Latest Posts

「コスパの良い特権ID管理」その理由|Password Manager Pro

この記事の所要時間: 約 4分

Password Manager Pro(パスワード マネージャー プロ)」は、ManageEngineが提供する特権ID管理ソフトです。

事例取材や製品のヒアリングを行う際、お客様からは「他と比較してコストパフォーマンスが高かったので購入を決めた」というコメントをよく頂きます。本日は、その具体的な理由についてご紹介します。

※記事の最後には、特権ID管理ツールのシステム要件比較シート(DL資料)を掲載しています。


【シンプルだけど必要な機能がそろっている(やりたい事ができるから購入する)】

「安かろう、悪かろう」という言葉がありますが、この言葉はケースバイケースです。

例えば、いくら高性能でも、普通の人はF1レースカーに大金を払おうとは思わないでしょう。乗りこなせないばかりか、日々のメンテナンスも大変で、コストばかりに圧倒されてしまうからです。

近所のスーパーに買い出しに行ったり、たまのレジャーを楽しむくらいであれば、小型の乗用車で十分です。この場合「自分にとって扱い易いか」を確かめた後は、ひたすら価格・燃費・耐久性の良さを追求するはずです。

Password Manager Proの場合は、後者の「小型乗用車」だと思えば理解し易いかもしれません。シンプルだけれど本当に必要な機能が標準搭載されているからこそ、「やりたいことができる」「この価格なら購入する」という評価を頂くことができています。


【特権ID管理、3つのマスト機能】

では、実際に特権ID管理を始める企業にとって、どのような機能が必要とされているのでしょうか。以下に、人気の高いPassword Manager Proの機能をご紹介します。

(1)特権ID利用時の「申請/承認」フロー機能 
(2)操作画面の録画機能
(3)パスワードの非表示運用/自動変更機能

特権IDを複数人で共有したり、外部委託者へ貸し出したりする場合、「いつ/誰が/何を」するか分からない事が、とても大きな問題となります。こっそり不正を行っても誰の仕業か分からないため、内部犯行や外部攻撃者の温床となるばかりか、いざ障害が起きた際の原因究明も困難になるからです。

上記の機能「1:申請/承認フロー」を活用することで、特権ID利用ユーザーはシステム部長やセキュリティ責任者等の承認を得るまでITリソースへログオンができない制度を導入できます(※誰が申請し、だれが承認したかの履歴は、あとから一覧で見られます)。

▼特権IDの申請/承認ワークフローをご紹介▼

また、機能「3:パスワードの非表示運用」により、申請者には「パスワードを見せずに」ITリソースへログインさせられるので、パスワードを暗記して後からこっそり使うという事もできません。

▼※パスワード欄を「******」という非表示の状態で固定して運用できます▼

最後に、お客様から最もご好評いただいているのが機能「2:操作画面の録画」です。Password …

Password Manager Pro , セキュリティ 1 min read

「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介

この記事の所要時間: 約 4分

 

本投稿では、「MS14-068」の脆弱性とはどのようなものなのかを解説後、MS14-068の脆弱性を悪用した攻撃検知のため、JPCERT/CCで監視が推奨されているイベントログをご紹介します。また、最後には、そのイベントログを見逃さないためのツールとして、弊社製品のEventLog Analyzerを使用した場合の監視の流れについて、簡単にご案内させていただきます。

1. 「MS14-068」とはどのような脆弱性なのか

 

2014年11月、Microsoft WindowsのKerberos認証にて、リモートから特権のないドメインアカウントに対して権限昇格を行うことが可能な脆弱性(CVE-2014-6324)が発見され、サポートされているすべてのエディションに対して、脆弱性の深刻度が4段階中最も高い、「緊急」と評価されました。これは、Kerberos認証のチケット認証に関する脆弱性を突いたものであり、署名に細工をすることでドメインの特権ユーザーへ昇格し、本来はアクセスできないリソースにもアクセスできてしまうものとなります。

「MS14-068」の脆弱性を悪用した攻撃では、以下のような流れが考えられます。

1.(攻撃者) ドメインに所属するクライアントへ侵入
2.(ドメインユーザー) ドメインにアクセスするためKerberosチケットをリクエスト
3.(ドメインユーザー) ドメインコントローラーからチケットを取得する
4.(攻撃者) ドメインユーザーが認証に使用したチケット情報を盗む
5.(攻撃者) 攻撃コードを含むスクリプトを実行して、Kerberosチケットに対して特権を付与する細工を実施
6.(攻撃者) チケットの有効期限を書き換える
※チケットの有効期限は仕様上10時間となっていますが、「100年間有効」というように期限を書き換えることにより、リソースへ半永久的にアクセス可能となったチケットのことを、「Golden Ticket」といいます。
7.(攻撃者) 細工されたチケットを使ってリソースに不正アクセス

この攻撃の恐ろしいところは、一度チケットの細工に成功した場合、通常のKerberos認証と同様の流れとなるため、不審な痕跡が残らないという点、また、チケットの有効期限を書き換えることで、なりすましたアカウントのパスワードが変更された後やMS14-068のセキュリテ更新プログラムを適用後も、継続して使用できてしまう点が挙げられます。

そのため、大切なのは、出来るだけ早い段階でこの攻撃を察知することとなります。1. の段階で攻撃を検知するためには、ドメインに対する連続したログオン失敗履歴や、深夜の時間帯など、通常ログオンが発生しない時間帯でのログオンの監査などが有効です。しかし、仮に何らかの方法でドメインに侵入されてしまった場合、この攻撃に気が付くことのできる最後の痕跡となるのが、4. の権限昇格に対するイベントログです。

JPCERT/CCでは、MS14-068の脆弱性を悪用した攻撃の調査のため、下記条件でのイベントログの監視を推奨しています。

※JPCERT/CC 「ログを活用したActive Directoryに対する攻撃の検知と対策」より引用

EventLog Analyzer 1 min read

OpManagerをインストールするまでの流れ – 【連載】ZabbixとOpManagerから学ぶ!統合監視の世界

この記事の所要時間: 約 5分

次回、私のローカルPCからZabbixの管理画面にアクセスできない。
~To be Continued…~

…と、前回は不穏なことを書いて終わりましたが、
今回は、永年無料でも使えるManageEngineの統合監視ソフトウェア「OpManager」をインストールしていきます!!!!!!
簡単なことから片付けていきたい!!!技術者4年目ゆら(ペンネーム)です!!!!!

…と、ここでまさかの問題発生。
Hyper-Vのメモリーが不足して、Hyper-V上に作成したOpManager用のVMが起動できない…。
ということで、今回はこんな感じで進めさせていただきます!

[1] Hyper-V上に作成したOpManager用VMの「動的メモリ」設定を変更
[2] Zabbixのファイアウォールの設定を変更
[3] Hyper-V上に作成したZabbix用VMの「動的メモリ」設定を変更
[4] OpManagerインストール編

————————————————————————————–
では、メモリーの量を動的に管理してもらう設定を入れ込みます。
まず、OpManagerサーバーに。

ZabbixのVMは昨日から起動したままなので、一度シャットダウンする必要があります。
でもその前に、「わたしのノートPCからZabbixの管理画面(GUI)にアクセスできない問題!!」がありましたので、シャットダウンする前にファイアーウォール等の設定を確認してみました。
(やばい、私、技術者っぽいことしてる…)

ここから、ゆらさんの地獄が始まることになるのであった…。(多分)

(1)【Pingの疎通確認】
とりあえず、双方向でPingが通るか確認。(セグメントが違います。)
・わたしのノートPC -> ZabbixのVM
・ZabbixのVM -> わたしのノートPC…

OpManager 1 min read

Zabbixをインストールするまでの流れ – 【連載】ZabbixとOpManagerから学ぶ!統合監視の世界

この記事の所要時間: 約 9分

前回、ご挨拶させていただきました、永年無料でも使えるManageEngineの統合監視ソフトウェア「OpManager」技術担当のゆら(ペンネーム)です。

ということで、まずはやっぱりあまり知らない製品から!とZabbixをインストールすべくサイトへ訪問。

Linux用意しなきゃだったんですね…そういえばそうでした…( ^ω^)
(ここでまさかの挫折(第一回目)
この後数週間の空きがあり、再度確認したらアプライアンスの方はWindowsの文字がありました。)

ということで、本当はWindows OS対応だし自分の担当製品であるOpManagerを先にインストールして
OpManagerインストール編をちゃちゃっと終わらせたくなったのですが、
(この技術担当、Linuxにそんなに明るくないことを予めご報告させていただきます。しかもCentOS7はOpManager検証時以外はほとんど触れたことがないです。)
OpManagerは後からどうにでもなるので、Zabbixさんからインストールすることにしました。。。

ということで始めます。

Zabbixインストール編!!!!!!!!

