Reading Time: 1 minutes

本投稿の前編では、JPCERT/CCが発行している資料をもとに管理専用端末の必要性についてご説明しました。後編では、弊社製品を使用した場合におけるソリューションについてご紹介します。

Password Manger ProとADAudit Plusを併用した対策

Password Manger Proとは、特権ID利用時の「申請/承認フロー」「操作画面の録画」「パスワードの非表示運用/自動更新」機能などを提供するツールであり、本製品を踏み台としてITリソースへアクセスすることで、特権IDへのアクセス経路を一本化することが可能です。本記事にて、特権IDとは管理者アカウント(例:Administrator)を指しますが、管理者アカウントを使用したドメインコントローラーへのアクセスをPassword Manger Proサーバーに限定し、管理専用端末として位置付けることで、JPCERT/CCが提唱している運用を可能とします。また、Password Manger Proを踏み台としてドメインコントローラーへアクセスすることで、操作内容はすべて動画として記録されるため、内部からドメインコントローラーに対して怪しい操作をしていないかということを、簡単に確認することができます。

▼ Password Manger Proの申請/承認ワークフロー

このように、管理専用端末としてPassword Manger Proサーバを設置することにより、管理専用端末を経由したドメインコントローラーへのアクセスが「本来の挙動」となり、それ以外のサーバーからのドメインコントローラーへのアクセスは「不審な挙動」となります。この「不審な挙動」について、次にご紹介するログ監査ツール「ADAudit Plus」を使用して検知を行います。

図2 Password Manger ProとADAudit Plusを用いた運用ルール

 

ADAudit Plusは、Active Direcory監査に特化したツールであり、リアルタイムにイベントログを収集、解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能なツールとなります。本製品を使用して不審な挙動を検知する場合、以下の2つの方法が挙げられます。

● 定義済みレポートから確認
● アラートを設定

定義済みレポートから確認する場合、ログオンレポートから、Password Manger Pro以外のサーバーから、ログオンを行った痕跡がないかを確認します。

図3 ログオン活動レポート

しかし、企業の規模にもよりますが、特に営業日にはログオンログはある程度の数が出力される場合が多いため、毎回目視でPassword Manger Proサーバー以外からのログオン有無を確認するのは、システム管理者にとって負荷が高く、効率が悪いといえます。そのため、不審な挙動の検知には、予めアラートを設定していただく運用方法を推奨しています。ADAudit Plusには、リアルタイム・アラート通知機能があり、当該機能を使用することで、特定のサーバー以外からドメイン認証が行われた際に、メールによる通知を行うことが可能です。

図4 アラート設定画面 ※クリックするとその他の項目に対する設定例が表示されます

 

このようにアラートを設定していただくことで、Password Manger Proサーバー以外からアクセスがあった際に、即時に検知し、不審な挙動に気が付くことができるようになります。

今回ご紹介させていただいたソリューションに少しでもご興味をもっていただけましたら、無料セミナーや訪問対応の課題相談受付も実施しておりますので、ぜひご活用頂ければと思います。

Active Directoryセキュリティセミナー
標的型攻撃対策にも!Active Directoryのセキュリティ対策ソリューション
Active Directory課題相談

また、製品自体にご興味をもっていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

Password Manger Pro ダウンロードページ
▶ ADAudit Plus ダウンロードページ

前編へ移動 >> 【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(前編)


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。