セキュリティが強化された環境を維持する
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
法律番号 10: テクノロジは万能の解決策ではありません。 - セキュリティ管理に関する 10 の不変の法則
重要なビジネス資産に対して管理可能で安全な環境を作成したら、セキュリティで保護された状態を維持することに重点を移す必要があります。 AD DS インストールのセキュリティを向上させるための特定の技術的な制御を手にできたとしても、テクノロジだけでは環境は保護されず、IT がビジネスと連携してセキュリティで保護された有効なインフラストラクチャを維持することはできません。 このセクションの概略的な推奨事項は、効果的なセキュリティだけでなく、効果的なライフサイクル管理を開発するためのガイドラインとして使用することを意図しています。
場合によっては、IT 組織が既にビジネス ユニットと密接に関係している可能性があります。そうすると、これらの推奨事項の実装が容易になります。 IT とビジネス ユニットが密接に結び付いていない組織では、IT とビジネス ユニットの間により緊密な関係を築くことに取り組むために、まずエグゼクティブの支援を取り付けることが必要となる場合があります。 エグゼクティブ サマリーは、エグゼクティブ レビュー用のスタンドアロン ドキュメントとして役立てることを意図しており、組織内の意思決定者に広く配布できます。
Active Directory 用のビジネス中心のセキュリティ プラクティスの構築
過去には、多くの組織で情報技術は、サポート構造とコスト センターと見なされていました。 多くの場合、IT 部門はビジネス ユーザーからは分離され、やり取りは要求応答モデルに限られ、ビジネス側がリソースを要求し、IT がそれに応答するだけのものでした。
テクノロジが進化し、増大し続ける中で、"すべてのデスクトップ上にコンピューターを" というビジョンは事実上世界のほとんどの場所で実現し、現在利用できる多様で簡単にアクセスできるテクノロジによってそのビジョンは薄れてさえいます。 情報技術はもはやサポート機能ではなくなりました。それはコア ビジネス機能です。 仮にすべての IT サービスが利用できなくなったら組織は機能し続けることができなくなります。つまり組織の業務は、少なくともその一部は情報技術であるということです。
効果的な侵害復旧計画を作成するには、IT サービスが組織内のビジネス ユニットと密接に連携して、IT ランドスケープの最も重要なコンポーネントだけでなく、ビジネスに必要とされる重要な機能も特定する必要があります。 組織全体にとって何が重要であるかを特定することで、最も価値のあるコンポーネントのセキュリティ保護に重点を置くことができます。 とはいえ価値が高くないシステムやデータのセキュリティを怠ることを推奨しているわけではありません。 システムのアップタイムのサービス レベルを定義するのと同様に、資産の重大性に基づいてセキュリティ制御と監視のレベルを定義することを考慮すべきです。
最新の安全で管理可能な環境の構築に投資したら、次はそれを効果的に管理し、IT だけでなくビジネスによっても決定される効果的なライフサイクル管理プロセスを維持することに重点を移すことができます。 これを実現するには、ビジネスと提携するだけでなく、Active Directory のデータとシステムの "所有権" にビジネスを投資する必要があります。
指定されたオーナー、ビジネス オーナー、IT オーナーが不在のままデータとシステムが Active Directory に導入された場合には、システムのプロビジョニング、管理、監視、更新、最終的な使用停止に対する明確な責任の連鎖が存在していないことになります。 このインフラストラクチャは、システムによって組織がリスクにさらされるものの、所有権が不明確であるので使用停止にできないというものになってしまいます。 Active Directory インストールによって管理されるユーザー、データ、アプリケーション、システムのライフサイクルを効果的に管理するには、このセクションで説明する原則に従う必要があります。
Active Directory データのビジネス オーナーを割り当てる
