新型コロナウイルスの感染拡大は収束の兆しが未だに見えず、影響を受けている企業も少なくありません。

感染拡大防止のために、日本でも多くの企業がテレワークの導入と実施を始めました。

従業員はオフィスだけでなく、自宅やカフェから時間や場所を問わずに、オンプレミスやクラウド環境の業務アプリケーションやデバイスへアクセスできるようになりました。

これまでよりも利便性の高いIT環境が整ったことで、ライフスタイルにあった柔軟な働き方を実現できます。

その一方で、組織は複雑化の一途を辿るIT環境において、増え続ける外部からのサイバー攻撃だけでなく、内部の不正、情報の改ざん、人為的ミスなどの様々な脅威から、情報資産、知的財産を保護しなければならなくなりました。

IT部門が抱えるセキュリティに関する課題は多岐に渡りますが、対応を怠ってしまうと情報漏えい、システムダウンによる業務停止、営業利益の損失、多額の損害賠償などの被害を被り、ひいては顧客からの信頼を失うことに繋がりかねません。

そこで、今回は別ブログにてご紹介している「情報セキュリティ10大脅威」の中から“情報漏えい”に着目し、多くの組織においてID基盤となっているActive Directory管理の重要性と強化について紹介していきたいと思います。

参考：情報セキュリティ10大脅威 2020：IPA 独立行政法人 情報処理推進機構

参考：情報セキュリティ10大脅威 2021：IPA 独立行政法人 情報処理推進機構

Active Directory管理の課題と重要性について

「Active Directory (AD)」はマイクロソフトが開発した管理対象のネットワーク上に存在する様々なリソースやその利用者の情報、権限などを一元的に管理する仕組みで、Windows Serverベースのシステムに認証の機能を提供します。

組織はADのアカウントとアクセス権の管理を適切に行うことにより、従業員が社内のリソースや業務アプリケーションに対してシングルサインオンでアクセスできるようになります。

ADを正しく運用できれば、組織は安全なセキュリティ対策を講じることができるだけでなく、従業員の業務効率も向上し企業の利益を増やすことにも繋がります。

しかし、ADは組織と従業員のセキュリティとガバナンスを制御する上で非常に重要な役割を担っている反面、ADの管理が不十分であった場合には、情報漏えいや生産性の低下など問題に発展する可能性があります。

例えば、

• 不適切な人が不必要な情報へアクセスし情報の閲覧、持ち出し、削除を行なってしまう
• アカウントの乗っ取りや“なりすまし”により外部から社内の情報が抜き取られてしまう
• アクセス権限が不足していて必要なリソースへアクセスできず業務が滞ってしまう

などが挙げられます。

IT部門は、日々増え続ける様々な業務アプリケーションやデバイスを管理しつつ、重要な認証基盤であるADの管理も並行して行わなければなりません。

少人数で社内システムを運用されている組織では、AD専任の担当者を採用しているIT部門は少ないのではないのでしょうか。

そして、大きな組織であってもIT部門に十分な人員を確保できていない場合、以下のようなAD管理に関する課題を持たれているのではないでしょうか。

• ADの知識・経験を持つ技術者の確保
• 定期的にやってくる組織変更・人事異動への対応
• 増え続けるリソースに対する効率的なアクセス権の付与
• 現在の状態、変更後の状態を把握するための可視化
• 不正アクセスの検知、管理者へのリアルタイム通知
• 人為的ミスの防止および障害発生時の迅速な復旧

組織が安全かつ適切にADを運用する為には、人員不足を補えるよう管理負荷を削減し、人為的ミスを極力軽減できるように技術を一定化するための対策をとる必要があります。

その有効な手段として、ADの有識者の知識と経験が集約されたソフトウェアの採用を検討されてみてはいかがでしょうか。

ADを安全かつ効率的に管理するための解決策

(1)ADの管理品質を一定化し効率化する方法とは？

まず、ADの管理タスクを実行する際、PowerShellコマンドを実行する必要があります。

管理コンソール (ADUC) からひとつずつ確認し設定することも可能ですが、PowerShellで実行しなければならないタスクもありますし、ユーザーアカウントの一括登録など複数の作業をまとめて実行するにも必要になります。

決まった作業を実施するために幾つかのPowerShellコマンドを覚えるだけならそれほど苦労はしないかもしれませんが、要望に応じて柔軟にかつ迅速に大量のADオブジェクトを操作できるようになるには時間と経験が必要です。

日本の文化として、4月に新入社員が大勢入社し、半年もしくは四半期毎に組織の変更や人事異動が行われたり、不定期で退職者がでる場合もあります。

そういった組織変更にもタイムリーに対応し、ADのOU、グループ、ユーザーアカウントの移動やアクセス権の付け替えなど、異動する部署や従業員数に合わせて同様の操作を繰り返し実行しなければなりません。

