企業のITセキュリティを考える際には「多層防御」のアプローチが有効だと言われる。これは、ネットワーク、アプリケーション、OSやミドルウェアなどのシステムインフラ、エンドポイントといった、企業システムを構成しているそれぞれの層で、技術的、運用的に適切な対策を実施するという考え方だ。

このアプローチの課題は、広範囲におよぶ対象を漏れなく管理に入れ、状況の変化に応じた適切な対応を適宜行っていく必要がある点だ。全体に目が行き届かず、どこか一部に脆弱性があると、そこを足がかりとしてシステム全体が危険にさらされるリスクが増大してしまう。

「公開サーバーや境界ネットワークのセキュリティ対策は講じていても、いざ侵入された場合に内部からの攻撃を想定した対策は手薄になりがちです。特にActive Directoryをはじめとする管理サーバーのセキュリティ管理に懸念を感じています」と語るのは、SCSK、ITマネジメント事業本部基盤インテグレーション事業本部グローバルセキュリティソリューション部サイバーセキュリティソリューション課エンジニアの濱松愛氏だ。

濱松氏に、Windows ServerをOSとしたシステムに対するセキュリティ管理が「手薄」になりがちな理由と、その危険性、具体的な対策方法について聞いた。

プロフィール

濱松愛(HAMAMATSU Ai)
――SCSK ITマネジメント事業部門 基盤インテグレーション事業本部 グローバルセキュリティソリューション部 サイバーセキュリティソリューション課 エンジニア


セキュリティ・オペレーション・センター(SOC)にて、ITシステムの監視や緊急対応および脆弱性診断を担当する。

仮想化システムやシンクライアントの構築など、さまざまなインフラに携わった経験を持ち、特にWindows Serverには造詣が深い。

資料のご提供

サイバー攻撃対策コンサルティング

サイバー攻撃に対し取るべき対策を明確化し、取り組むための優先度、進め方、方法をご提案するSCSK株式会社の「サイバー攻撃対策コンサルティング」PDF資料を無料でご提供中です。

サイバー攻撃が現実化した場合どの程度影響が発生するのかわからない、現状の対策がサイバー攻撃に対してどの程度有効かわからない、サイバー攻撃対策として何を行ったら良いかわからないと思っている方は、この機会にせひご覧ください。

⇒資料ダウンロードはこちらをクリック

標的型攻撃で狙われる「Active Directory」

――SCSKで、濱松さんはどんな業務に携わっているのですか。

私は現在、セキュリティ・オペレーション・センター(SOC)で、お客様にとって重要なITシステムの監視や、緊急対応に関連する業務に加え、脆弱性診断を行っています。

以前、主に仮想化システムやシンクライアントの構築と運用に携わっていたのですが、企業の社内システムの核となっている管理サーバー、特にActive Directoryの運用に関して、セキュリティ上の課題があると感じていました。

――Active DirectoryはWindows標準のディレクトリサービスです。特にその部分に課題を感じる理由は何でしょうか。

Active Directoryはコンピュータとユーザーを集中管理するシステムです。通常は外部に対して公開しないため、社外からのアクセスがあるシステムや、社内外の境界に位置するネットワークに比べると、Active Directory自身のセキュリティを確保する重要度が低く見られがちです。結果的に、長期的には運用がおざなりになる傾向があるように感じています。

通常「サイバー攻撃」と言えば、外部に公開されているシステムの脆弱性を狙った攻撃をイメージされるケースが多いと思います。ただ、最近話題になっている「標的型攻撃」のような手法では、執拗に特定の企業内の情報を窃取するための攻撃が繰り返されます。その際、一番に狙われるのは管理サーバーなのです。もしActive Directoryの管理者権限が奪取された場合、ドメイン内の全てのコンピュータとユーザーの掌握が可能になり、正規のユーザーとしてあらゆる操作が実行可能になります。そのため、攻撃者側にも、「Active Directoryへの攻撃は簡単で成功時の成果が大きい」という認識があります。

そこで、そうした攻撃手法に対応する意味でも、改めて社内のActive Directoryの運用について見直すことをお勧めしたいと思います。

――Windows Serverの運用が「おざなり」になりがちとのことですが、具体的にはどのような危険な運用が行われているのでしょうか。

例えば「脆弱なパスワードポリシー」や「管理者権限の濫用」といったケースです。

パスワードポリシーをはじめとするユーザー認証の仕組みは、社外からのアクセスがあるシステムでは十分に検討されていると思います。一方で、管理サーバーなどの社内向けのシステムでは運用における煩雑さを避けるため、管理者アカウントを複数ユーザーで使い回していたり、パスワードの強度やログイン履歴の監査などについても、充分に管理されているという状況ではありません。

万が一、標的型攻撃のターゲットとなったドメイン内の端末が攻撃者に乗っ取られ、内部ネットワークに侵入された場合、管理者権限を持つアカウントに脆弱なパスワードが利用されていたり、パスワードロックが有効に設定されていなければ、ブルートフォース(総当たり型のパスワードアタック)やPass-the-hashで簡単に権限を奪われてしまいます。

もうひとつの「管理者権限の濫用」は、本来であれば必要のないはずのユーザーに対して過大な管理者権限を発行し、そのままにしてしまうケースです。Active Directoryには「Domain Admins」という特権グループがあり、標的型攻撃では、特にこの権限を狙ってきます。このグループは、ドメイン内のすべてのリソースについて管理権限を持っているので、奪われた場合には、不慮のサービス停止を起こされたり、機密情報が奪われたりといった形で、企業として大きなダメージを受ける可能性があります。