【Zabbixインストール編】

1. まず、CentOS 7を用意します。
(Hyper-V上にインストール中…しばらくお待ちください…)

スペック
CPU Intel® Xeon® CPU E31270 @ 3.40GHz
メモリー 8192 MB
HDD 127.8 GBくらい(うっかりデフォルト?)…

OpManager 2 min read

【連載】ZabbixとOpManagerから学ぶ!統合監視の世界 – はじめに

この記事の所要時間: 約 1分

みなさまはじめまして!
永年無料でも使えるManageEngineの統合監視ソフトウェア「OpManager」技術担当のゆら(ペンネーム)と申します。

私がゾーホージャパンに入社してから早4年、これまでOpManagerについて多くの案件に関わってきました。
その中で、自社製品の良いところ悪いところはいろいろとわかってきたのですが、いかんせん「視野が狭くなっているなー」と井の中の蛙感が否めない今日この頃。
「もっと知見を広げなくては!」と思いこの連載始めることにいたしました。(応援(放置)してくださっている先輩方、ありがとうございます!)

そこで、キングオブ統合監視ツールと言えばZabbix

言わずもがな、Zabbixの最大の魅力はオープンソースという点だと思います。

多くのナレッジが共有されており、誰でもコストをかけることなく監視を効率化できます。
まずは、費用をかけることなく、「Zabbixの場合、デフォルト機能でここまでできてしまうんですね!」ということを、私自身学びながら、みなさまにお伝えしていきたいと思います。

それを知ることで弊社が提供するOpManagerの魅力も理解していきたいと思っておりますが、この連載ではZabbixとOpManagerを比較して優劣をつけるつもりは毛頭ございません!
それよりも、「具体的に」かつ「技術的に」、「Zabbixではこうやるんですねー。OpManagerだとこうやりますー」というリアルな流れを伝え、読者のみなさまと一緒にそれぞれの良さについて語り合っていけたらなと考えております。

ちなみに私、Zabbix初心者でございます。(インストールしたことがありません)
ですので、同様の立場の方がいらっしゃいましたら一緒に切磋琢磨できたら嬉しいです。

この連載を見ていただいたZabbixユーザーのみなさま、特にZabbixの魅力について、ご指導ご鞭撻のほどよろしくお願い申し上げます m(__)m
もちろん、「現在OpManagerで絶賛試行錯誤中」という方にも有益な情報となるように努めて参ります。

これからよろしくお願いいたします!!!
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
【連載】ZabbixとOpManagerから学ぶ!統合監視の世界

(目次)
はじめに <<イマココ
構築編
01.Zabbixをインストールするまでの流れ
02.OpManagerをインストールするまでの流れ
03. 監視ソフトをインストールしたサーバー自身を監視する方法
ちょっと余談01. SNMP, WMI,

OpManager 1 min read

【JPCERT/CC提唱】イベントログ消去の監査に対する必要性

この記事の所要時間: 約 2分

 

JPCERT/CCが2017年3月に発行した資料「ログを活用したActive Directoryに対する攻撃の検知と対策」では、高度標的型攻撃への対策として、Active Directoryに対する代表的な攻撃手法や、その攻撃を検知するためのログの確認ポイントが記されています。本投稿では、その中の項目4.2.4にて記載されている「イベントログ消去の調査」が、なぜ必要とされるかという「監査目的」、さらに、監査を行うためのツールとして、弊社製品ADAudit Plusを使用した場合の「監査方法」についてご紹介していきます。

1.「イベントログ消去の調査」の監査目的

 

図1 イベントログの消去

 

攻撃者が攻撃を試行した際には、多くの場合、攻撃を受けた側に何かしらの痕跡が残ります。例えば、有名な攻撃の一つに「Pass the Hash攻撃」というものがあり、これは認証時に使用されるパスワードのハッシュ情報を不正に取得し、そのハッシュ情報を使用して認証を行う、なりすまし攻撃のことを言います。このPass the Hash攻撃を受けたクライアント側では、以下のイベントログが生成されます。

イベントID:4624
ログオンタイプ:3
パッケージ名:NTLMv2

「イベントID4624」「ログオンタイプ3」は、ログオン成功イベントの際に生成されるものですが、注目すべきは、パッケージ名がKerberosではなく「NTLMv2」なっている点です。通常、Active Directoryのドメイン認証には、Kerberosプロトコルが使用されるため、パッケージ名は「Kerberos」となります。しかし、ドメインコントローラーのイベントログに、「NTLMv2」が使用されたログオンイベントが存在していた場合、Pass the Hash攻撃を受けた可能性がある、と考えられます。このように、イベントビューアー上に僅かでも痕跡が残ることは、攻撃が発覚されてしまうリスクを高めることにつながります。そのため、攻撃者は攻撃後、すぐにイベントログを消去するという行動をとる場合があります。この痕跡の隠蔽を見逃さないために、イベントログの消去を監査することが求められているのです。

 

2.「イベントログ消去の調査」の監査方法

イベントログが消去された際に、イベントID1102が生成されます。しかし、常にイベントビューアーにて、イベントID1102が生成されていないかを監視するのは、非効率的かつ見過ごしが発生する可能性があります。そこで、弊社製品ADAudit Plusでは、200の定義済みレポートの中に、イベントログ消去に関するレポートをご用意しており、「いつ」「誰が」「どこから」イベントログの消去を行ったのかという履歴を簡単に確認することが可能です。

図2 システム監査ログのクリア

 

また、ADAudit

ADAudit Plus 1 min read

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

この記事の所要時間: 約 3分

2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。

報道発表:サイバーセキュリティ対策促進助成金

当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。

弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。

以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。

【助成対象「中小企業」とは?】

助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。


・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人

・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人

・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人

・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人


ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。

(1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している

(2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している

(3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している

また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。

【対象製品・サービスは?】

助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。

(1) UTM
(2) ファイアウォール
(3) VPN…

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read

ManageEngine 特権ID管理ソフト、クラウドID管理を強化!新verの3ポイント

この記事の所要時間: 約 2分

「ManageEngine Password Manager Pro」は、簡単かつリーズナブルに「特権ID管理」のための基本機能を利用できるソフトウェアです。 特権IDを利用する際の「申請/承認フロー」を徹底したり、「操作画面を録画」したりする機能の他、「申請者にパスワードを見せずにITリソースへログイン」させることや、特権IDの利用が終わると「自動でパスワードをリセットする」などの機能を標準搭載しています。

この度、このPassword Manager Proの新バージョン(v9)を2017/8/21に提供開始しました。
本ブログでは、新しいバージョンで追加された新機能についてご紹介します。

是非知っていただきたい 3つのポイント!

1)UIの変更

新バージョンではUIが大幅に改善されて、より分かりやすく、また画面表示速度も向上しています。 UIの一部をご紹介します。

【パスワードダッシュボード画面】

パスワードの使用状況をカラフルな色で、わかりやすく表現しました。グラフをクリックすることでパスワードの詳細を確認できるなど、使い勝手も向上させています。

◆従来表示

◆v9

【管理画面(ITリソースを管理する画面)】

また、従来表示では、画面の上部にメニューバーを表示していましたが、新しいバージョンではメニューバーの位置を画面左に移動させ、代わりに検索ボックスを上部に持ってくるなど、操作効率を重視した設計にこだわりました。

◆従来表示

◆v9

2)パスワード管理対象としてSalesforceを追加

Password Manager Proでは、従来より Amazon Web Service(アマゾン・ドット・コム)や Azure(マイクロソフト) 、G Suite(グーグル)等のクラウドサービスに対応していましたが、新しいバージョンから『Salesforce (セールス・フォース・ドットコム)』をパスワード管理対象として追加し、Salesforceの特権アカウントのパスワードを変更できるようになりました。

Salesforceを登録する詳細な手順について、下記のナレッジに記載してますので、ぜひご参照ください。

【ナレッジ】Salesforceの登録方法

3)チケットシステム連携としてJIRAを追加

Password …

Password Manager Pro 1 min read

これはいい!30秒の動画でわかるActive Directoryの監査レポート機能まとめ:ADAudit Plus

この記事の所要時間: 約 3分

2017年3月、JPCERT/CCより「ログを活用したActive Directoryに対する攻撃の検知と対策」という解説書が公開され、サイバー攻撃者からActive Directoryを防衛することの重要性が喚起されました。

これに対して、「どうやってログを監査しよう」と頭を悩ませるシステム担当者も多いのではないでしょうか。本日は、そういった悩みを簡単に解消できる便利なツール「ADAudit Plus」の製品動画集をご紹介します。

 


ADAudit Plus(エーディーオーディット プラス)とは?
簡単&リーズナブルなIT運用管理ソフトを提供する「ManageEngine(マネージ エンジン)」ブランドが提供する、Active Directoryの監査レポートツールです。Active Directoryのログを見ることに特化したツールは、国内ではまだあまり認知されていません。しかし、米国をはじめとする海外市場では、その利便性から既に大ブレイクしています。

製品サイトトップ
国内事例


 

「ログの可視化ができる」「レポートが見やすい」と言われても、実物を見るまではなかなかイメージできないというのが心情です。そこで、本日はADAudit Plusの人気機能をピックアップして、製品画面の動画をご覧に入れます。

【1:一番人気!ログオン監査レポート】

「変な時間(深夜など)にログオンされた形跡はないか」「大量のログオン失敗(ブルートフォース攻撃)が発生していないか」などは、セキュリティ責任者にとって大変気になるポイントです。ADAudit Plusは、ドメイン認証のログオン/ログオン失敗イベントを監査し、わかりやすいレポートを生成します。


【2:ファイル監査レポート】

次によく聞かれるのが「ファイル監査」についてです。ADAudit Plusは、共有ファイル/フォルダーへのアクセスを監査します。ファイル/フォルダーの作成、修正、削除、読み取り、名前の変更、フォルダー構成の変更、共有、アクセス権限の変更、SACLの変更などのユーザー操作を監査し、また、どのような権限でアクセスしたかの詳細を追跡します。

【3:メンバーサーバー監査】

また、ADAudit PlusはWindowsメンバーサーバー(ドメインコントローラー/ファイルサーバー以外のサーバー)でのユーザーのログオン活動も監査します。RADIUS認証ログオンやリモートやローカルからのログオン処理、ログオン継続時間やログオン履歴などのイベントをレポート表示し、追跡できます。

【4:攻撃検知の要!アラート機能】

最後は「アラート機能」です。怪しいログが出力された時にアラート通知が届くように設定しておくことで、攻撃検知の遅れを防止できます。ADAudit Plusでは、Active Directoryのイベントに対して、3つの重要度(重要/トラブル/注意)に応じたリアルタイムのアラートを生成できます。アラートは、目的に応じて複数の宛先へメール通知が可能です。…

ADAudit Plus , セキュリティ 1 min read

今、Active Directoryが危ない!セキュリティ対策のすすめ

この記事の所要時間: 約 3分

標的型攻撃が横行する昨今、企業内ネットワークに侵入した攻撃者によってActive Directoryのドメイン管理者アカウントが狙われるケースが多数報告されています。

例えば、2015年5月に起きた日本年金機構の個人情報流出事件でも、Active Directoryのドメインコントローラーとローカルの管理者権限が奪われました。

Active Directoryのドメイン管理者アカウントは、業務用端末や各種サーバーへの横断的なアクセスが可能なため、攻略できればマルウェアの感染拡大や機密情報の流出が容易に行えます。このため、攻撃者の攻略目標となりやすいのです。

攻撃の兆候は、ログを定期的に監査することで事前に検知できると言われています。2017年3月には、 JPCERT/CC( Japan Computer Emergency Response Team Coordination Center )からも対策方法を解説した資料が公開されました。

ログを活用したActive Directoryに対する攻撃の検知と対策


【どんな対策をすればいいか?】

Active Directoryのセキュリティ対策と言っても、具体的にはどのような対策を実施すればいいのでしょう。以下で、その内容を簡単にまとめます。

<ログ監査>

JPCERT/CCが公開した解説書では、Active Directoryのイベントログを活用した攻撃の検知方法が記されています。注視すべきID番号とその詳細も説明されているため、これらを参考にログ監査を実行すると良いでしょう。

また、日々の認証ログの調査を行い、接続元端末やアカウント名、ログイン成功/失敗の時間帯や回数に不審な点が無いかを調べることも重要です。

<特権ID管理>

Active Directoryのドメイン管理者アカウントは、その権限範囲の広さから「特権ID」と言えます。従って、パスワードを不用意に共有し、「いつ/誰が」アクセスしたか分からないという状況を作らず、厳重に管理することが求められます。

なお、特権IDを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義できるため、結果として異常ログの速やかな検知につながるという効果もあります。

また、管理者アカウントの認証情報が保存される端末は攻撃者の標的となりやすいため、JPCERT/CCの解説書では管理者アカウントを使う端末と他の作業を行う端末と分離し、インターネットへのアクセスやアプリケーションの実行を制限する事が望ましいとされています。

※例えばManageEngineで提供している特権ID管理ソフト「Password Manager Pro

ADAudit Plus , ADManager Plus , Password Manager Pro , セキュリティ 1 min read