アクセス権管理、出来ていますか?管理者を悩ますファイルサーバー管理
多くの企業や組織で導入されている「Active Directory」と「ファイルサーバー」。
フォルダー数やユーザー数の増加に伴い、権限設定はどんどん複雑化する傾向にあり、把握が困難になりがちです。
しかし、面倒なファイルサーバー運用も、Active Directory と連携させることで一元管理することができ、管理負荷を減らすことができます。
「誰がどのファイルにアクセス出来るのか」権限状況の可視化と監査は必須です。
当サイトでは、そのようなファイルサーバーのアクセス権限管理業務に関する課題を解決するためのソリューションをご紹介します。
ファイルサーバーの問題を ManageEngine 製品で解決
ファイルサーバーに対するアクセス権限管理を最適化
ソリューションをみるファイルサーバーに対するアクセスの可視化と設定の変更監査
ソリューションをみる
要件 1. ファイルサーバーに対するアクセス権限管理を最適化
Active Directory 環境にてリソースを共有する場合、どのユーザーに対してどのレベルまでのアクセスが許可されているかを適切に管理することが重要です。しかし、ファイルやフォルダーに対するアクセス権限の棚卸、最適化を人的作業で行う場合、数万ものフォルダーに対する権限をひとつひとつ確認する必要があり、システム管理者にとってかなり負荷の高い作 業となり得ます。以下では、ファイルサーバーのアクセス権限管理にまつわる作業を効率化する方法として、 ManageEngineが提供するActive Directoryのアカウント管理ソフト「ADManager Plus」を使用したソリューショ ンをご紹介します。
ソリューション(1) セキュリティグループに所属するユーザーを最適化
ソリューション(2) ファイルに対する NTFS のアクセス権限管理を最適化
ソリューション(1) セキュリティグループに所属するユーザーを最適化
ファイルサーバーにおいてリソースへのアクセス権限を付与する場合、リソースへの権限を有しているグループ(多くの場合、 部署・グループ単位で作成)に所属させる方法が一般的です。グループに対して意図しないメンバー追加が行われた場合、本来アクセスが許されないリソースに対しても簡単にアクセスを行うことが可能となり、最悪の場合、機密情報の窃取 も考えられます。そこで、セキュリティグループに対するユーザー追加のオペレーションを適切に管理することが大切です。
< ワークフロー機能を使用してユーザー追加を適切に管理 >
Active Directory を導入している企業において、Active Directory 上での不正な操作や操作ミスを防ぐためには、き ちんとした対応策を用意したうえで、実行する操作内容に間違いがないことを確実にチェックする必要があります。しかし、 このようなチェックを行うための業務フローを、システムを使用せずに実現することは容易なことではなく、Active Directory 標準の管理ツールのみの使用では難しいという実態があります。
ADManager Plus にはワークフロー機能が搭載されており、Active Directory上の操作に対して申請から承認、実行までの流れをチケット管理することで、業務ルールに則ったシステムを実装することができます。ファイル、フォルダーに対して権限が設定されているグループに所属させる際に、ADManager Plus のワークフロー機能を使用して管理することで、 責任者によるレビュー/承認プロセスを徹底することができ、セキュリティグループに対する不正なユーザー追加やヒューマン エラーを防止できます。
< セキュリティグループに所属するメンバー情報を簡単棚卸し >
「部署異動にともない新しい部署のアクセス権限を付与した際に、古い部署のアクセス権限を付与したままであった。」
「退職者のアカウントが削除されておらず、別の社員が勝手に使用してファイルサーバーにアクセスしている。」
このように、ユーザーやグループが適切に管理されていない状態は『セキュリティホール』となり、リスク拡大につながります。
これを未然に防ぐためには、定期的に Active Directoryにおけるセキュリティグループの棚卸を行い、適切な状態に保つことが大切です。
ADManager Plus には150 以上のレポートが組み込まれてお り、Active Directory の現在の状況を簡単に可視化することが可能です。レポートからセキュリティグループに所属しているユーザー を定期的に洗い出すことで、セキュリティグループが運用ルールに基づいた適切な状態であるかを把握することができます。また、セキュ リティグループが適切な状態でない場合は、ADManager Plus からそのままユーザーの無効化、削除といったアクションを実行する ことができ、作業の効率化を図ることが可能です。
