尽きない!Active Directory管理者の悩み
今や多くの企業/組織で導入されているマイクロソフトのディレクトリ・サービス・システム「Active Directory」。ユーザーやコンピューターの管理基盤として利用している企業にとって、なくてはならない存在です。
そんなActive Directoryですが、操作内容によってはPowerShell(マイクロソフト)を活用してスクリプトを組む必要がある等、その難易度の高さから作業依頼がシステム担当者に集中するケースがほとんどです。例えば、以下のような作業が突発的/定期的に発生し、スキルの高いエンジニアの業務を圧迫しているという事はないでしょうか。
(1)アカウントの一括登録/更新作業(新年度や異動のタイミングで随時)
(2)アカウントのロック解除(ユーザーがロックアウトされたタイミングで随時)
(3)ログの確認作業(監査目的で随時/定期)
当サイトではツールを活用して上記のような作業を効率化し、Active Directoryのアカウント管理にまつわる工数削減、セキュリティレベルの向上を実現する方法をご紹介します。以下より、ニーズに合わせたコンテンツをご参照ください。
悩み解決(1)人事管理とAD操作を連結!アカウントの一括登録・更新
Active Directryのアカウント管理には、常に人事情報がつきまといます。アカウント作成に必要な情報をすべて持っているのは人事部(あるいは各事業部)ですが、実際の作業を依頼されるのはシステム部門の担当者です。このような場合、情報の混乱や作業の出戻り、処理完了までのタイムラグが発生し易くなり、業務効率は悪くなります。
一方、Active Directoryの操作自体を上手く委任できれば作業フローは簡略化でき、双方の負担を軽減することが可能です(下図 ※組織形態によっては、ヘルプデスクではなく直接人事部や各事業部長に委任するケースもあり)。
ManageEngineが提供するActive Directoryのアカウント管理ソフト「ADManager Plus」を活用することで、上記のような課題を解決し、Active Directoryの管理作業を安全かつ適切に委任することが可能です。
<誰でも簡単!シンプルなGUI操作>
ADManager Plusは、シンプルな操作性を有した直観的なGUIにより、誰でも簡単にActive Directoryのユーザー、グループ、コンピューター等を操作できます。 高度なスキルを持ったエンジニアでなく、現場寄りの部門担当者へ作業を委任することで、業務の効率化を図れます(作業を派遣社員に移管することでシステム部門の負荷軽減に成功した事例もございます。)
<不正防止にも!申請/承認ワークフローと権限管理>
ADManager Plusでは、ワークフロー機能により、情報を所有している各部門から共通のフォーマットで広くアカウント作成の「申請」を受け付けられるため、IT部門の担当者が入力情報を収集する際の負荷を軽減できます。 また、申請されたデータに対しては、責任者による「レビュー/承認」プロセスを徹底でき、不正なアカウント操作や登録時の誤りを防止できます。 セキュリティレベル向上のため、各部門にアカウント作成の権限を委任できないものの、情報入力の手間は削減したいという場合に最適です。
<負荷軽減!アカウントの一括登録・更新>
ADManager Plusは、CSVファイルを用いてActive Directoryのアカウント情報を一括登録できます。また、スケジュールやポリシー設定の自動化機能を活用することで、以下のような処理が行えます。
(例1)人事異動がある○年○月○日の午前○時に、更新リストを反映
(例2)ユーザー作成後、○日後に無効化し、その30日後に削除
悩み解決(2)セルフで安心!アカウントロック解除
パスワードクラックとして、昔から使用される手法の一例として「辞書攻撃」や「総当たり攻撃」が挙げられます。これは、コンピューターを使用して、考えられるパスワードを次々と試し、正解を探し出すという攻撃方法です。
このような攻撃への対処として、同一アカウントで複数回ログオンに失敗した場合にログオンを不可能にする「アカウント ロックアウト」の設定が有効です。一方で、アカウントのロック解除には管理者権限が必要となるため、このような設定はシステム管理者の負担を高めかねません。
・ロックアウトされたユーザーはパソコンでの業務が全くできなくなり、対応は急を要する
・電話等でなされたロック解除の申請が適正か(不審者からでなかったか)の判断が難しい
上記のようなジレンマの中、管理者は早急かつ安全に対処することが求められ、ともすれば本来の業務に支障をきす可能性があります。
ManageEngineが提供するActive Directoryのセルフ管理ソフト「ADSelfService Plus」を活用することで、上記のような課題を解決できます。
