コラム

第3回
セキュリティ対策における「Active Directory」の必要性
自己紹介
村松 真

株式会社ソフトクリエイト 技術本部
ネットワークソリューション部 技師長 村松 真

■主な経歴
マイクロソフト社で現在のベースとなる技術を身につけた後、当社で 10年以上、技術本部の Microsoft 技術者の中心的人物として活躍し、特にVBScript技術を利用した Active Directory 関連の移行ソリューションは数多くの納入実績を誇り、お客様からの信頼も厚い。 2015年度からは技師長としてソフトクリエイトの技術部門を牽引している。

2015年12月15日

 村松です。 第3回目は、セキュリティ対策の視点における「Active Directory」の必要性についてご案内します。
2015年10月末に開催されたリードエキシビジョン社主催の「情報セキュリティEXPO」にて講演させていただいた内容になりますが、昨今サイバー攻撃の脅威や内部犯行による情報漏洩の事故が相次いで発生し、テレビ・ニュースでも大きな話題になっています。
企業のITシステムにおけるセキュリティ対策項目は多岐に渡りますが、その中でも中枢といっても過言ではない「ID管理の必要性」についてご案内して参ります。

なぜセキュリティ対策に「Active Directory」が必要なのか?

まず始めに「Active Directory」の必要性を語る前に"情報セキュリティ"の意味を考えます。
『ある情報に、権限のある人間だけがアクセスできる事』=『セキュリティが保たれている』と考えることができます。
セキュリティ対策における保護の対象は、企業内に存在しているこの『情報』であるわけですが、そもそもの話この『情報』にアクセスしている人間が"誰か"が分からなければ、『情報』を保護することができません。
大前提として、「Active Directory」はその認証機能を使う事によって、この"誰か"を特定するシステムなのです。

「Active Directory」は、例えるならIT村の村役場

役所に例えて説明しますと、自分がどこに住んでいる何者なのかを証明する場合、住民票を基に役所が身分を証明しています。
「Active Directory」は言うなれば企業内システムにおけるこの「役所」の役割を担っているわけです。ユーザーは「Active Directory」で管理されている「ID」によって、身分を証明します。
住民票を持って公営住宅に入居したり、免許を取得したりするように、「Active Directory」で認証し、ファイルサーバを利用したり、グループウェアを利用したりしているわけです。
上記どちらの場合も、証明された身分を利用して「利用ルール」に従った各種サービスを受けることができるようになるということになります。

「Active Directory」は、IT村の村役場

このように、「Active Directory」を利用することによって、適切なアクセスコントロールを運用することが可能となり、情報漏えいの疑いが発生した場合でもその情報に、「いつ、誰が、アクセスしたのか"特定"する」ことが可能となり、漏えい被害を未然に防ぐことにも繋がるというわけです。
クライアントPCのファイル操作ログ取得・監査ツールや、ウェブフィルタリグツールなどのセキュリティ対策ソフトウェアと抱き合わせることによって、情報漏えいをより一層早期段階で発見・防止・制御することが実現可能となります。

逆に言えるのは、「Active Directory」を利用せずに、セキュリティ対策と称してクライアントPCのファイル操作ログ取得ツールのみを導入しても、"誰か"の特定が不十分なために、ログが意味をなさない場合もあります。

クライアントPCのファイル操作ログ取得ツールのみを導入してもだめ!

「Active Directory」グループポリシーの有効利用

情報を格納するサーバーだけを守っていても十分ではありません。サーバーにアクセスするクライアントPCがセキュアに保たれている必要があります。

「Active Directory」にはグループポリシーという機能があり、複数のクライアントPCやユーザーに対してセキュリティに関する設定などを一括配信・設定することが可能となっています。USBメモリなどの外部記憶装置の利用制限や、不正ソフトウェアの利用制限を組織単位で一括配信したりすることができます。
これらのグループポリシーの機能をうまく運用することによって、数多くのクライアントPC、ユーザーを効率よくセキュアに保つことが可能となります。

グループポリシーの有効利用

また、このグループポリシーの運用においては「見える化」が非常に重要なポイントとなっています。
「どのOU(組織/グループ)にどのくらいの数のコンピュータやユーザーが所属し、どのようなポリシーが設定されているか」を「見える化」することによって、抜け漏れを未然に防ぐ事が可能となります。

※弊社ツールによるGPOビューの例
※弊社ツールによるGPOビューの例

ID管理効率化の事例

某保険会社様では、弊社で導入したID管理ツールを人事システムと連動させ、人事部により登録された新入社員情報や部署変更情報を自動的にActive Directoryのユーザー・グループ情報に反映させることにより、情報システム部員の負荷をあげることなく、常にActive Directoryのアカウント情報が最新の状態に保たれるようにしました。従来、退職した社員のIDが気づかないうちにActive Directory上に残ってしまっていたという事が起きていた問題が解消され、IDの盗難等による漏洩事故を未然に防げる運用が実現されています。

総括

 今回は、セキュリティ対策の視点における「Active Directory」の必要性にフォーカスを当ててご紹介いたしました。ID管理はシステム運用の要とも言える非常に重要なファクターです。そのID管理を効率よく正確に行うために様々なソリューションのご検討をされることをお奨めしています。

  
TOP