Active Directoryで見過ごされがちなセキュリティの問題パスワード1つでも大きなリスクに

Active DirectoryはWindowsコンポーネントの中でも過小評価されがちだが、確実に手を打っておきたいセキュリティ問題も存在する。

2009年06月03日 07時30分 公開
[Kevin Beaver,TechTarget]

 Active Directoryは、Windowsの中で最も過小評価され、見過ごされがちなコンポーネントの1つだ。多くの管理者がこれを「ただそこにあって手を掛けなくていいもの」と見なし、セキュリティ面でも大した注意を払わない。だが、確実に手を打っておきたいActive Directoryのセキュリティ問題も存在する。

 わたしが最も気にするのは、ビジネスリスクを最低限に抑えるために使う技術について記した、最低限のセキュリティ手順と基準に関する文書が存在しないことだ。これはActive Directoryにも当てはまる。しかしこの点には、高いレベルの監査を受ければ指摘される以上の問題がある。管理者全員が職務や責務を問わず、それぞれ平等なシステムへのアクセス権を持っているケースを、わたしは数多く見てきた。

 セキュリティ部門を通じてActive Directoryの責任を代表する者がほとんどあるいはまったくいなければ、担当者間の職務分担に関してかなり深刻な問題が発生しかねない。陣容1、2人の小さな部門なら問題にならないかもしれないが、複数の担当者やチームがかかわるような規模の大きい組織の場合、こうした責任の不在があらゆる種類のビジネスリスクにつながる可能性のあることは、想像に難くない。

 個々のフォレスト(Active Directoryの最上位の管理単位)間における片方向の信頼関係を最小限にしか利用していない問題もある。例えば最初は小規模だったネットワークがだんだん大きくなっていった場合、さかのぼって設定をやり直す時間が誰にもないこともある。こうしたケースで、信頼できないDMZフォレストがローカルのフォレストと信頼関係を結んでいると、悪影響が出かねない。中枢的な内部ネットワーク(例えば研究開発部門や法務部門のネットワークなど)が、それよりも大きなActive Directory構造と共存している状況をわたしは目の当たりにしてきた。このような状況では、もしもネットワークの一部がパッチ不在や設定ミス、弱いパスワードなどによって不正アクセスされた場合、すべてが危険にさらされる。

ITmedia マーケティング新着記事

news056.jpg

2024夏アニメの人気維持率 「負けヒロインが多すぎる!」の特異な動き
ブシロードのグループ会社であるゲームビズは「アニメビジネスインサイト『データで見る2...

news063.jpg

約8割の人が経験する「見づらいホームページ」 最も多い理由は?
NEXERはくまwebと共同で「見づらいホームページ」に関するアンケートを実施した。

news119.jpg

スマホ時間の奪い合い「利用者増えても、利用時間は減少」 唯一の勝者は?
データマーケティング支援のGlossomは、「スマートフォンでのメディアとコマースの利用に...