SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press(PR)

標的型攻撃や内部不正に「IDアクセス管理」が効く理由――グローバルで急成長中のActive Directory管理製品に迫る

 標的型攻撃や内部犯行による情報漏えいの常套手段の1つに、「特権IDの乗っ取り」がある。特に、企業の従業員やコンピュータに関する情報が集約されているActive Directoryのドメイン管理者アカウントが乗っ取られてしまうと、一気に被害は拡大する。そのため、近年では「Active Directoryのドメイン管理者アカウントをいかに守るか」に焦点を当てたセキュリティ対策が注目を集めている。

標的型攻撃対策に欠かせない「Active Directoryドメイン管理者アカウント」の制御

 相変わらず被害が絶えない標的型攻撃や内部不正に起因する情報漏えい事故。近年では、企業・組織のネットワーク内に長期間にわたり潜伏して、内部の特権IDを乗っ取るなどして重要情報を窃取する「高度標的型攻撃」の被害も増えてきた。  

 こうした新たな脅威に対抗する上で、近年注目が集まっているのが「IDアクセス管理」だ。ちなみにIDアクセス管理とは、ITILでは「適切な権限を持つ者だけが必要なタイミングでアクセスできるようにするためのプロセス」「サービスを利用する権利のあるユーザーには適切な権限を付与し、そうでないユーザーからは権限を取り除く。これらを効果的、効率的に実現する仕組み」と定義されている。

ゾーホージャパン ManageEngine&WebNMS事業部 マーケティングチーム マネージャ ー 曽根禎行氏

ゾーホージャパン ManageEngine&WebNMS事業部
マーケティングチーム マネージャー 兼 ManageEngine
ソリューションエバンジェリスト 曽根 禎行氏

 こうした仕組みを通して、例えばマルウェアや内部不正者が特権IDの権限を不正に入手して情報を窃取しようとする試みを未然に防ごうというわけだ。そのためには、正しいユーザーにのみ適切なアクセス権限を付与する承認プロセスやチェック体制を整えることが不可欠だ。ゾーホージャパン ManageEngine&WebNMS事業部 マーケティングチーム マネージャー兼ManageEngine ソリューションエバンジェリスト曽根禎行氏によれば、上記に加えて「ログ保管」と「ログ監査」の取り組みも同様に重要だという。  

 「入社・退社や人事異動、作業申請などに伴い、アクセス権限の変更や削除が正しく行われているかを適切に監査する仕組みがないと、場合によっては特権IDの管理に漏れが生じる危険性がある。また、正しいプロセスを経てIDを付与したとしても、その利用が適正に行われているかを追跡できなければ、やはり不正利用を見逃す恐れがある」(曽根氏)  

 特に同氏が指摘するのが、ほとんどの企業で社内のユーザーやITリソースのプロファイルを一元管理しているActive Directoryの管理者アカウントが不正利用されるリスクだ。多くの高度標的型攻撃は、ある特定の端末に侵入した後、別の端末やサーバーへの感染や侵入を効果的に行うために、必ずといっていいほどActive Directoryの管理者アカウントの窃取を試みる。そしてもしそれを許してしまえば、瞬く間に被害が拡大してしまう。  

 こうした事態を防ぐために、曽根氏は「2つの対策が有効だ」と述べる。  

 1つは、Active Directoryの管理者権限を使った操作のログをきちんと残して、その操作内容がIDアクセス管理の正しいプロセスに則ったものなのかをチェックすること。その上で、疑わしい操作が行われていたり、あるいはまったく利用されていない管理者アカウントがあればそれらを抽出し、詳細の調査や無効化/削除を実施する。  

 そしてもう1つは、Active Directoryの管理作業の効率化だ。上記のようなIDアクセス管理やログ監査を行うためには、煩雑な管理作業の一部を委譲して工数を確保する必要がある。ただし、Active Directoryの高度な管理スキルがない人員に管理作業を委譲するためには、やはりそれなりの工夫が必要になるという。

次のページ
Active Directoryのセキュアかつ効率的な管理を支援するManageEngine製品群

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9114 2017/04/13 13:26

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング