標的型攻撃対策に欠かせない「Active Directoryドメイン管理者アカウント」の制御
相変わらず被害が絶えない標的型攻撃や内部不正に起因する情報漏えい事故。近年では、企業・組織のネットワーク内に長期間にわたり潜伏して、内部の特権IDを乗っ取るなどして重要情報を窃取する「高度標的型攻撃」の被害も増えてきた。
こうした新たな脅威に対抗する上で、近年注目が集まっているのが「IDアクセス管理」だ。ちなみにIDアクセス管理とは、ITILでは「適切な権限を持つ者だけが必要なタイミングでアクセスできるようにするためのプロセス」「サービスを利用する権利のあるユーザーには適切な権限を付与し、そうでないユーザーからは権限を取り除く。これらを効果的、効率的に実現する仕組み」と定義されている。
ゾーホージャパン ManageEngine&WebNMS事業部
マーケティングチーム マネージャー 兼 ManageEngine
ソリューションエバンジェリスト 曽根 禎行氏
こうした仕組みを通して、例えばマルウェアや内部不正者が特権IDの権限を不正に入手して情報を窃取しようとする試みを未然に防ごうというわけだ。そのためには、正しいユーザーにのみ適切なアクセス権限を付与する承認プロセスやチェック体制を整えることが不可欠だ。ゾーホージャパン ManageEngine&WebNMS事業部 マーケティングチーム マネージャー兼ManageEngine ソリューションエバンジェリスト曽根禎行氏によれば、上記に加えて「ログ保管」と「ログ監査」の取り組みも同様に重要だという。
「入社・退社や人事異動、作業申請などに伴い、アクセス権限の変更や削除が正しく行われているかを適切に監査する仕組みがないと、場合によっては特権IDの管理に漏れが生じる危険性がある。また、正しいプロセスを経てIDを付与したとしても、その利用が適正に行われているかを追跡できなければ、やはり不正利用を見逃す恐れがある」(曽根氏)
特に同氏が指摘するのが、ほとんどの企業で社内のユーザーやITリソースのプロファイルを一元管理しているActive Directoryの管理者アカウントが不正利用されるリスクだ。多くの高度標的型攻撃は、ある特定の端末に侵入した後、別の端末やサーバーへの感染や侵入を効果的に行うために、必ずといっていいほどActive Directoryの管理者アカウントの窃取を試みる。そしてもしそれを許してしまえば、瞬く間に被害が拡大してしまう。
こうした事態を防ぐために、曽根氏は「2つの対策が有効だ」と述べる。
1つは、Active Directoryの管理者権限を使った操作のログをきちんと残して、その操作内容がIDアクセス管理の正しいプロセスに則ったものなのかをチェックすること。その上で、疑わしい操作が行われていたり、あるいはまったく利用されていない管理者アカウントがあればそれらを抽出し、詳細の調査や無効化/削除を実施する。
そしてもう1つは、Active Directoryの管理作業の効率化だ。上記のようなIDアクセス管理やログ監査を行うためには、煩雑な管理作業の一部を委譲して工数を確保する必要がある。ただし、Active Directoryの高度な管理スキルがない人員に管理作業を委譲するためには、やはりそれなりの工夫が必要になるという。
Active Directoryのセキュアかつ効率的な管理を支援するManageEngine製品群
Active Directoryの管理に伴うこうした課題を解決するために、ゾーホージャパンではIT運用管理製品群「ManageEngine」ブランドの中に、さまざまなラインアップを保有している。例えば「ADManager Plus」という製品は、Active Directoryの管理を支援するさまざまな機能を提供するツールだが、ユーザーの作成や変更を行う際の承認ワークフローや、使われていないアカウントを自動的に抽出する機能なども備える。
図:ADManager Plus機能図[クリックすると図が拡大します]
「不要なActive Directory管理者権限の洗い出しと削除は、JPCERT/CCでも推奨される重要な対策の1つ。通常はスクリプトを組むなど高度なスキルが必要とされるが、ADManager PlusならツールのGUIを通じて数クリックで誰もが簡単に行うことができる」(曽根氏)