セキュリティグループ一覧レポート
ソリューション(2) ファイルに対する NTFS のアクセス権限管理を最適化
ファイルに対する NTFS のアクセス権限設定とは、ユーザーがアクセス可能なリソースとデータを決定づける非常に重要な 設定項目です。しかし、ファイルサーバーを長年運用し、プロジェクト参加や部署異動に伴う権限の一時付与や変更を 繰り返す中で、アクセス権限の設定はどんどん複雑になりがちです。このような状況が放置され続けた場合、業務上必要 のない権限が与えられたままとなり、結果、情報の機密性が危ぶまれることになります。そこで、この問題を解消するために は「アクセス権限の棚卸」が必須となります。
< ファイルに対する NTFS のアクセス権限付与をフロー化して管理 >
管理者が自由に権限を付与できる状況にある場合、設定されて いる権限を正確に把握することが困難となり、無法地帯となりま す。そのような状況を回避するためには、NTFS のアクセス権限に 対す る変更を厳格に管理するための仕組みが必要です。ADManager Plus のワークフロー機能を使用することで、アクセス 権限への変更を網羅的に把握することができ、管理者の独断によ る変更を抑制するのと同時に、変更を証跡として残すことが可能となります。
セキュリティグループ一覧レポート
< NTFS に対するアクセス権限をレポートで見える化 >
過剰なアクセス権限を最適化し、セキュリティリスクを減少させるためには、「どのユーザーがどのフォルダーに対してアクセス権限をもっているか」を可視化し、必要なユーザーのみがアクセス権限をもつ適な状態に保つ必要があります。しかし、ツールを使用せずに、ファイルサーバーのすべてのフォルダーに対するアクセス権限を確認する場合、何万にもおよぶフォルダーの権限を1つずつ確認していく必要があり、大変な手間と時間がかかることから多くの企業はファイルサーバーの棚卸に関して課題を抱えています。
要件 2. ファイルサーバーに対するアクセスの可視化と設定の変更監査
ファイルサーバーに対して設定されているアクセス権限を適切に管理し、正しい状態に保つことは勿論大切ですが、同時にファイルサーバーに対して不審なアクセス(認証の履歴)がないか、あるいは権限がないフォルダーに対してアクセスを行った痕跡がないかを監査することは、ファイルサーバーのデータを保護する上で大変重要です。
Active Directory 標準の管理ツールを使用した場合、イベントビューアー上からファイルサーバーに対する認証ログを確認することが可能です。しかし、ログを正しく理解するためには専門的な知識を必要とし、さらに、デフォルトではログが定期的にローテートされることから、不審な兆候を見落とさないためには常時監視をする必要があるなど、実施が難しい面が あります。その結果、直接的な予防や防御、あるいは業務効率化の部分が重視され、インシデントが発生しないとコストメリットを実感しづらいログ監査は、優先度が低くなる傾向にあります。
しかし、ログ監査を怠った場合、問題の予兆を検知して事前に対策をとるということが困難となり、さらに問題発生後には証跡となるログがローテートしていたことで十分な調査ができず、結果的に企業の信用を失墜させてしまうことが考えられます。その観点から、「ログ監査」は直接的な予防や防御、あるいは業務効率化に匹敵する重要な要素といえるのです。 以下では、ログ監査を効率的に実施する方法として、ManageEngine が提供する Active Directory のログ監査ソフ ト「ADAudit Plus」を使用したソリューションをご紹介します。
ソリューション(1) 認証ログからアクセス状況を可視化および不正検知
ファイルサーバーに保存されている重要なデータを保護するためには、ファイルサーバーに対する不正アクセスや操作を常時 監視し、怪しい挙動があった際には直ちに対応できる状態にある必要があります。それを Active Directory 標準の管理ツールで実現しようとした場合、専門知識を持つ技術者がイベントビューアーに出力される膨大なログを一つ一つ確認 して、精査していく必要があります。しかし、多くの企業はそのための人的リソースを確保することが難しく、「ログの保管は 行っているものの、それ以上のことはできていない。保管して終わりという状況。」といったところも少なくありません。
そこで、ログ監査ツールの登場です。ログ監査ツールを使用することにより、「いつ」「だれが」「何をしたのか」を可視化することができ、専門知識をもたない人でも監査が可能となることで、かかる負荷を大きく低減します。