Active Directory のデータには、特定のビジネス オーナー、つまり資産のライフサイクルに関する決定の連絡ポイントである特定の部門またはユーザーが必要です。 場合によっては、Active Directory のコンポーネントのビジネス オーナーが IT 部門またはユーザーになります。 ドメイン コントローラー、DHCP、DNS サーバー、Active Directory などのインフラストラクチャ コンポーネントは、たいていの場合、IT によって "所有" されています。 ビジネスをサポートするために AD DS に追加されるデータ (新しい従業員、新しいアプリケーション、新しい情報リポジトリなど) には、指定されたビジネス ユニットまたはユーザーをそのデータに関連付ける必要があります。
Active Directory を使用してディレクトリ内のデータの所有権を記録する場合でも、IT 資産を追跡するための別のデータベースを実装する場合でも、ユーザー アカウントを作成したり、サーバーやワークステーションをインストールしたり、レコードの指定されたオーナーなしでアプリケーションを展開したりしないでください。 システムを実稼働環境に展開した後にシステムの所有権を確立しようとすることは困難であり、場合によっては不可能です。 そのため、データが Active Directory に導入された時点で所有権を確立する必要があります。
ビジネス主導のライフサイクル管理を実装する
ライフサイクル管理は、Active Directory のすべてのデータに対して実装する必要があります。 たとえば、新しいアプリケーションが Active Directory ドメインに導入された場合、アプリケーションのビジネス オーナーは、定期的に、アプリケーションの継続的な使用を証明することが期待されます。 アプリケーションの新しいバージョンがリリースされると、アプリケーションのビジネス オーナーは通知を受け取り、新しいバージョンを実装するかどうか、いつ実装するかを決定する必要があります。
ビジネス オーナーが新しいバージョンのアプリケーションの展開を承認しないことを選択した場合、そのビジネス オーナーは、現在のバージョンがサポートされなくなる日付についての通知を受け取り、アプリケーションを使用停止にするか置き換えるかを決定する必要があります。 レガシ アプリケーションを実行し続け未サポートのままとすることは、選択すべきでありません。
ユーザー アカウントが Active Directory で作成されると、レコードのマネージャーはオブジェクト作成時に通知を受け取り、定期的にアカウントの有効性を証明することが求められます。 ビジネス主導のライフサイクルを実装し、データの有効性を定期的に証明することにより、データの異常を識別するのに最も適した人は、データを確認する人ということになります。
たとえば、攻撃者は、組織の名前付け規則とオブジェクトの配置に従って、有効なアカウントと思えるユーザー アカウントを作成する可能性があります。 これらのアカウントの作成を検出するには、指定されたビジネス オーナーなしで、すべてのユーザー オブジェクトを返す毎日のタスクを実装して、アカウントを調査することができます。 攻撃者がアカウントを作成し、ビジネス オーナーを割り当てる場合、指定されたビジネス オーナーに新しいオブジェクトが作成されたことを報告するタスクを実装することで、ビジネス オーナーはアカウントが正当であるかどうかを迅速に識別できます。
セキュリティ グループと配布グループに対して同様のアプローチを実装する必要があります。 一部のグループは IT によって作成された機能グループである場合があります。ただし、指定されたオーナーを割り当ててすべてのグループを作成することで、指定されたユーザーが所有しているすべてのグループを取得し、ユーザーにメンバーシップの有効性を証明するように求めることができます。 ユーザー アカウントの作成で用いられるアプローチと同様に、指定されたビジネス オーナーに対するレポート グループの変更をトリガーできます。 ルーチンにおいて、ビジネス オーナーが Active Directory のデータの有効性または無効性を証明することに費やす割合が高くなると、プロセスの失敗や実際の侵害を示す可能性のある異常をより確実に特定できるようになります。
すべての Active Directory データを分類する
ディレクトリに追加された時点ですべての Active Directory データのビジネス オーナーを記録することに加え、ビジネス オーナーにデータの分類を提供するように求める必要があります。 たとえば、アプリケーションにビジネス クリティカルなデータが格納されている場合、ビジネス オーナーは、組織の分類インフラストラクチャに従って、アプリケーションにラベルを付ける必要があります。