<楽々!アカウントロックのセルフ解除/パスワードのリセット>
ADSelfService Plusでは、アカウントがロックされた際、ユーザー自身でアカウントロックを解除できます。また、繰り返しの負荷を軽減するため、ロックの自動解除設定も可能です。また、ユーザーは自身でパスワードを更新/リセットすることができます。また、期限切れ時のパスワードの自動リセットの設定も可能です。
<その他の機能>
・マルチファクター認証による本人確認
ADSelfService Plusでは、ユーザーがアカウントロックの解除やパスワードをリセットする際、本人確認が必要です。「セキュリティ質問」、「モバイルのSMS/電子メールで受信する認証コード」、「Google Authenticator」の3通りの認証方法から選択でき、セキュリティを強化できます(SMS送信機能は有料オプションです)。
・パスワードの期限通知/登録情報のセルフ更新
ADSelfService Plusでは、ユーザーのアカウントやパスワードの期限満了前に、設定した頻度でリマインドメールを自動送付し、アカウントロック発生を抑制できます。また、ドメインユーザーによる Active Directory 登録情報(連絡先)の更新ユーザー自身がGUIからActive Directoryに登録している連絡先情報を更新できる環境を提供します。
悩み解決(3)ログの可視化でこんなに楽に!ドメイン管理者アカウントの監査
標的型攻撃が横行する現代、攻撃者が機密情報を取得する過程においてActive Directoryのドメイン管理者アカウントを悪用するケースが多く報告されています。 このため、攻撃を早期に検知し、被害を低減させるための対策ポイントとして、Active Directoryのログ監査は重要な位置を占めており、JPCERT/CC( Japan Computer Emergency Response Team Coordination Center )からも対策ガイドラインが提示されています(* )。
いまだ多くの組織では、ノウハウや人的リソースの不足を理由にActive Directoryの監査対応が十分に出来ていないと言われていますが、一方で、大手企業のグループ子会社のように、親会社のポリシーに応じてActive Directoryログの定期的なレポーティング業務が課せられる例も存在します。このような場合、限られたリソースの中で一定以上のスキルを持ったエンジニアが工数を割かれる可能性があり、本来の業務の圧迫にもなりかねません。
ManageEngineが提供するActive Directoryの監査レポートソフト「ADAudit Plus」は、解析が困難なActive Directoryの生ログを、視覚的なレポートとして出力することで、上記のような課題を持ったエンジニアの工数削減に寄与します。
*ログを活用したActive Directoryに対する攻撃の検知と対策
<簡単!膨大なログから監査レポートを瞬時に作成>
ADAudit Plusには、Active Directoryの膨大なログデータを監査人が必要とするレポート形式(200種類)へ瞬時に転換するナレッジが詰まっています。 例えば、下記のようなセキュリティレポートを簡単に作成できます。
・ドメイン管理者アカウントの監査レポート -セキュリティグループへのメンバー追加…etc.
・ドメイン認証失敗の監査レポート -休日/夜間にドメインへのログオンを失敗したユーザー -複数コンピューターへログオンしたユーザー..cetc.
・GPO変更の監査レポート -最近のGPO変更…etc.
なお、ドメイン管理者アカウントの防備を主眼にActive Directoryのセキュリティ対策を行う際は、ADAudit Plusの他にアカウントのカレント状況を一覧表示できるADManager Plusをはじめ、特権ID管理専用ソフト(Password Manager Pro)なども組み合わせて利用することで効果が高まります。詳細は、下記のコンテンツをご参照ください。
製品一覧
以下は、当ページで紹介しているManagaEngine製品の一覧表です。製品に関するご相談やお問い合わせ、見積りのご依頼がございましたら、下記よりお気軽にお送りください。
アカウントの操作の委任 | アカウントロックのセルフ解除 | ログの監査 |
Active Directory ID管理ソフト「ADManager Plus」(エーディーマネージャー プラス)
| Active Directoryのセルフ管理ソフト「ADSelfService Plus」(エーディーセルフサービス プラス) | Active Directoryログ監査ソフト「ADAudit Plus」(エーディーオーディット プラス)
|