【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(前編)

ドメイン参加しているコンピューターがドメイン認証を使用してログオンする場合、まずはドメインコントローラーと通信を行い、認証をおこなう必要があります。しかし、外出先などでドメインコントローラーにアクセスできない環境の場合でも、一時的にドメインユーザーを使用して端末にログオンすることができるように、Windowsではログオン資格情報をキャッシュして保持しています。ログオンのキャッシュ機能が有効になっている場合、ログオンに成功したときの資格情報が、デフォルトで10個までキャッシュされます。そして10個を超えた場合、古いものから削除され、常に最新10個の情報が有効となります。

この機能があることにより、ドメインコントローラーと通信ができない環境でも、ドメインユーザーを使用したログオンが可能となります。それは、利用者にとっては便利な機能となりますが、場合によっては危険を伴う可能性があります。例えば、ドメイン参加している端末に不正侵入されてしまった際に、キャッシュ情報から、管理者アカウントの情報まで盗まれてしまうというリスクが考えられます。

そこで、JPCERT/CCでは、管理者アカウントを使用してドメインコントローラーに接続し、管理を行う端末を「管理専用端末」として限定して運用する方法を推奨しています。以下では、JPCERT/CCが提供している資料をもとに管理専用端末設置の必要性についてご説明します。

管理者専用端末設置の必要性

管理者アカウントの認証情報が保持されている端末はサイバー攻撃の対象となりやすいため、管理者専用端末を用意し、管理者アカウントを使用したドメインコントローラーやサーバーの管理を、専用端末に限定する方法が推奨されています。さらに、ファイアウォールやルータなどを使用して、管理専用端末の通信先を制限することで、サイバー攻撃のリスクをより軽減することが可能です。以下の図は、Microsoft社が推奨しているセグメント化の例となります。

図1 セグメント化の例

● DCセグメント
ドメインコントローラーおよびドメイン管理者権限を使用する端末(管理専用端末)だけを設置
● サーバセグメント
インターネットに公開しない重要なサーバおよび各サーバの管理専用端末だけを設置
● クライアントセグメント
一般ユーザが使用する業務用端末を設置

※ JPCERT/CC 「ログを活用したActive Directoryに対する攻撃の検知と対策」より引用

しかし、セグメントごとにファイアウォールを設置し、それぞれをきちんと管理していくことは、すべての企業にとって容易なことではありません。そこで、JPCERT/CCの資料には、補足として以下の内容が記載されています。

前提条件を満たすのが難しい場合は、運用ルールで制限することによって一定の効果が期待できる

注）前提条件‥ファイアウォールやルータを使用して、管理専用端末からのインターネット接続を必要最小限に制限する

弊社では、「運用ルールで制限」という部分について、特権ID管理ツールであるPassword Manger Proと、ログの監査ツールであるADAudit Plusを併用したソリューションを提唱しています。後編では、JPCERT/CCが提唱している内容に対して、弊社の2製品を使用した場合にどう対応できるかをご紹介していきたいと思います。

後編へ移動 >> 【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(後編)