ADをセキュリティで保護し、コンプライアンスを維持するためのベストプラクティス。Active Directoryのセキュリティは、よくIT城の鍵を制御する方法と表現されます。この比喩にはメリットもありますが、重要な限界もあります。Active Directoryは門番として機能し、ネットワークに入るためのどの鍵を誰が持っているのか、それらの鍵はそれぞれ、どのデータおよびその他のリソースを解錠できるのかを決定します。しかし、石造りの建物とは異なり、IT環境は極めて動的な場所です。ユーザは絶えず現れては消えていき、従業員は新しい役割を引き受けます。追加される新しいアプリケーションもあれば、廃止されるアプリケーションもあります。そのため、Active Directoryのセキュリティは、城の鍵を変更するような一度きりのイベントではなく、継続的なプロセスです。
Active Directoryをセキュリティで保護するためのヒントについて、以下をお読みください。
Active Directoryのセキュリティは、慎重にバランスを取る行為です。城の比喩で言えば、王や女王は臣民に対してどのようなセキュリティ対策でも思いのまま義務付けることができますが、IT専門家はビジネスニーズにしっかりと留意しなければなりません。セキュリティ対策に手間がかかりすぎると、重要なビジネスプロセスが滞り、有能な人材が流出してしまうからです。例えば、適切な人だけが各人の医療データにアクセスできるようにすることは極めて重要ですが、医療チームが患者の診断と処方箋を時間内に確認して適切な治療を提供できるようにすることも同様に不可欠です。さらに、セキュリティ対策があまりにも不便だと感じると、ユーザは回避方法を見つけるものです。複雑なパスワードを作成して30日ごとに変更しなければならないように要求されると、机の上にすぐに大量の付箋が貼られるようになります。不正なアクセスからアカウントを保護するという目的が損なわれてしまうのです。
Active Directoryのセキュリティは規制コンプライアンスに密接に関連していますが、この2つは同じではないことを理解することが重要です。多くのコンプライアンス規制には、ADのセキュリティポリシーと手順に直接影響する要件が含まれますが、これらの義務は、オフィスビルへの物理的な入館、従業員のトレーニング、役員の説明責任など、他の多くの分野に及ぶことがよくあります。一方、ADの包括的なセキュリティは、1つ以上の規制へのコンプライアンスを達成することだけではありません。
ADのセキュリティは、GDPR、CCPA、HIPAA、SOX、PCI-DSSなど、数多くのコンプライアンス規制の根幹です。Active
Directoryをセキュリティで適切に保護しないと、規制当局からの高額な罰金、役員の懲役刑、クレジットカード取引の処理不能、顧客の信頼の喪失など、数多くの不快な結果を招くことになります。
Active Directoryのセキュリティリスクは、主に次の3つの重要な要素に対する洞察と制御の欠如から発生します。
これらのリスクの中には、インサイダー脅威、スピアフィッシング、権限昇格、ラテラルムーブメントなど、具体的な名前が付いているものもあります。しかしながら、ADのセキュリティリスクに対処する最善の方法は、それぞれ個別に戦わないことです。コストを押し上げ、ITシステムがさらに複雑になるだけであり、問題を解決するどころか、悪化させてしまう手法だからです。
代わりに、最善の戦略は、Active Directoryをクリーンアップして、IT環境全体のアクティビティを明確に可視化することです。Active Directoryに組み込まれているツールには必要な機能のごく一部が用意されているだけで、使用するには時間がかかります。そのため、賢明なのは、強力なActive Directoryセキュリティに必要なコアプロセスを自動化および簡素化する包括的なソリューションに投資することです。
Active Directoryは長い間使用されているため、ADのセキュリティとコンプライアンスを劇的に強化することが証明されているベストプラクティスをすぐに利用できます。以下のベストプラクティスを実践することで、ITデータとシステムに対するリスクを最小限に抑え、組織の将来の成功を守ることができるようになります。
ADのセキュリティに関する最も重要なベストプラクティスの1つは、IT環境の状態を定期的に見直し、セキュリティとコンプライアンスの潜在的な問題を予期することです。
Windowsエンドポイント、ドメインコントローラー、およびその他のシステムの構成設定を既知の良好な状態と定期的に比較して、意図しない傾向や悪意のある変更が見つかれば速やかに修正します。
ユーザとコンピュータに標準設定を適用するために使用されるグループポリシーを必ず定期的に見直します。グループポリシーは、数多くのアクティビティを制御します。ユーザのコントロールパネルへのアクセス、コマンドプロンプトの使用、ソフトウェアのインストールを禁止できます。グループ・ポリシー・オブジェクト(GPO)に不適切な変更を加えるだけで、大きな損害が発生する可能性があります。例えば、ユーザが突然USBドライブを挿入できると、ランサムウェアやその他のマルウェアがシステムにリリースされる可能性があります。そのため、GPOが意図したとおりに機能し、不適切あるいは不正な変更があった場合には素早く発見して元に戻せるようにしてください。
