり複雑でないパスワードを使用している場合、ハッカーはシステムに簡単にアクセスできます。

この脆弱性を制限するために、組織は保守的なパスワードポリシーを設定し、パスワードが侵害された場合に別のセキュリティ制御を実行していることを確認する必要があります。たとえば、アクセス権マネージャーがActive Directoryユーザーのパスワードリセットをトリガーする必要がある場合、ユーザーのIDを検証するセキュリティ制御も必要になります。

Active Directory用の最適なツール

セキュリティツールを使用して、Active Directoryセキュリティを保護し、システムの正常性についてActive Directoryのモニタリングを実行できます。Active Directoryセキュリティツールを使用する主なメリットは、利便性、自動化、そしてセキュリティ強化です。多くのActive Directoryツールは、管理タスクを容易に実行できるようにするインターフェースを提供し、破棄したアカウントの消去などのタスクを自動化でき、モニタリングとアラートによりセキュリティを強化できます。

Active Directoryは多くのアプリケーションを使用した大規模なサービスのため、Active Directoryツールにはさまざまな目的とスコープがあります。使用可能なツールは、侵害の基本的な兆候をモニターする無料プログラムから、包括的な脅威検知と防御を提供する堅牢なサービスまでが用意されています。使用可能なActive Directoryツールのメリットを比較するには、最初に予算を決定し、組織にとって重要な機能を検討します。組織で最も時間のかかるプロセスやリスクのあるプロセスを検討し、それらのニーズに対応するツールを選びます。

組織に適したActive Directoryセキュリティツールを選択する場合は、次の機能を備えたツールを使用することを検討してください。

  • ユーザーアカウントとセキュリティグループの作成に対応する自動化
  • ユーザー権限の分析
  • 脆弱性の分析(破棄されたアカウントなど)
  • パラメーター変更用のActive Directory監査
  • 組織でツールがどのように機能するかテストできる試用版

クリーンなActive Directoryが使用できなくなる脆弱性と弱い設定を特定する技術的リスクのアセスメントも実施できます。結果に基づいて、最もサポートが必要なセキュリティエリアを判断し、問題解決に使用できるツールを特定します。

包括的な脅威検知ツールは、リソースを他のタスクに割り当てることができることで、よりコスト効率が高まる可能性があることをご理解ください。脅威検知ツールは疑わしいアクティビティを自動で監視するため、インシデントを解決する時間を短縮することができます。このツールが労力を要するタスクを実行する場合、スタッフはビジネスに利益をもたらす他のタスクに集中できます。

Active Directoryセキュリティのベストプラクティス

多くの悪意のあるユーザーは、侵害された認証情報を使用してシステムを攻撃します。これにより、Active Directoryのベストプラクティスに従って、不要なセキュリティリスクを回避する必要があります。Active Directoryを強化する最適な方法は、次のセキュリティ対策を実装することです。

  • デフォルトのセキュリティ設定を調整して組織のニーズを適合させます。
  • バックアッププロセスとリカバリプロセスを使用します。
  • セキュリティ管理とレポート機能を一元管理します。

1. デフォルトのセキュリティ設定の調整

一部のActive Directoryのデフォルト設定(すべてのユーザーがワークステーションにドメインを追加できるようにする設定など)では、組織のユーザーに不要な特権が付与されます。Active Directoryをインストールする場合、セキュリティ設定を確認して、組織のニーズに応じて変更します。また、すべてのユーザーの権限を確認して、最低限必要なアクセスレベルを付与していることを確認します。

権限を制限することで、悪意のあるユーザーが特権的アクセス権を取得する可能性が低くなり、また、組織の従業員が特権を悪用する可能性も低くなります。デフォルトのセキュリティ設定を調整するには、属性値と権限を手動で変更するか、これらの設定を構成できるActive Directoryツールを使用します。

2. バックアッププロセスとリカバリプロセスの使用

Active Directoryのセキュリティを確保するために最も重要なバックアップ対策は、少なくとも60日ごとにActiveActive Directoryを定期的にバックアップすることです。Active Directory Tombstoneオブジェクトの有効期限は60日間です。有効期限の切れたTombstoneオブジェクトに関するエラーが発生しないようにするには、60日以内のActive Directoryをバックアップします。また、バックアップが侵害される場合に備えて、1件以上のバックアップを別の場所に保存しておくことを推奨します。

Active Directoryのセキュリティを確保するための最も重要なリカバリ対策は、障害復旧プロセスを整備することです。このプロセスでは、侵害からのリカバリする際に、セキュリティチームが実施する必要のある手順を説明する必要があります。この場合、リカバリシーケンスや依存関係を考慮します。たとえば、ドメインコントローラーは、他のマシンをリカバリする前にドメインコントローラーをリカバリする必要があります。

3. セキュリティ管理とレポート機能の一元管理

セキュリティ管理とレポート機能を一元管理することで、組織はActive Directoryセキュリティを担当する専門チームを持つことができます。これらの従業員は、専門知識を有し、攻撃に対して迅速に対処できます。包括的な脅威検知ツールにより、セキュリティチームは、アラートを迅速に調査できる1つのプログラムを使用して、システムを評価し、確認できます。

クラウドストライクを使用した脅威検知

Active Directoryのセキュリティを強化することは、サイバー攻撃からビジネスを守るために重要なことです。悪意のあるユーザーの戦術やツールは日々変化するため、ITチームは細心の脅威に関する情報を収集し、常時侵害の兆候を監視する必要があります。

CrowdStrike Falcon® Identity Threat Detectionは、人工知能と振る舞い分析を使用して、リアルタイムでIDベースの脅威を検知し、ランサムウェアなどの最新の攻撃を阻止することができます。この脅威検知ツールを使用することで、ITチームはネットワークアカウントを完全に理解し、疑わしいアクティビティを特定し、すばやく脅威に対応できます。CrowdStrikeでは、無料トライアル版を提供しております。このトライアル版をご利用いただくことで、クラウドセキュリティサービスがどのように機能するかを確認できます。

GET TO KNOW THE AUTHOR

ナレンドランは、CrowdStrikeのID保護およびゼロトラストの製品マーケティングディレクターです。同氏は、サイバーセキュリティのスタートアップ、およびHPやSolarWindsなどの大企業で製品マーケティングとGTM戦略の推進業務を17年以上努めてきました。以前は、CrowdStrikeが買収したPreempt Securityで製品マーケティングディレクターを務めていました。ナレンドランは、ドイツのキール大学でコンピューターサイエンスの修士号を取得しています。