検索
特集/連載

Active Directoryで見過ごされがちなセキュリティの問題パスワード1つでも大きなリスクに

Active DirectoryはWindowsコンポーネントの中でも過小評価されがちだが、確実に手を打っておきたいセキュリティ問題も存在する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 Active Directoryは、Windowsの中で最も過小評価され、見過ごされがちなコンポーネントの1つだ。多くの管理者がこれを「ただそこにあって手を掛けなくていいもの」と見なし、セキュリティ面でも大した注意を払わない。だが、確実に手を打っておきたいActive Directoryのセキュリティ問題も存在する。

 わたしが最も気にするのは、ビジネスリスクを最低限に抑えるために使う技術について記した、最低限のセキュリティ手順と基準に関する文書が存在しないことだ。これはActive Directoryにも当てはまる。しかしこの点には、高いレベルの監査を受ければ指摘される以上の問題がある。管理者全員が職務や責務を問わず、それぞれ平等なシステムへのアクセス権を持っているケースを、わたしは数多く見てきた。

 セキュリティ部門を通じてActive Directoryの責任を代表する者がほとんどあるいはまったくいなければ、担当者間の職務分担に関してかなり深刻な問題が発生しかねない。陣容1、2人の小さな部門なら問題にならないかもしれないが、複数の担当者やチームがかかわるような規模の大きい組織の場合、こうした責任の不在があらゆる種類のビジネスリスクにつながる可能性のあることは、想像に難くない。

 個々のフォレスト(Active Directoryの最上位の管理単位)間における片方向の信頼関係を最小限にしか利用していない問題もある。例えば最初は小規模だったネットワークがだんだん大きくなっていった場合、さかのぼって設定をやり直す時間が誰にもないこともある。こうしたケースで、信頼できないDMZフォレストがローカルのフォレストと信頼関係を結んでいると、悪影響が出かねない。中枢的な内部ネットワーク(例えば研究開発部門や法務部門のネットワークなど)が、それよりも大きなActive Directory構造と共存している状況をわたしは目の当たりにしてきた。このような状況では、もしもネットワークの一部がパッチ不在や設定ミス、弱いパスワードなどによって不正アクセスされた場合、すべてが危険にさらされる。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る