システムへのアクセスを見守る認証基盤
それ自身のセキュリティ対策は?
企業の活動は、非常にさまざまなITシステムによって支えられている。従業員は、多種多様なアプリケーションを駆使し、日々の業務を遂行する。それらへのアクセスを1つ1つ個別に管理するのは非常に煩雑であるし、運用がバラバラではセキュリティガバナンスを利かせることも困難である。そこで多くの組織では、複数のシステムへのアクセスを司る認証基盤を導入している。
マイクロソフトの「Active Directory」は、組織のユーザー情報や各種システムの認証情報と設定を統合的に管理し、当該のシステムへアクセスしようとする個人を特定する「ユーザー認証」と、適切なユーザーのみが適切なデータ/アプリケーション/デバイスなどを利用できるようにする「アクセス制御」の機能を提供する ── いわば企業システムの“門番”のような存在だ。従業員は1つのアカウントで複数のシステムへログインできるようになり、管理者は認証管理や資産管理などの作業負担が軽減される。そうしたメリットから大多数の企業に支持されている認証システムだ。
システムの認証・認可を統合する基盤ということは、裏を返せば、もしActive Directoryが侵害されてしまうと多大な損害を被る可能性があるということでもある。実際、マイクロソフトの報告によると、毎日9,500万ものActive Directoryアカウントが攻撃を受けているという。
クエスト・ソフトウェア株式会社
SEマネジャー
梁理恵氏
「Active Directoryには組織内のすべての認証情報が集まりますから、その情報を窃取されてしまうと他の重要なシステムの侵害を許すことになります。密かにユーザーアカウントを乗っ取られて、情報が漏えいしても気付くことすらできないかもしれません。ランサムウェアなどでActive Directoryの稼働を停止されるだけでも、業務アプリケーションへアクセスできなくなって企業活動がストップしてしまいます。Active Directory自身のセキュリティ対策も、非常に重要な取り組みなのです」と、クエスト・ソフトウェア SEマネジャーの梁理恵氏は指摘する。
従来のActive Directoryのセキュリティ対策は、他のシステムと同様に、事前の防御と事後の復旧の2つがポイントとなる。つまり、攻撃を受けてもすぐに検知して侵害させないこと、もし侵害が発生したとしてもできるだけ早く元の状態に戻して業務やビジネスへの影響を最小限にとどめることだ。
より具体的な施策として、前者ではActive Directoryの変更を「監査」する仕組みが必要である。Active Directoryの設定は、人事やシステムの変化に応じて変更されるものだが、それらの作業を追跡して適切であるかどうかをチェックし、もし不要な変更であればすぐに戻せるようにする。
後者の具体例は、バックアップ&リストアの仕組みだ。仮に侵害されたとしても、簡易な操作でできるだけ短期間で正常な状態に戻せるようにしておくこと。セキュリティ対策だけでなく、操作ミスや災害対策にも効果がある。
これらの対策はActive Directory自身の機能を用いたり、手作業でコマンドを実行したりすることで、こうした仕組みを実現できるが、最近注目のゼロトラストセキュリティを実現するには対策が不十分である。
クエスト・ソフトウェアのサイバーレジリエンス ソリューションでは、事前の防御と事後の復旧の間を埋める『不正アクセスの抑止・軽減』と、事後の復旧の強化『Active Directoryのベアメタル復旧・フォレスト復旧』を実現でき、より強固な事前対策・事後対策が可能である。
そうしたニーズに応えるのが、クエスト・ソフトウェアの「Change Auditor for Active Directory」と「Recovery Manager for Active Directory」である。
Active Directoryの防御は
オブジェクト保護とリアルタイム監視でバッチリ
Change Auditor for Active Directoryは、Active Directoryの監視とセキュリティ対策を実現するツールである。ユーザーのアクティビティをリアルタイムに監視し、すべての重要な設定変更を追跡して監査し、警告やレポート作成にも対応する。
特に重要なオブジェクトやファイルについては、Active DirectoryのDomain Adminsなどの管理者権限であっても読み取り・書き込みできないように保護することで、ゼロトラストセキュリティを実現できる。
監査機能は「5W」――すなわち「いつ変更されたか(When)」「どこからリクエストがあったか(Where)」「誰が変更したか(Who)」「何が変更されたか(What)」「なぜ変更されたか(Why)」という情報を基にして実行され、その変更が本当に適切であったかどうかが判断される。
