2009年06月03日 07時30分 UPDATE
特集/連載

パスワード1つでも大きなリスクにActive Directoryで見過ごされがちなセキュリティの問題

Active DirectoryはWindowsコンポーネントの中でも過小評価されがちだが、確実に手を打っておきたいセキュリティ問題も存在する。

[Kevin Beaver,TechTarget]

 Active Directoryは、Windowsの中で最も過小評価され、見過ごされがちなコンポーネントの1つだ。多くの管理者がこれを「ただそこにあって手を掛けなくていいもの」と見なし、セキュリティ面でも大した注意を払わない。だが、確実に手を打っておきたいActive Directoryのセキュリティ問題も存在する。

 わたしが最も気にするのは、ビジネスリスクを最低限に抑えるために使う技術について記した、最低限のセキュリティ手順と基準に関する文書が存在しないことだ。これはActive Directoryにも当てはまる。しかしこの点には、高いレベルの監査を受ければ指摘される以上の問題がある。管理者全員が職務や責務を問わず、それぞれ平等なシステムへのアクセス権を持っているケースを、わたしは数多く見てきた。

 セキュリティ部門を通じてActive Directoryの責任を代表する者がほとんどあるいはまったくいなければ、担当者間の職務分担に関してかなり深刻な問題が発生しかねない。陣容1、2人の小さな部門なら問題にならないかもしれないが、複数の担当者やチームがかかわるような規模の大きい組織の場合、こうした責任の不在があらゆる種類のビジネスリスクにつながる可能性のあることは、想像に難くない。

 個々のフォレスト(Active Directoryの最上位の管理単位)間における片方向の信頼関係を最小限にしか利用していない問題もある。例えば最初は小規模だったネットワークがだんだん大きくなっていった場合、さかのぼって設定をやり直す時間が誰にもないこともある。こうしたケースで、信頼できないDMZフォレストがローカルのフォレストと信頼関係を結んでいると、悪影響が出かねない。中枢的な内部ネットワーク(例えば研究開発部門や法務部門のネットワークなど)が、それよりも大きなActive Directory構造と共存している状況をわたしは目の当たりにしてきた。このような状況では、もしもネットワークの一部がパッチ不在や設定ミス、弱いパスワードなどによって不正アクセスされた場合、すべてが危険にさらされる。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news075.jpg

楽天と楽天データマーケティング、広告主向けマーケティングツール「RMP - For Brands」を提供開始
楽天と楽天データマーケティングは、「楽天市場」における広告主向けマーケティングツー...

news067.jpg

データで振り返る「山田孝之の1日受付」、測ったバストは合計222メートル56センチ
ミーアンドスターズとシーオーメディカルはSHIBUYA109にてイベントを開催。俳優でミーア...

news021.jpg

GDPR、施行目前でも「知らない」「理解していない」が6割超──トレンドマイクロ調査
施行が2018年5月25日に迫るGDPR。その認知や理解は進んでいるのでしょうか。