これは作業量が多いだけでなく人為的ミスも起こりやすく、IT部門にとって最も負荷を下げたい作業のひとつだと思います。

また、マイクロソフトのクラウドサービスを利用している場合は、オンプレミスのADだけでなく、Azure ADとの連携・管理も必要となり、電子メールサービスExchange Online、ドキュメント管理サービスSharePoint Online、コラボレーションサービスMicrosoft Teamsなども利用している場合、IT管理者はこれらサービスも考慮した上でADを管理しなければなりません。

すべてのIT管理者がADに対して同じだけのノウハウと経験値を蓄積しているわけではないため、作業品質や作業時間を一定にするためにかかる教育時間とコストは少なくありません。

知識と技術差を減らして作業品質を一定に保ち、繰り返し行われる作業を自動化して効率化する、即効性のある解決策として、ManageEngine ADManager Plusを紹介させて頂きます。

ADManager Plusは、WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。

誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。
Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。

ADManager Plusを利用することで、IT管理者は単一の管理コンソールからAD管理に関するあらゆる作業を実行することができるようになります。

今まで手作業で行なってきたPowerShellスクリプトの作成や実行は不要となり、既に実装されているAD管理用テンプレートを用いることで作業を簡素化し、品質も一定に保つことができるようになります。

またGUIもすべて日本語化されているため、管理操作も直感的に行うことができます。
今まで苦労していた大量のユーザーアカウント管理も、ADManager Plusによって大幅に改善できると思います。

ADManager Plus について詳しくはこちら
https://www.dtc.co.jp/zoho_manageengine_products#admanager_plus

(2) ADの棚卸し、現状を可視化する方法とは？

ADの現状を把握することも大変重要な作業なのですが、やはりこちらも時間と手間がかかります。

前述のAD管理作業を実施するにしても、現在の組織の状態を把握しておかなければ、ユーザーアカウントへの設定漏れや不必要な変更を行なってしまうかもしれません。

例えば、退職者のユーザーを無効化し忘れてしまいアクセス可能な状態のままになってしまった、従来の名前付けルールと異なる名前でユーザーを作成してしまい連絡先で見つけられなかった、既に同姓同名の従業員がいてユーザーの作成に失敗した、などの人的ミスなどです。

細かなことですが大きな問題に発展する可能性があります。

手動で現状を把握する場合は、ADUCからひとつずつ目視で確認したり、PowerShellコマンドを実行して必要な情報をCSVファイルに出力しExcelで加工する、などの方法もあります。

しかし、これらの作業を行うにはやはり時間がかかります。

確認する度に手動で情報を作成しなければならないのでは、何か問題があった時にすぐに解決できません。

また、ファイルサーバーへのアクセス権を把握することも非常に重要です。

大切なデータを保持するファイルサーバー、フォルダ、ファイルの数が多ければ多いほど、全体の容量、アクセス許可の設定、使用頻度などを把握することが困難となります。

もし大切な顧客情報、売り上げデータ、人事情報が保存されているフォルダに誤ったアクセス権が設定されてしまった場合、情報漏洩のリスクが高まり、万が一情報が流出してしまうと間違いなく顧客の信頼を失います。

こちらもWindowsコマンドを利用してNTFSのアクセス許可を取得し、手動でリストを作成することができると思います。

しかし、誰が、どのフォルダやファイルに、どんな権限を持ってアクセス可能であるのか、すぐに可視化する仕組みがあれば、管理負荷を下げるだけでなく、セキュリティリスクを大幅に減らせます。

必要な時にオンデマンドで簡単に情報を参照できれば、問題が発生した時も、定期的な組織変更にもスムーズに対応できるでしょう。

このようなADやファイルサーバーの現状を可視化する仕組みとして、(1) ManageEngine ADManager Plusの「Active Directoryレポート」機能があります。

150種類以上の定義済みレポートテンプレートを用いて、いつでも見たい時にADの情報を参照頂けます。

ユーザー、グループ、OUに関する情報はもちろん、NTFS/共有やフォルダーへのアクセス許可レポートも簡単にご覧頂けます。

このレポート機能を用いることで、ADへの変更作業を行う前と後で、何をどのように変更したのか履歴が残せるようになります。

万が一変更後何らかの不具合が発生した場合、すぐに変更箇所を確認し間違いを変更前の状態に戻せるようになります。

ユーザーやファイルサーバーへのアクセス許可だけでなく、組織全体に影響を及ぼすグループポリシーやExchange、Microsoft 365に関するレポートも用意されており、管理者にとって役立つレポートが充実しています。

まとめ

今回は情報漏えい対策におけるActive Directory管理の強化策として、“管理作業の一定化と効率化”、そして“情報の棚卸しと可視化”についてご紹介しました。

次回はActive Directoryの“監査”やその他の強化策をご紹介いたします。

​​​​​​​