もし手動で監視・監査を行うとすれば、Active DirectoryやWindowsサーバーのログ情報を精査しなければならず、長期間かかるうえにミスも増える。仮に侵害の証跡を見つけたとしても、すでに情報窃取は済んだあとかもしれない。
Change Auditorを用いれば、不審な変更はリアルタイムに管理者へ警告され、コンソールからすぐにロールバックすることができる。一部のセキュリティ脅威を判定し、不審なアカウントをロックアウトするなど攻撃をブロックすることも可能だ。主要なSIEM基盤とイベント情報を連携し、セキュリティ対策の強化に役立ててもよい。
Change Auditorファミリーを使用することで、Microsoft 365、ファイルサーバー、ネットワークハードディスク(NAS)、Windowsログイン、Exchange Server、SQL Serverなどの監視とセキュリティ対策を実現でき、Change Auditorのクラウド版である「On Demand Audit」と統合させることで、Webブラウザからワンコンソールでオンプレミス環境の監査データとMicrosoft 365の監査データを一括管理・検索することも可能である。また、クラウドサービスの「Azure Active Directory」の統合管理にも対応する。
Active Directoryのリカバリは
ベアメタル復旧とフォレスト復旧でバッチリ
Recovery Manager for Active Directoryは、バックアップデータからActive Directoryのドメイン全体、フォレスト全体のリストアと、Active Directoryのオブジェクト単位、オブジェクトの属性などをきめ細やかにリカバリできるソリューションである。Recovery Manager for Active DirectoryでActive Directoryのオブジェクトや属性データをバックアップすることも可能である。オンプレミスのActive Directoryだけでなく、Azure Active Directoryも統合的に保護できる。バックアップデータは安全なSecure Storageに格納され、定期的な整合性チェックも実施する。一部のランサムウェアのようなバックアップデータを狙うマルウェアから守られる。
マイクロソフトは、Active Directoryフォレストのバックアップ&リカバリについて、OSから基盤全体を復旧するための40ステップの作業をドキュメントなどで細かに解説している。
「マイクロソフトの40ステップの手作業は、確かに正常な状態に戻せますが、大きな環境では復旧まで数週間もかかってしまいます。Recovery Manager for Active Directoryは、Active Directoryフォレストの復旧を自動化し、復旧期間を5分の1から10分の1ほどへ短縮することが可能です。また、Recovery Manager for Active Directoryではサーバーマシンのドライバ、Windowsオペレーティングシステムを含めた『Active Directoryサーバーのベアメタル復旧』も可能です。さらに、『バーチャル・テスト・ラボ』という機能も搭載されており、本番データを用いてリカバリのテストや訓練を行うことも可能です」(梁氏)
大規模な組織でActive Directoryのフォレストを形成している場合、サイバー攻撃や自然災害などで環境全体に障害が発生するケースもある。このとき、1つ1つのサーバーで40ステップを実施すると、膨大な工数がかかってしまう。Recovery Manager for Active Directoryはフォレスト全体の復旧の自動化やベアメタル復旧ができるため、大幅な期間短縮を実現できるというわけだ。
属性やファイルレベルの復旧は、操作ミスなどで失ったデータをすみやかに戻したいケースに有効だ。誤って削除してしまった認証情報も、ドメインコントローラを再起動する必要もなく、簡単な操作であらゆるオブジェクトを復元できる。
このように柔軟なリカバリオプションが用意されているため、主要なドメインコントローラを優先的に復旧する段階的リカバリなど最適な方法を選択し、目標リカバリ時間(RTO)を短縮したい場合にも役に立つ。
「サイバー攻撃は、今後も増大・巧妙化していくことはまちがいありません。業務システムの中核たる認証基盤 ―― Active Directoryは、サイバー犯罪者が優先的に狙いたいシステムであることは明白です。事前対策・事後対策の両面から安全性を高め、操作ミスや自然災害などの障害を含めて、万が一に備えることが重要です」(梁氏)