標的型攻撃対策に欠かせない「Active Directoryドメイン管理者アカウント」の制御
相変わらず被害が絶えない標的型攻撃や内部不正に起因する情報漏えい事故。近年では、企業・組織のネットワーク内に長期間にわたり潜伏して、内部の特権IDを乗っ取るなどして重要情報を窃取する「高度標的型攻撃」の被害も増えてきた。
こうした新たな脅威に対抗する上で、近年注目が集まっているのが「IDアクセス管理」だ。ちなみにIDアクセス管理とは、ITILでは「適切な権限を持つ者だけが必要なタイミングでアクセスできるようにするためのプロセス」「サービスを利用する権利のあるユーザーには適切な権限を付与し、そうでないユーザーからは権限を取り除く。これらを効果的、効率的に実現する仕組み」と定義されている。
ゾーホージャパン ManageEngine&WebNMS事業部
マーケティングチーム マネージャー 兼 ManageEngine
ソリューションエバンジェリスト 曽根 禎行氏
こうした仕組みを通して、例えばマルウェアや内部不正者が特権IDの権限を不正に入手して情報を窃取しようとする試みを未然に防ごうというわけだ。そのためには、正しいユーザーにのみ適切なアクセス権限を付与する承認プロセスやチェック体制を整えることが不可欠だ。ゾーホージャパン ManageEngine&WebNMS事業部 マーケティングチーム マネージャー兼ManageEngine ソリューションエバンジェリスト曽根禎行氏によれば、上記に加えて「ログ保管」と「ログ監査」の取り組みも同様に重要だという。
「入社・退社や人事異動、作業申請などに伴い、アクセス権限の変更や削除が正しく行われているかを適切に監査する仕組みがないと、場合によっては特権IDの管理に漏れが生じる危険性がある。また、正しいプロセスを経てIDを付与したとしても、その利用が適正に行われているかを追跡できなければ、やはり不正利用を見逃す恐れがある」(曽根氏)
特に同氏が指摘するのが、ほとんどの企業で社内のユーザーやITリソースのプロファイルを一元管理しているActive Directoryの管理者アカウントが不正利用されるリスクだ。多くの高度標的型攻撃は、ある特定の端末に侵入した後、別の端末やサーバーへの感染や侵入を効果的に行うために、必ずといっていいほどActive Directoryの管理者アカウントの窃取を試みる。そしてもしそれを許してしまえば、瞬く間に被害が拡大してしまう。
こうした事態を防ぐために、曽根氏は「2つの対策が有効だ」と述べる。
1つは、Active Directoryの管理者権限を使った操作のログをきちんと残して、その操作内容がIDアクセス管理の正しいプロセスに則ったものなのかをチェックすること。その上で、疑わしい操作が行われていたり、あるいはまったく利用されていない管理者アカウントがあればそれらを抽出し、詳細の調査や無効化/削除を実施する。
そしてもう1つは、Active Directoryの管理作業の効率化だ。上記のようなIDアクセス管理やログ監査を行うためには、煩雑な管理作業の一部を委譲して工数を確保する必要がある。ただし、Active Directoryの高度な管理スキルがない人員に管理作業を委譲するためには、やはりそれなりの工夫が必要になるという。
