Reading Time: 1 minutes LAPS(Local Administrator Password Solution)とは、Microsoftが提供する管理ツールであり... >>続きを読む
Latest Posts
国内企業も多数感染!ランサムウェア対策:OSの脆弱性を自動パッチ配布で改善しよう
Reading Time: 1 minutesサイバー攻撃の猛威は、とどまるところを知りません。 ランサムウェアの被害は、とうとう国内企業にも及ぶ事態となりました。 ■世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について 今月発表された大手企業のランサムウェア「WannaCry/Wcry」の攻撃被害については、既に世界各国で影響が出ています。 当ランサムウェアは、マイクロソフト社が公開している「WindowsのSMBサーバにおける脆弱性... >>続きを読む
セキュリティ強化のためのパケットフィルタリングと不要ルールの棚卸
Reading Time: 1 minutes ファイアウォールのもつ基本機能として「パケットフィルタリング」が挙げられます。これは、あらかじめファイアウォールの管理者が定めたルールに基づいて必要なパケットのみを通過させ、それ以外を遮断する機能であり、最も一般的なセキュリティ対策の一つです。 ファイアウォールの最もシンプルな構図として、イントラネット(内部ネットワーク)とインターネット(外部ネットワーク)の出入り口に設置し、その間を通過する通信を制御します。また、イントラネットからインターネットへの通信の制御には「情報漏えい防止」、逆にインターネットからイントラネットへの通信の制御には「不正アクセス防止」が目的として挙げられ、誰もが気軽にインターネットに接続できる現代だからこそ、悪意ある内部ユーザーによる情報漏えいや、高い技術を持つハッカーやクラッカーによる不正アクセスを防ぐための対策が必要なのです。そして、その最初の砦として、ファイアウォールの設置は効果的といえます。 では、パケットを振り分けるパケットフィルタリングとは、実際どのような機能なのか。それをご説明するため、以下ではパケットフィルタリングのルール設定について、もう少し具体的にご紹介したいと思います。 ファイアウォールのルールを設定... >>続きを読む
USBメモリーに潜むリスクと対策
Reading Time: 1 minutes昔から問題として挙がっているものの、依然、セキュリティインシデントの発生源とる一つとして、USBメモリーなどの可搬記録媒体が挙げられます。USBメモリーは、ハードディスクに比べると記憶容量は小さいですが、そのコンパクトさから、持ち運びが簡単にでき、場所を取らないという点で非常に優れています。さらに、CD-ROMなどはデータを書き込む際に特別なソフトウェアが必要ですが、USBメモリーの場合はパソコン本体に差し込むことで、データの読み書きを行うことができる点も大きなメリットです。 このようにメリットの多いUSBメモリーですが、一方で、利用に伴うリスクが存在していることも事実です。リスクの一例として、紛失による「情報漏えい」や、情報の受け渡し時の「ウイルス感染」が考えられます。 情報処理推進機構 (IPA)の「2014 年度 情報セキュリティ事象被害状況調査」によると、情報漏えいの原因となった媒体のおよそ2割は、USBメモリーなどの可搬記録媒体です。コンパクトで持ち運びができやすいというメリットの反面、その小ささから紛失の可能性が高く、保管していたデータを漏えいさせてしまう危険性があります。... >>続きを読む
ツールを用いた現実解!特権IDの監査用履歴を効果的に残す方法
Reading Time: 1 minutes監査で利用するための「特権ID利用履歴」、皆さんはどのように記録していますか? 特権IDとは、システムにおいて最も高い権限をもち、システムの導入や設定変更作業で使用するアカウントです。しかし、不正に利用されたり人為的なミスが発生した場合は、システムへの影響が大きいため、適切な管理を必要とされています。また複数人が同じ特権IDを共有して使用することも多く、誰が、何の目的で、何の作業をしたのかを管理することが重要となります。 企業によって「特権IDの貸出管理」だけを行っているケースもありますが、台帳に記載されている内容が全て真実である保証は、どこにもありません。そのため、企業は「特権IDの貸出管理」に加えて、作業ログの継続的な監査体制を構築することも求められます。その場合、 たとえコンフィグを1行変えるだけの僅かな変更でも、申請、承認、エビデンスの提出など、多くのチェック項目を満たす必要があり、手動で管理しようとすれば膨大な作業量となります。現場作業を行なうエンジニアにとっては、実際に行なう設定変更作業以外にも複雑な手続きを踏む必要が生まれ、エンジニアの監督者にとっては作業内容をエビデンスとして記録・保管していくための負荷が課されます。 本ブログでは、このような特権IDの利用申請、承認、証跡管理を、ツールを用いて効率的に運用する方法を紹介します。... >>続きを読む
解説!アカウントロックアウトポリシー/ロック解除法(Active Directory管理Tips)
Reading Time: 1 minutesパスワードクラックとして、昔から使用される手法の一例として「辞書攻撃」や「総当たり攻撃」が挙げられます。これは、コンピューターを使用して、考えられるパスワードを次々と試し、正解を探し出すという攻撃方法です。 近年では、顔認証、ICカード認証、指紋認証、携帯ベースのPhoneFactorなどの二要素認証がパスワードクラックへの対策とされています。これらの技術は、システム全体への変更が必要であるため導入の敷居が高かったり、設備への投資が必要となりますが、簡単で短期間でできる対策の1つとして、同一アカウントを使用して複数回ログオンに失敗した場合、一定期間ログオンができなくなる「アカウント ロックアウト」の設定が有効です。アカウント ロックアウトの設定は、グループポリシーの「アカウント ポリシー」から設定することが可能です。... >>続きを読む
Password Manager Pro 8.7の新機能をご紹介~役割のカスタマイズ~
Reading Time: 1 minutes特権ID管理ツールである、ManageEngine Password Manager Proの新バージョン(ビルド8.7)を2017/3/23にリリースしました。 本ブログでは、新機能の『役割のカスタマイズ』機能をご紹介します。... >>続きを読む
Pass the Hash攻撃とは?-Active Directory環境に対する攻撃を検知-
Reading Time: 1 minutesActive Directory環境下のコンピューターが、ドメイン認証によりログオンを行う場合、通常はドメインコントローラーと通信を行い認証する必要があります。しかし、例えば外出時など、ドメインコントローラーと通信ができない場合でも、ドメインアカウントでPCへログオンできるように、実はハッシュ化されたパスワード情報が、コンピューター内にキャッシュされています。 過去にそのコンピューターに対して、ソフトウェアのインストールやメンテナンスなどの様々な理由により、高権限を持つドメインのアカウントによって一度でもログオンを行ったことがある場合は、マルウェアやハッキングなどの不正アクセスにより、高権限のパスワード情報が簡単に盗まれてしまう可能性があります。 ここで、以下のような疑問を持つ方もいるかもしれません。 「でも、パスワードがハッシュ化されているのならば、仮に盗まれたとしても問題ないのでは?」... >>続きを読む
ADへ一度もログオンしていないユーザーを見つける方法とは?
Reading Time: 1 minutesActive Directoryデータベースには少なくとも1つのユーザーアカウントが作成されていますが、1度もログオンしていないアカウントが存在している可能性もあります。利用者がログオンしないことは、様々な要因が考えられます。しかし、ログオンされていないアカウントが存在するのは問題です。 それがなぜ問題なのかと思うかもしれません。 そこでユーザーアカウントの作成時のいくつかの一般的な設定の流れを振り返ってみます。 ユーザーアカウントは、従業員が入社する前に数時間前あるいは数日前に作成します... >>続きを読む
Active Directoryのユーザーアカウント作成とは?【連載:ADについて学ぼう~導入編(1)~】
Reading Time: 2 minutes【目次】 連載:ADについて学ぼう Active Directoryの代表的なオブジェクトには、「ユーザーアカウント」「グループアカウント」「コンピューターアカウント」などがありますが、この記事ではまず初めに作成するであろう、「ユーザーアカウント」の代表的な作成方法を、3つご紹介していきたいと思います。 目次... >>続きを読む