< ファイルサーバーの認証ログを可視化して不正の予兆を検知 >
イベントビューアーから認証ログを参照する場合、システム、あるいはコンピューターによるログオンなのか、またはユーザーによるログオンなのかをアカウント名から判断する必要があります。さらに、ログオン失敗イベントの場合、イベント IDに加えて失敗コードや結果コードなど、様々な要素から総合的に判断する必要があり、簡単には把握できません。
ADAudit Plus には200 以上のレポート が組み込まれており、 Active Directory 環境で生成されるセキュリティログを自動的に 解析して、可視化します。さらに、レポートはカテゴリごとに細かく分類されているので、情報が錯乱することなく、見たい情報をすぐに参 照することができます。
ADAudit Plus のユーザーログオンからは、「いつ」「だれが」「どこから」ログオンを行ったのか、ログオン失敗の場合は「どの理由で失敗したのか」が確認できます。ユーザー別、サーバー別のレポート表示やフィルター機能も搭載しているので、特定のファイルサーバーに対する認証ログを、簡単に抽出することが可能です。また、しきい値をベースとしたアラートを設定することで、外部から複数の不審なログオン失敗イベントが発生した場合に迅速に検知を行い、次に必要なアクションにつなげられます。
最近のユーザーログオン活動レポート
ソリューション(2) ファイルサーバーに対する ACL 設定の変更を監査
ファイルサーバーのファイル、フォルダーのアクセス権限を最適化したとしても、その後、設定が不用意に変えられてしまっては元も子もありません。設定が適切な状態のままであることを保証するためには、ACL の変更監査が不可欠です。
< ACL 設定の変更管理で適切な状態をキープ >
ADAudit Plus のファイル監査レポートでは、監査対象となる共有フォルダーに対して加えられた操作(作成、変更、読み取り等)を可視化します。ACL 監査の場合は、変更前と変更後のアクセス許可 設定を証跡として記録するため、万が一意図しない変更があった際にも、変更前である本来の設定をすぐに確認することができます。
また、要件1でご紹介した ADManager Plusと組み合わせて使用することにより、ACLに対して ADManager Plus経由以外で変更が加えられた場合に、即時にアラートを上げることができ、より厳格なアクセス許可管理を可能とします。
>> ADAudit Plusのファイル監査機能の詳細はこちらをご参照ください。
以下は、当ページで紹介している ManagaEngine 製品の一覧表です。製品に関するご相談やお問い合わせ、見積りのご依頼がございましたら、下記よりお気軽にお送りください。
ログの監査 | 一般アカウントの管理 |
Active Directoryログ監査ソフト「ADAudit Plus」(エーディーオーディット プラス) ・ユーザーの深夜ログオンやアカウントロックなどを監査することで、不正アクセスの検知を促進。 | Active Directory ID管理ソフト「ADManager Plus」(エーディーマネージャー プラス) ・一定期間使われていないアカウントを抽出することで、アカウントの棚卸しを促進。 |
Active Directory 関連ソリューション
< ツールで楽々、どんどん効率化!Active Directory のアカウント管理 >
多くの企業や組織で導入されており、ユーザーやコンピューターの管理基盤となっている Active Directory ですが、運用には専門的知識を多く必要するため、システム担当者の負荷を圧迫しがちです。そこで Active Directory の運用を効率化するために、アカウントの一括登録や更新作業が可能なADManager Plus、アカウントロックアウト解除のセルフサービス化を実現する ADSelfService Plus、そしてログの可視化を行う ADAudit Plus を利用することで、アカウン ト管理にまつわる工数管理、セキュリティの向上を実現します。詳細は、下記のコンテンツをご参照ください。
< Active Directory からはじめる特権 ID 管理 >
ドメイン管理者アカウントの防備を主眼に Active Directory のセキュリティ対策を行う際は、ADAudit Plusの他にアカウントのカレント状況を一覧表示できる ADManager Plus をはじめ、特権 ID管理専用ソフト(Password Manager Pro)なども組み合わせて利用することで効果が高まります。詳細は、下記のコンテンツをご参照ください。