一部の組織では、データが盗まれたり公開されたりした場合にそのデータ漏えいによって発生する損害に応じてデータにラベルを付ける、データ分類ポリシーを実装しています。 他の組織では、データに重大性、アクセス要件、保有期間でラベルを付けするデータ分類を実装しています。 組織内で使用されているデータ分類モデルに関係なく、"ファイル" データだけでなく、Active Directory データにも確実に分類を適用できる必要があります。 ユーザーのアカウントが VIP アカウントの場合は、資産分類データベースで識別する必要があります (AD DS 内のオブジェクトで属性を使用してこれを実装するかどうか、または個別の資産分類データベースを展開するかどうか)。
データ分類モデル内には、次のような AD DS データの分類を含める必要があります。
システム
データを分類するだけでなく、サーバーの作成も分類する必要があります。 サーバーごとに、インストールされているオペレーティング システム、サーバーが提供する一般的な役割、サーバーで実行されているアプリケーション、レコードの IT オーナー、レコードのビジネス オーナー (該当する場合) を把握している必要があります。 サーバー上のすべてのデータまたはサーバーで実行されているすべてのアプリケーションには分類が必要です。また、サーバーは、サポートするワークロードの要件と、システムとデータに適用される分類に従ってセキュリティ保護する必要があります。 ワークロードの分類によってサーバーをグループ化できます。これにより、最も注意深い監視と最も厳格な構成が必要なサーバーを簡単に識別できます。
アプリケーション
機能 (実行内容)、ユーザー ベース (アプリケーションを使用するユーザー)、アプリケーションを実行するオペレーティング システムによって、アプリケーションを分類する必要があります。 バージョン情報、パッチの状態、その他の関連情報を含むレコードを維持する必要があります。 また、前述のように、処理するデータの種類によってアプリケーションを分類する必要もあります。
ユーザー
"VIP" ユーザーや重要なアカウントと呼んでいるとしても、別のラベルを使用しているとしても、攻撃者の標的となる可能性が最も高い Active Directory インストール内のアカウントには、タグを付けて監視する必要があります。 これは単に、ほとんどの組織ですべてのユーザーのすべてのアクティビティを監視するのが現実的ではないからです。 ただし、Active Directory インストールで重要なアカウントを特定できる場合は、このドキュメントで前述したように、それらのアカウントの変更を監視できます。
また、アカウントの監査時に、これらのアカウントに対する "想定される動作" のデータベースの構築を開始することもできます。 たとえば、ある特定のエグゼクティブはセキュリティで保護されたワークステーションを使用してオフィスや自宅からビジネス クリティカルなデータにアクセスしているが、他の場所からアクセスすることはほとんどないという場合、未承認のコンピューターからそのエグゼクティブのアカウントでデータへのアクセスが試行されたり、そのエグゼクティブが現在いないはずの地球の別の場所からデータへのアクセスが試行されたりしたことを確認した場合、その異常な動作を迅速に特定して調査できます。
ビジネス情報をインフラストラクチャと統合することで、そのビジネス情報を使用して誤検知を識別できます。 たとえば、環境の監視を担当する IT スタッフがアクセスできるカレンダーにエグゼクティブの出張が記録されている場合は、接続試行とエグゼクティブの所在がわかっている場所とを関連付けることができます。
たとえば、エグゼクティブの A 氏はシカゴにおり、セキュリティで保護されたワークステーションを使用してデスクからビジネス クリティカルなデータにアクセスしています。そして、アトランタにあるセキュリティで保護されていないワークステーションからのデータへのアクセス試行があり、それが失敗してイベントがトリガーされたとします。 エグゼクティブがその時点でアトランタにいたことを確認できれば、エグゼクティブまたはエグゼクティブのアシスタントに連絡して、失敗したアクセスが、セキュリティで保護されたワークステーションを使用してデータにアクセスすべきことをエグゼクティブが忘れていたことが原因であるかを判断することで、イベントを解決できます。 「侵害対策を計画する」で説明されているアプローチを使用するプログラムを構築することで、攻撃の検出と対応をさらに迅速に行うのに役立つ可能性がある、Active Directory インストール内の最も "重要な" アカウントに対して、想定される動作のデータベースの構築を開始できます。