さらに、Windows
Serverオペレーティングシステムおよびその他のソフトウェアに最新のパッチが適用されていること、ベンダーが完全にサポートしているバージョンのみが使用されていることを確認します。
ITセキュリティで最も根本的なベストプラクティスはおそらく、最小特権の原則でしょう。ユーザが仕事を行うのに必要なアクセス権を、必要以上でも必要以下でもなく、ちょうど必要なだけ各ユーザに付与します。ADを使用すると、同様の役割を持つユーザ(すべてのヘルプデスク管理者やすべてのHRスタッフなど)を1つのADセキュリティグループに入れて、一緒に管理することができます。ユーザをプロジェクトベースのグループなど、複数のADグループのメンバーに設定できます。また、通常その状態になっています。
ADセキュリティグループの使用は、管理者にとってただ単に便利なだけではありません。プロビジョニングとプロビジョニング解除におけるエラーを減らし、権限構造の複雑さを最小限に抑えることで、セキュリティを向上させ、誰が何にアクセスできるかを確信を持って容易に判断できるようになります。
どんなに優れた予防策を講じても、サイバーセキュリティインシデントは発生します。そのため、インシデントを迅速に調査し、適切に対応できるように準備する必要があります。侵害がどこで発生したのか、どのように起きたのか、正確にどのシステムとデータが関係しているのかを迅速に特定できる必要があります。そうすることで、個人の行動に責任を持たせ、今後同様のインシデントが発生しないようにするための対策を講じることができます。
前述したように、最小特権の原則は、ITセキュリティの最も基本的なベストプラクティスです。ユーザの権限を各リソースに個別に手動で割り当て、現れては消えていくユーザや、組織内での役割の変更に応じて、権限を最新の状態に維持しなければならないとしたら、手に負えなくなり、組織は漏洩やコンプライアンス違反のリスクが高くなるでしょう。
ADセキュリティグループを作成し、同様のユーザの権限を一緒に管理できると、負荷が軽減されます。ユーザをプロジェクトベースのグループなど、複数のADグループのメンバーに設定できます。また、通常その状態になっています。例えば、新しい営業マネージャが任命されたら、営業と営業マネージャの両方のセキュリティグループに追加するだけで、適切なすべてのリソースにアクセスできるようになります。同様に、すべての営業担当者がアクセスする必要がある新しいフォルダまたはファイル共有が存在する場合は、営業グループにアクセス権を付与すればよく、個々のユーザアカウントに1つずつ追加する必要がありません。逆に、あるユーザが営業職から別の職務に異動する場合は、そのユーザを営業グループから削除すると、すべての営業リソースへのアクセス権を削除できます。そのユーザが権限を持つ各リソースを苦労して確認し、そのアクセス権がまだ正当であるかどうかを判断する必要がありません。
ADセキュリティグループの使用は、管理者にとってただ単に便利なだけではありません。プロビジョニングとプロビジョニング解除におけるエラーを減らし、権限構造の複雑さを最小限に抑えることで、セキュリティを向上させ、誰が何にアクセスできるかを確信を持って容易に判断できるようになります。
特に懸念されるのは、非常に強力なEnterprise
Admins、Domain Admins、Schema
Adminsグループなどの管理者レベルの権限を付与するADセキュリティグループと、Windowsのインストール時に作成され、ローカルコンピュータ上のファイル、ディレクトリ、サービスなどのリソースを完全に制御する、ローカルのAdministratorアカウントです。組織は、これらの特権アクセスグループのメンバーを厳密に制御し、メンバーシップの変更に注意する必要があります。攻撃者または悪意のある内部関係者が自分の権限を昇格させ、追加のシステムやデータへのアクセス権を得ようとしていることを示している可能性があるからです。
サービスアカウントは、アプリケーションとサービスがIT環境でログオンを使用してアクションを実行する特別なユーザアカウントです。残念ながら、サービスアカウントには、実際に必要とされる権限よりも多くの権限が付与されていることが多く、セキュリティリスクを高めています。オーバープロビジョニングのよくある理由には、アプリケーションベンダーが指定した要件をそのまま受け入れる、運用上の課題を適切に対処できない、適切な権限を使用して時間をかけて新しいサービスを作成せずに単に既存のサービスのクローンを作成することなどがあります。
ベストプラクティスは、すべてのサービスアカウントが最小特権の原則に準拠するように保証することです。また、サービスアカウントに管理者権限が必要な場合は必ず、特別な注意を払う必要があります。サービスアカウントを、ローカルのAdministratorグループやDomain
Adminsグループなど、標準の管理者グループのメンバーにしてはいけません。サービスをLocalSystemアカウントで実行するか、サービスアカウント用のカスタムグループを作成し、そのグループの他のアカウントへのアクセスを明示的に拒否することをお勧めします。そして、可能な限り、1日の特定の時間帯にのみログオンできるようにサービスアカウントを設定するのが賢明です。