2009年06月03日 07時30分 UPDATE
特集/連載

パスワード1つでも大きなリスクにActive Directoryで見過ごされがちなセキュリティの問題

Active DirectoryはWindowsコンポーネントの中でも過小評価されがちだが、確実に手を打っておきたいセキュリティ問題も存在する。

[Kevin Beaver,TechTarget]

 Active Directoryは、Windowsの中で最も過小評価され、見過ごされがちなコンポーネントの1つだ。多くの管理者がこれを「ただそこにあって手を掛けなくていいもの」と見なし、セキュリティ面でも大した注意を払わない。だが、確実に手を打っておきたいActive Directoryのセキュリティ問題も存在する。

 わたしが最も気にするのは、ビジネスリスクを最低限に抑えるために使う技術について記した、最低限のセキュリティ手順と基準に関する文書が存在しないことだ。これはActive Directoryにも当てはまる。しかしこの点には、高いレベルの監査を受ければ指摘される以上の問題がある。管理者全員が職務や責務を問わず、それぞれ平等なシステムへのアクセス権を持っているケースを、わたしは数多く見てきた。

 セキュリティ部門を通じてActive Directoryの責任を代表する者がほとんどあるいはまったくいなければ、担当者間の職務分担に関してかなり深刻な問題が発生しかねない。陣容1、2人の小さな部門なら問題にならないかもしれないが、複数の担当者やチームがかかわるような規模の大きい組織の場合、こうした責任の不在があらゆる種類のビジネスリスクにつながる可能性のあることは、想像に難くない。

 個々のフォレスト(Active Directoryの最上位の管理単位)間における片方向の信頼関係を最小限にしか利用していない問題もある。例えば最初は小規模だったネットワークがだんだん大きくなっていった場合、さかのぼって設定をやり直す時間が誰にもないこともある。こうしたケースで、信頼できないDMZフォレストがローカルのフォレストと信頼関係を結んでいると、悪影響が出かねない。中枢的な内部ネットワーク(例えば研究開発部門や法務部門のネットワークなど)が、それよりも大きなActive Directory構造と共存している状況をわたしは目の当たりにしてきた。このような状況では、もしもネットワークの一部がパッチ不在や設定ミス、弱いパスワードなどによって不正アクセスされた場合、すべてが危険にさらされる。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news021.jpg

ソーシャルビッグデータで占う東京都知事選、現在の情勢は?
「調査のチカラ」にストックされた8万件の調査データをさまざまな角度から紹介する週末企...

news135.jpg

シャノン、「イベントマーケティングアナリティクス」を提供開始
シャノンは、マーケティングオートメーションツール「SHANON MARKETING PLATFORM」に、イ...

news023.jpg

「顧客ターゲット」を捨て去る勇気――神田昌典、MAで変わるマーケティングの“新常識”を語る
「日本一のマーケター」と呼ばれる神田昌典氏の目に映るマーケティングオートメーション...