ある日突然――
「全社員がログインできない」
「管理者権限が書き換えられている」
「全端末にランサムウェアが展開された」
こうした事態の背後にある“共通原因”の一つが、Active Directory(AD)の侵害です。
ADサーバーは単なるサーバーではありません。企業ITの“心臓部”です。ここが破られると、セキュリティ対策の多くが意味を失います。
では、ADサーバーはどう守るべきなのか。ファイアウォールやウイルス対策だけで十分なのでしょうか。本稿では、AD防御における本質的な考え方と実践策を解説します。
ADは「認証・認可の中枢」
Active Directoryは組織内のID管理・認証・権限管理のコア基盤です。
ユーザー、PC、サーバー、アプリケーション等、あらゆるアクセス制御がADに依存します。
ADが侵害されると…
- 全ユーザーのなりすましが可能
- 権限昇格・横展開が容易
- 全システムの支配につながる
結果、「AD侵害=企業全体の侵害」となり、深刻な被害をもたらします。
ADは攻撃者の最終目標になりやすい
攻撃者は攻撃の土台としてまず、下記を狙います。
- Domain Admin 権限の奪取
- ドメインコントローラー制御
- GPO悪用による全端末支配
ADを奪取することで、ほとんどの端末を一括操作・暗号化・破壊できるようになるからです。
ADが侵害されると被害規模が桁違いに…
ADが突破されると局所的な被害ではなくなります。
| 項目 |
被害内容 |
| 認証基盤 |
全アカウント無効化・ロック |
| 権限管理 |
不正管理者の作成 |
| 業務影響 |
全社ログイン不可 |
| 復旧難易度 |
非常に高い(再構築が必要な場合あり) |
上記のように、ADサーバーは「認証・認可の中枢」であり、組織として死守しなくてはならない心臓部と言えます。
ADサーバーを守るには
ADを守る基本原則
AD防御の基本は『権限管理・アクセス制限・認証強化・更新・監視・バックアップ』です。
下記の項目が現状満たせているかをご確認ください。
| 管理者を増やしすぎない |
強い権限を持つ管理者は必要最小限にしましょう。 |
| ADサーバーに触れる人・端末を限定 |
誰でもアクセスできる状態は非常に危険です。 |
| IDとパスワードを守る |
多要素認証(MFA)+強力なパスワードで運用しましょう。
特権IDを管理するツールの導入もおすすめです。 |
| 更新・パッチを止めない |
古い状態=攻撃の入口となります。
常に最新の状態を保つためのルールの策定が必要です。 |
| 不要なものを置かない |
使わない機能・ソフトは削除しましょう。
置いているものが多いほど攻撃の入り口が増え、パッチ漏れのリスクも高まります。 |
| 怪しい動きは常に監視 |
権限変更・不審ログオンをチェックを行えるようにしましょう。
EDR/XDRの活用により、検知が可能になります。 |
| バックアップを取る |
壊された時やBCP対策として、復旧手段を明確にしてください。
万が一の時に機能しないバックアップでは意味がありません。 |
ADサーバーには特に強固なセキュリティ製品を導入する
前述の通り、ADサーバーは組織の「認証・認可の中枢」であり、心臓部です。
ここには通常のセキュリティ製品ではなく、特に強固なセキュリティ製品の導入を推奨します。