Active Directory(AD、アクティブディレクトリ)にはアカウントやリソースなど、社内の資産に関するさまざまな情報が格納されています。そのためサイバー攻撃者も、ひとたび社内への侵入に成功した後はActive Directoryへ到達しようと試みます。その企てが成功してしまうと、重要な情報が盗み取られて脅迫に使われたり、社内の多くの端末にランサムウェアを拡散されたりするといった甚大な被害が生じてしまいます。
にもかかわらず、エンドポイントやネットワークといった他の領域に比べ、Active Directoryのセキュリティ対策はあまり進んでいないのが実情です。Active Directoryを再考する本対談の第2回では前回に続いて、KPMGコンサルティングの畠山 誠と、テナブル・ネットワーク・セキュリティ社(以下、テナブル社)の加藤 豪太氏、畑瀬 宏一氏に、どのような指針の下でActive Directoryを保護していくべきかを伺いました。
安定稼働させるだけで精一杯、グローバルレベルで見てもバラつきがある実情
Q:Active Directoryの保護は自社の資産を守る鍵を握っていますが、日本の一般的な企業ではどの程度対策が進んでいるのでしょうか?
加藤氏:Active Directoryの設定、運用にはさまざまな専門知識が必要で、日本に限らずグローバルレベルで見てもスペシャリストは限られています。その上、Active Directoryを安定的に運用させるだけでも多くの工数が取られてしまうため、セキュリティ面まで含めて細かく動きを監視できているかというと、手薄になっているのが実態ではないでしょうか。
Q:「Active Directoryは社内システムに存在し、インターネットとはダイレクトにつながっていないから大丈夫」という思い込みも、こうした傾向を助長させている可能性はありますか?
加藤氏:その可能性はあると思います。また大規模な企業では、社内に複数のドメインが存在しており、適切な管理はおろか、全体の可視化ができていないことも原因ではないでしょうか。企業としてActive Directoryの運用ルールを決めてはいても、それが徹底されているわけではないように感じています。
畠山:最近では、グローバルの複数の拠点にまたがってセキュリティレベルを調査するクライアントが増えています。KPMGもそのサポートをしていますが、社内の上位規定はグローバルで共通化しており、海外子会社もそこは守っているものの、具体的な実施手順といったレベルに落ちてくるとそれぞれバラバラに対策をとっている、というケースが珍しくありません。Active Directoryの保護も同様で、海外子会社が個別に対策を実施しており、セキュリティレベルがバラバラという状況が、いままさに起きているのではないでしょうか。やはり、全体でセキュリティをまとめていき、その一環としてActive Directoryも一貫した管理を行っていく必要があると考えています。
Q:もしかすると、シャドーITや野良無線アクセスポイントのように、「野良ドメインコントローラ」も存在しているのでしょうか?
畑瀬氏:存在する可能性は高いでしょう。世の中のほとんどの企業では端末にWindowsを採用しており、管理のためにActive Directoryを採用しています。しかし、システム部門では、安定的に稼働させるだけで精一杯で、セキュリティ対策となると手が回らないし、知識もないという状態ではないでしょうか。最近では、Active Directoryが侵害されたというニュースを耳にして対策の必要性を感じ、私どものツールを使ってチェックを実施するケースも増えています。その結果、「こんなところにこんなものがあったのか」と驚く結果が、日本だけでなく海外でも多く報告されています。
加藤氏:少し規模の大きな会社になると、ドメインコントローラが10台、20台といった単位で増えていきます。さすがにドメインコントローラ自体が把握できていないケースは珍しいでしょうが、ドメイン同士の信頼関係が把握できていないケースはよくあるように思います。また、Active Directoryは数年、十数年にわたって長く運用されていくものです。その中で、もう使われていないアカウントが大量に残っているという問題も、現場ではよく発見されます。
予防、検知、復旧という3つの柱に基づくことがActive Directory保護の基本
Q:企業にとって非常に重要な情報が格納されているActive Directoryがこうした状況にあると、価値ある情報を狙うサイバー攻撃者にとっては格好のターゲットになってしまいますね。
畑瀬氏:それでなくとも攻撃者は常に、どこかに穴(不適切な設定等)がないかをくまなく調べ、少しでも隙があれば攻撃を仕掛けてきます。最初の突破口はフィッシングメールや端末へのマルウェア感染ですが、入り込んだ後は気づかれずにシステム内をくまなく探索し、Active Directoryにたどり着こうとします。
Q:どうやって対策すればよいのでしょうか?
畑瀬氏:まず、エンドポイントの監視ツールなどと併用しながら、社内の不審な動きがあったら早期に検知し、Active Directoryに到達する前に食い止めることで被害を小規模に抑えることができるでしょう。また、万一Active Directoryに到達されたとしても、適切な設定を行って保護しておくことで、社内で一斉に被害に遭う事態を防ぐことができると思います。
畠山:今指摘された「予防」に加え、「検知」と「復旧」の3つの対策が基本的な考え方になるでしょう。まず、設定が適切かどうかを定期的に確認するとともに、最小権限の原則に基づいて何か侵害があったとしても被害を最小化するといった、予防的な対策が必要です。次に、リアルタイムでのモニタリングによって、「設定に変更が加わった」「新たなオブジェクトが追加された」「特権が利用された」といった事柄を即座に把握し、不正な兆候があればアラートを発するような検知が必要になります。そして、いざアラートが上がったときには、本当にインシデントかどうかを切り分け、必要に応じて対策に着手するインシデント対応体制やプロセスを整備する、復旧も重要です。Active Directoryの場合は、止まってしまうと全業務システムが停止してしまう恐れがありますから、業務継続を考えると素早く止血対応を実施する、そうした備えも必要になると思います。
Q:この3つはどれか1つではなく、セットで進めなければいけないのでしょうか?
畠山:そうですね。これからのセキュリティ対策は、「攻撃される可能性はある」という前提に立って考えなくてはなりません。そうすると、予防だけでもなく、検知だけでもなく、復旧も含めた3つすべての対策が必要だと思います。
※本文中に記載されている会社名・製品名は各社の登録商標または商標です。
セキュリティの落とし穴 ~Active Directoryを再考する
関連リンク
テナブル・ネットワーク・セキュリティ社と対談シリーズです。第1回にリンクします。2回目以降はリンク先からご覧いただけます。