また、特定のグループやOUの作成を別の管理者に委任できる機能も備える。ADManager Plusは極めて直感的な操作性を備え、高度なスキルがなくとも管理作業を遂行できるため、派遣社員や人事担当などにActive Directoryのユーザーの作成など簡易的な作業を移管することで、管理者自身の作業負荷を軽減でき、その分をより高度なセキュリティ対策に回せるようになる。加えて、「ADSelfService Plus」というツールをあわせて利用すれば、Active Directory管理者の日常業務を圧迫する「パスワードロックの問い合わせ対応とロック解除作業」を、ユーザー自身が行えるようになり、さらなる作業効率化が図れる。
また、実際にユーザーが管理者アカウントを使用してActive Directoryにアクセスする際には、「Password Manager Pro」という特権ID管理製品により不正利用がないかを監視できる。具体的には、ログオン時のパスワードを都度申請/承認する仕組みを提供するとともに、踏み台アクセスの上で操作を動画形式で記録し、申請内容と作業記録、システムログなどを基に不正がないか監査することが可能だ。また、Password Manager Proを介さないドメイン管理者アカウントのアクセスがあった場合には併用するログ管理製品からアラートを発報させるなどして不正を検知することが可能だ。
さらに「ADAudit Plus」というツールを使えば、Active Directoryに対して行われた操作ログを逐一記録し、視覚的なレポートとして出力できる。この内容を、管理者権限の申請や付与の記録と突き合わせれば、ある特定の操作が正当な理由に基づくものなのか、それとも不正が疑われるものなのかを明確に切り分けることができる。
また、何らか疑わしい操作が行われた際に、即座に管理者に通知する機能も備える。例えば休日や平日の夜中など、普通は管理者が作業を行わないような時間帯に操作が行われた場合に、自動的にアラートを発報することが可能だ。
図:ID管理ソリューションマップ[クリックすると図が拡大します]
競合製品と比べ数分の1のコストで導入・運用が可能
なお、前項で紹介したManageEngine製品群は、世界中で既に120,000社以上の企業/組織に導入され、近年では特にActive Directory関連の製品が急成長している。日本国内においてもさまざまな業界の多様な規模の企業による導入が進んでいる。同社の製品が広く受け入れられている理由の1つとして、その豊富な機能や実績に加え、低コストで導入・運用できる点が挙げられる。
例えば、Password Manager Proと同様の機能を持つ特権ID管理製品は他社からも提供されているが、その多くは管理対象となるIT機器数や、特権IDを利用するユーザー数などに応じてライセンス料が算出される。それに対してPassword Manager Proは、特権IDの利用を「承認する人の数」を基にライセンス料が決まる。そのため、システム規模の拡大や特権IDを利用するエンジニアの増員に伴う追加コストは発生せず、比較的安価に導入・運用・継続できるのだ。
同様にADManager Plusは管理者の数、ADAudit Plusはドメインコントローラの数でライセンス料が算出されるため、ドメインユーザーを基にライセンス料が決まる他社製品と比べ大幅にライセンス料を抑えることが可能だという。
「多くのケースでは、他社製品と比べ数分の1程度のコストで導入できる。また、ライセンス価格の一覧を弊社サイトで公開しているため、コスト負担の見通しも立てやすい。例えば、大手グループ企業の子会社や関連会社、国や地方公共団体の出先機関/取引先など、 親会社や本庁のように十分に予算が当てられないお客様から、身の丈に合った現実的な選択肢として広く導入・運用されている」(曽根氏)
もちろん、既存製品の機能強化や、製品ラインアップの拡充にも抜かりはない。特に、企業におけるクラウド利用がますます広がる中、クラウド環境の運用管理やセキュリティ対策に関するニーズも高まりつつある。曽根氏によれば、ManageEngineでも既にクラウド関連の機能拡充が着々と進められているという。
国内提供の具体的な予定はまだ決まっていないが、既に海外では、クラウド環境のログを取得・管理するための製品が提供されている。また、先ほど紹介したADSelfService Plusには、Google Appsなどへのシングルサインオンを可能とする機能も実装された。今後はオンプレミスとクラウドをまたがったハイブリッド環境向けのソリューションにも力を入れていく予定だ。
【関連リンク】
