SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

ITインフラ管理の最前線:CISコントロールとその実践的応用

ユーザーアカウントを設定するときに──アカウント管理の基本

『CISコントロール』を援用した企業に必要なITセキュリティの管理と維持の方法 #05

5.3 さまざまなアカウントの管理

5.3.1 アカウント管理とMS Active Directory

 ユーザーやコンピューターリソースの管理基盤として、多くの組織ではMicrosoft Active Directory(AD、アクティブディレクトリ)を利用することが多くなってきました。このシステムは従業員のユーザーとコンピュータ、各社内システム・リソースへのアクセス権限まで、ITインフラを運用管理する中枢であり、情報システム部門がアカウント管理に重要な役割を果たしています。最近はクラウドベースの認証とアクセス制御の仕組みにである、Microsoft Entra ID(旧Azure AD)が利用されることが多いようです。

 ADの機能は多岐にわたりますのでここでは簡単に紹介するのにとどめます。ディレクトリとはここでは「一覧表」のようなものであり、ADは組織の人や機器といったリソースを階層的に管理するディレクトリです。

 ADでは、ドメインという領域が作成されます。この中で、ユーザーやコンピュータ、それらのグループを扱う仕組みになっています。ドメインコントローラー(DC)と呼ばれる管理システムによって、シングルサインオンなどの機能が使えるようになります。

 管理者側でセキュリティポリシーも設定できるようになっているので、端末が更新されていなかったり、設定ミスによって脆弱な状態になったりしないよう設定を強制することもできます。

 大きな組織になると、多数のドメインを作成して階層構造を作ったり、互いにアクセスできるような信頼関係を作ったりして運用することもあります。

 ADなどのディレクトリサービスは組織のアカウントを包括的に管理することができるため、攻撃者からすると最も攻撃したい標的といえます。そのため、ADのハードニングやセキュリティ対策は、他のシステム以上に優先的に実施すべきと考えられています。弊社でも、ITシステム全体のセキュリティ対策を実施したいが、予算の制約があるなどの話が出た際は、まずADのセキュリティ対策を提案することが良くあります。

5.3.2 管理者アカウントと特権ID管理について

 管理者アカウントはサーバーやOS、データベースなどのITシステムを操作する中でも権限が高いアカウントになります。システム自体の起動や停止、マスターデータの変更や機密データへアクセスができたりできるものですから、万一漏えいした際には大きな問題に発展しかねません。たとえば、ランサムウェアの感染を組織内へ展開させて大きな被害を与えることも可能になります。そのほか、内部不正や誤用にもつながりますので、慎重に取り扱う必要があります。

 管理者アカウントにおける運用の基本は、まず誰かのアカウントに大きな権限を与えるのではなく、管理系の作業用に独立したアカウントを作っておくことです。管理者は、必要に応じて、組織のメンバーとしてのアカウントと、管理用のアカウントを使い分けることになります。

 管理者の権限をさらに安全に使用したい場合は、管理者権限を利用者が必要な時だけ貸し出したり、利用したらその記録を取っておいたりすることを検討します。こうした管理を目的としたツールは「特権ID管理ツール」などと呼ばれます。特権とは、ここでは管理者アカウントと同じレベルの権限のことです。

 こうしたツールは国内や海外のデータセンターへのアクセスに加えて、AWSやAzureなどのクラウドサービスのアカウントの管理などで使われています。高い権限を持つアカウントをいつ、誰が使ったのかを記録したり、そのアカウントの貸し出しを承認フローにのせて許可を出したりできるようになっています(図2)。

図2:特権ID管理ツールを用いた特権払い出しプロセスの一例 [画像クリックで拡大]

 このような機能はADだけでは利用できないので、別個のソリューションを導入することになりますが、たいていはADや他のディレクトリサービスとの連携を前提に設計されています。

5.3.3 サービスアカウントの管理

 サービスアカウントは、人(ユーザー)ではなく、アプリケーションやコンピュータの特殊な作業で使用されるアカウントです。たとえばスケジュール化されたタスク、プロセスの動作、自動化のために利用されます。コンピュータは人間が操作するだけでなく、一定の時刻になったら何か作業をするなど、人間が介入しない形でも動作してほしい場合があります。サービスアカウントはこうした特定の目的を実行するために使われます。

 サービスアカウントは、よく攻撃のターゲットになりやすいと言われますが、その理由は複数あります。まずサービスを中断することなく適切に機能するためには、サービスアカウントは管理者権限ほどではないにしても、何らかの特別な権限を必要します。

 その権限を設定する場合、最小権限の原則を意識して設定されていればいいのですが、面倒なので管理者アカウントと同じグループに追加されることもよくあります。そうなると、攻撃者はサービスアカウントを悪用して、マルウェアをパソコンやサーバーへ自由にインストールしたり、環境全体を探索したりできますし、アカウントやデータを削除することもできます。

 サービスアカウントは理想的には、定義済みの役割ベースのアクセス制御(RBAC)や権限委任モデルといったサービスアカウントを管理するためのベストプラクティスがあるのですが、それらがいつも活用されているとは限りません。そもそも管理されていない場合もよくあり、どのようなサービスアカウントがあるのか、組織が把握できていないケースも珍しくないのです。

 たとえ管理されていても、サービスアカウントは人間がいつも利用してわけではないので、悪用されていても気が付きにくいということもあります。また、サービスアカウントの中にはパスワードローテーションや二要素認証などが設定できない場合もあります。

 サービスアカウントは管理者アカウントと同様、ADなどのツールを利用して管理するのが良いでしょう。しかし管理者アカウントと異なり、サービスアカウントは各部門の関係者が作る場合もありますので、その管理

下に置かれないような(いわゆる野良の)アカウントができてしまうこともよくあります。そのため、ツールだけでなく、作成者が台帳を作り、アカウントの目的、関係者(責任者)、定期的な棚卸の実施とその記録などを記載しておくべきでしょう。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ITインフラ管理の最前線:CISコントロールとその実践的応用連載記事一覧

もっと読む

この記事の著者

目黒 潮 (メグロ ウシオ)

ウィズセキュア株式会社 サイバーセキュリティ技術本部 シニアセールスエンジニア
情報処理安全確保支援士
エンドポイントやフィッシング詐欺が専門

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20672 2024/11/01 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング