Reading Time: 1 minutesパスワードクラックとして、昔から使用される手法の一例として「辞書攻撃」や「総当たり攻撃」が挙げられます。これは、コンピューターを使用して、考えられるパスワードを次々と試し、正解を探し出すという攻撃方法です。 近年では、顔認証、ICカード認証、指紋認証、携帯ベースのPhoneFactorなどの二要素認証がパスワードクラックへの対策とされています。これらの技術は、システム全体への変更が必要であるため導入の敷居が高かったり、設備への投資が必要となりますが、簡単で短期間でできる対策の1つとして、同一アカウントを使用して複数回ログオンに失敗した場合、一定期間ログオンができなくなる「アカウント ロックアウト」の設定が有効です。アカウント ロックアウトの設定は、グループポリシーの「アカウント ポリシー」から設定することが可能です。... >>続きを読む
Latest Posts
Password Manager Pro 8.7の新機能をご紹介~役割のカスタマイズ~
Reading Time: 1 minutes特権ID管理ツールである、ManageEngine Password Manager Proの新バージョン(ビルド8.7)を2017/3/23にリリースしました。 本ブログでは、新機能の『役割のカスタマイズ』機能をご紹介します。... >>続きを読む
Pass the Hash攻撃とは?-Active Directory環境に対する攻撃を検知-
Reading Time: 1 minutesActive Directory環境下のコンピューターが、ドメイン認証によりログオンを行う場合、通常はドメインコントローラーと通信を行い認証する必要があります。しかし、例えば外出時など、ドメインコントローラーと通信ができない場合でも、ドメインアカウントでPCへログオンできるように、実はハッシュ化されたパスワード情報が、コンピューター内にキャッシュされています。 過去にそのコンピューターに対して、ソフトウェアのインストールやメンテナンスなどの様々な理由により、高権限を持つドメインのアカウントによって一度でもログオンを行ったことがある場合は、マルウェアやハッキングなどの不正アクセスにより、高権限のパスワード情報が簡単に盗まれてしまう可能性があります。 ここで、以下のような疑問を持つ方もいるかもしれません。 「でも、パスワードがハッシュ化されているのならば、仮に盗まれたとしても問題ないのでは?」... >>続きを読む
ADへ一度もログオンしていないユーザーを見つける方法とは?
Reading Time: 1 minutesActive Directoryデータベースには少なくとも1つのユーザーアカウントが作成されていますが、1度もログオンしていないアカウントが存在している可能性もあります。利用者がログオンしないことは、様々な要因が考えられます。しかし、ログオンされていないアカウントが存在するのは問題です。 それがなぜ問題なのかと思うかもしれません。 そこでユーザーアカウントの作成時のいくつかの一般的な設定の流れを振り返ってみます。 ユーザーアカウントは、従業員が入社する前に数時間前あるいは数日前に作成します... >>続きを読む
Active Directoryのユーザーアカウント作成とは?【連載:ADについて学ぼう~導入編(1)~】
Reading Time: 2 minutes【目次】 連載:ADについて学ぼう Active Directoryの代表的なオブジェクトには、「ユーザーアカウント」「グループアカウント」「コンピューターアカウント」などがありますが、この記事ではまず初めに作成するであろう、「ユーザーアカウント」の代表的な作成方法を、3つご紹介していきたいと思います。 目次... >>続きを読む
AD監査の負荷をツールで大幅軽減!【4】 非ビジネス時間内に発生したイベントの監査
Reading Time: 1 minutesサイバー攻撃を受けている、あるいはすでに感染してしまったクライアントPCは、本来通信が発生しない時間帯にアクセスが頻発する可能性があります。そのため、常日頃から勤務時間外に発生するログを監査することは、攻撃の兆候にいち早く気が付くためにも、とても大切なことなのです。 では、業務時間外のログを監査は、具体的にどのように行えば良いのでしょうか。 例えば、イベントビューアーから[ユーザー設定の範囲]で業務時間外の範囲を指定し、表示するという方法があります。あるいは、もう少し効率的な方法として、任意の日時やイベントIDに一致するログを出力するためのバッチファイルをタスクスケジューラーに仕込んでおき、定期的にエクスポートするという方法もあります。 しかし、上記の方法では、業務時間外に生成されたログをただ表示することができても、そこから「監査を行う」となった場合、ログを一つ一つ確認していく必要があり、やはり骨の折れる作業となり得ます。そこで、ADAudit Plusを使用いただくことにより、そのような作業を「時間をかけず」「簡単に」行うことが可能となるのです。... >>続きを読む
AD監査の負荷をツールで大幅軽減!【6】 管理者権限を持つグループへのユーザ追加を監査
Reading Time: 1 minutes情報セキュリティの3要素として、OECDの情報セキュリティガイドラインでは、「機密性」「完全性」「可用性」の3つを定義しており、それらを総称して「CIA」と呼びます。このCIAは、ISO/IEC 27001でも重要視されており、セキュリティ対策を行う上で、バランスよく対策を施すことが求められます。一方で、様々な情報がデータ化される現代において、このCIAを脅かす攻撃も多様化しています。この脅威に対する代表的な考え方として、Microsoft社が提唱する「STRIDE」というものがあり、これは脅威に対する以下の6つの分類名の頭文字から成り立っています。 ・ Spoofing(なりすまし) ・... >>続きを読む
「標的型攻撃」対策を「野球」にたとえてみた ―今年中に対策を開始したいと思ったら、まずどこに相談しますか?―
Reading Time: 1 minutes 2017年の年明けにも、標的型攻撃による某大手ガス会社の情報流出事件が話題となりました。対岸の火事として見逃す訳にもいかず、対策に頭を悩ませる企業も増えているようです。 「標的型攻撃」というキーワードは1つです。 しかし、これに対抗するための施策には、「出入口対策」から「内部対策」、内部対策の中でも「ログ監査」から「端末管理」まで多岐にわたる施策が想定され、とても1つの部署では検討しきれません。同時に、1つのベンダーで全てのソリューションを提供することも、難しくなります。 例えば、弊社が提供するIT運用管理ソフトのブランド、「ManageEngine」では、ログ監査ソフトや脆弱性パッチ管理ソフトを提供できますが、出入口対策やふるまい検知のためのソリューションは提供できません。昨年、複数のベンダーと情報交換をする機会がありましたが、販促の際はどこも同じ悩みを抱えているようでした。... >>続きを読む
【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?
Reading Time: 1 minutes急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive... >>続きを読む
AD監査の負荷をツールで大幅軽減!【5】 グループポリシーの変更履歴を管理
Reading Time: 1 minutes「グループポリシー」とは、Active Directoryが提供している機能の一つであり、ドメインに所属するリソースに対する設定を一元管理し、作業の効率化を図ることが可能です。また、グループポリシーからパスワードの複雑さを定義したり、アカウントロックアウトの条件を定義することもできるため、セキュリティ面の強化にも有効です。しかし、セキュリティ面に深くかかわる機能だからこそ、知らぬ間に勝手に変更されていた、ということがあれば大変です。 そこで、ADAudit PlusのGPO監査レポートをご利用いただくことにより、 ・... >>続きを読む