バージョンアップと適切な運用でセキュリティリスクを軽減
――パスワードや権限の管理を適切に行っている企業も多いはずです。それでも、特にActive Directoryが狙われるのには理由があるのでしょうか。
まず、Active Directoryは基本的に、止められない重要なサービスであるというのが大きいと思います。そのため、対策保守の実施にも時間がかかるケースが多いのです。マイクロソフトがリリースする月例のパッチも、一度検証機で検証を行ってから本番環境に適用するといった慎重な運用を行っている企業も多いですし、同様の理由で緊急パッチもリリース後に即適用されることは多くありません。攻撃者はそこを狙ってきます。
もうひとつの理由は、サーバーOSのバージョン自体が古いままで運用されている企業が多いことでしょう。Windows Serverの最新版は2012ですが、まだまだ以前の2008や2003のシリーズも多く現場で使われています。サーバーOSのバージョンアップには、さまざまな検証が必要で時間と手間がかかり、見送られるケースも多いのです。そのため、古いバージョンに残されている脆弱性を狙った攻撃も常套手段になっています。
――Windows Serverのバージョンを上げるだけでも防げる攻撃は多いのでしょうか。
Windows Serverは、バージョンが上がるごとに実装されるセキュリティ機構の追加と強化がされており、セキュリティレベルは向上しています。それに伴い、Active Directory の機能も強化され、標準の機能でできるセキュリティ対策は幅が広がり、柔軟性に富んだ設定ができるようになっています。
例えば2008以降のActive Directoryでは、同一ドメイン内でもグループ毎に異なったパスワードポリシーの設定が可能になりました。リモートアクセスの制御、接続クライアントの制限、より強固な認証方式の利用、ダイナミックアクセス制御など、さまざまな機能が追加されています。
注意すべき点としては、OSのバージョンアップに合わせて、ドメインの機能レベルを最新にするということでしょうか。新規に構築した場合は標準で有効になっている機能が、アップグレードの場合には下位互換性の問題から未構成になるポリシーもあります。新バージョンで新たに利用できるポリシーを確認した上で、確実に利用できるよう有効化する作業が必要です。
――OSのバージョンアップに加え、企業内システムの管理にあたって注意すべき点はありますか。
ここからは、セキュリティ維持のための、一般的な運用ポリシーについての話になりますね。
例えば「管理者グループ」のアカウントは、それぞれの役割に応じて「必要な部分だけを管理する」ための権限を与え、管理する役割を分離することが重要です。Active Directoryには特定の権限のみに限定された管理者グループが多数用意されていて、実行可能な操作を細かく分類することが可能です。また、管理者権限を持つアカウントについては、一般ユーザーより強固なパスワードポリシーを設定したり、複数の要素を用いた認証方式を使ったりといった対策が有効だと思います。
また、管理用サーバーセグメントを分離し、そのセグメントにアクセス可能な端末を制限するといった、アクセス制御も有効な手段です。そして、Active Directoryサーバーに限った対策ではありませんが、有効にするサービスや機能は必要最小限に留め、使用していない機能は無効にすることが重要です。
それに加え、イベントログを普段から定期的に監査して、通常と違ったアクセスや攻撃と思われるアクセスの痕跡をなるべく早く見つけ、適切な対策を行うことも大切です。定期的な監査は手間のかかる作業ですが、詳細なセキュリティの監査ポリシーを適用しておけば、セキュリティ違反を早期に発見できます。
管理用サーバーの設定や運用ポリシーを見直すことは、潜在的なセキュリティ上の問題の洗い出しに繋がり、企業としてセキュリティレベルの向上を目指す上では有効な選択肢だと思います。
――ありがとうございました。
資料のご提供サイバー攻撃対策コンサルティング
サイバー攻撃に対し取るべき対策を明確化し、取り組むための優先度、進め方、方法をご提案するSCSK株式会社の「サイバー攻撃対策コンサルティング」PDF資料を無料でご提供中です。
サイバー攻撃が現実化した場合どの程度影響が発生するのかわからない、現状の対策がサイバー攻撃に対してどの程度有効かわからない、サイバー攻撃対策として何を行ったら良いかわからないと思っている方は、この機会にせひご覧ください。