2009年06月03日 07時30分 UPDATE
特集/連載

パスワード1つでも大きなリスクにActive Directoryで見過ごされがちなセキュリティの問題

Active DirectoryはWindowsコンポーネントの中でも過小評価されがちだが、確実に手を打っておきたいセキュリティ問題も存在する。

[Kevin Beaver,TechTarget]

 Active Directoryは、Windowsの中で最も過小評価され、見過ごされがちなコンポーネントの1つだ。多くの管理者がこれを「ただそこにあって手を掛けなくていいもの」と見なし、セキュリティ面でも大した注意を払わない。だが、確実に手を打っておきたいActive Directoryのセキュリティ問題も存在する。

 わたしが最も気にするのは、ビジネスリスクを最低限に抑えるために使う技術について記した、最低限のセキュリティ手順と基準に関する文書が存在しないことだ。これはActive Directoryにも当てはまる。しかしこの点には、高いレベルの監査を受ければ指摘される以上の問題がある。管理者全員が職務や責務を問わず、それぞれ平等なシステムへのアクセス権を持っているケースを、わたしは数多く見てきた。

 セキュリティ部門を通じてActive Directoryの責任を代表する者がほとんどあるいはまったくいなければ、担当者間の職務分担に関してかなり深刻な問題が発生しかねない。陣容1、2人の小さな部門なら問題にならないかもしれないが、複数の担当者やチームがかかわるような規模の大きい組織の場合、こうした責任の不在があらゆる種類のビジネスリスクにつながる可能性のあることは、想像に難くない。

 個々のフォレスト(Active Directoryの最上位の管理単位)間における片方向の信頼関係を最小限にしか利用していない問題もある。例えば最初は小規模だったネットワークがだんだん大きくなっていった場合、さかのぼって設定をやり直す時間が誰にもないこともある。こうしたケースで、信頼できないDMZフォレストがローカルのフォレストと信頼関係を結んでいると、悪影響が出かねない。中枢的な内部ネットワーク(例えば研究開発部門や法務部門のネットワークなど)が、それよりも大きなActive Directory構造と共存している状況をわたしは目の当たりにしてきた。このような状況では、もしもネットワークの一部がパッチ不在や設定ミス、弱いパスワードなどによって不正アクセスされた場合、すべてが危険にさらされる。

ITmedia マーケティング新着記事

news126.jpg

SMSでもワンツーワン配信、ユミルリンクが「Cuenote SMS」に機能追加
SMS配信サービス「Cuenote SMS(キューノート SMS)」にURLクリックカウント、差し込み配...

news066.jpg

継続・解約の理由は? 電通ダイレクトマーケティングが健康食品とスキンケア化粧品の定期購入者の実態を調査
年間購入金額は「1万円〜2万円未満」が2割ほどで最も多く、高年齢ほど年間購入金額が大き...

news042.jpg

Tableauが考えるデータドリブン経営におけるコミュニティーの役割
データ活用を組織全体にスケールさせる上で欠かせないこととは何か。