これまでの対談では、KPMGコンサルティングの畠山 誠とテナブル・ネットワーク・セキュリティ社(以下、テナブル社)の加藤 豪太氏、畑瀬 宏一氏から、重要性に反してActive Directory(AD、アクティブディレクトリ)の保護が行き届いていない現状を踏まえ、予防、検知、復旧という3つの柱を軸にした対策の必要性があることを伺いました。
では、具体的な対策はどうあるべきでしょうか。Active Directoryを再考する本対談の最終回では、テナブル社のツールである「Tenable.ad」を1つの軸に、どのような考え方の下で対策を進めていくべきかを掘り下げていきます。
具体的な被害から知る、Active Directory保護のポイント
Q:あらためて、攻撃者がなぜActive Directoryを狙うのか、悪用されるとどんな被害が生じるか、具体的な例を教えていただけないでしょうか?
畑瀬氏:Active Directoryを高度に利用して攻撃する特徴的な最近の例が、「Lockbit 2.0」というランサムウェアです。一般的にランサムウェアは既知の脆弱性を悪用して広がることが多いのですが、Lockbit 2.0はActive DirectoryのGPO(グループポリシーオブジェクト)を使って、配下の端末すべてに自分自身を配布します。つまり、Active Directoryの機能を悪用して攻撃が高度化しているのが実情です。
左からテナブル社 畑瀬氏、加藤氏(WeWork丸の内北口で撮影)
Q:では、どのような対策があるのでしょうか。
畑瀬氏:Lockbit 2.0の場合、Active Directoryの設定構成に不備があったり、脆弱性が残っていたりして、グループポリシーを作る権限を攻撃者に許してしまったことに原因がありました。これを防ぐには、そうした弱点が発生しないように日々モニタリングしなければなりません。
実はこうした弱点は、日々のActive Directoryの運用の中で発生してしまう恐れがあります。管理者による設定変更はもちろんですが、Active Directoryはいろいろなシステムやアプリケーションとつながっているため、その動きの中でも変化していきます。このため、今日チェックしたからといって、明日も大丈夫とは限りません。従って、まず「継続的」にチェックしていくことが重要です。
また、何か起こった時にすぐ対処しないと被害があっという間に広がってしまいますから、「リアルタイム」に検知し、対処しなければいけません。Active Directoryは常に運用し続けられる基盤ですから、時間がたってから復旧しようとしても、どの時点に戻せばいいかの判断が難しくなります。その意味でもリアルタイム性が必要です。
そして、たびたび説明しているとおりActive Directoryは企業システムの根幹であり、運用にはノウハウが必要です。ですので、なるべく「自動的」に検知し、対処していくこともポイントでしょう。また、攻撃自体を検知するだけでは不十分で、攻撃される可能性のある弱点をリアルタイムに自動的に検知してすぐに対策を講じることが重要です。
左からKPMG畠山、テナブル社 畑瀬氏、加藤氏(WeWork丸の内北口で撮影)
継続性とリアルタイム性、自動化という3つの要素を兼ね備えた保護を実現する「Tenable.ad」
Q:こうした機能を備えているのが「Tenable.ad」でしょうか?
畑瀬氏:この対談の第2回で、Active Directoryの保護には予防、検知、復旧の3つが大切であることに触れましたが、それを単一のツールで実現するのがTenable.adです。既存のシステムログだけではなくActive Directory内部のオブジェクトデータを独自に取得し、状態を解析することで、何が起こった・起こっているのか、何が問題だったのか・問題になりそうなのかを明らかにして必要な対策方法を提示します。事前の予防だけでなく、Active Directoryの中で起こった変化をデータベースに蓄積し、後からどのような変化が起こったかを調査でき、フォレンジックを支援できるようにもなっています。それも、先ほど申し上げた継続性とリアルタイム性、自動化という3つの観点をカバーしているからです。
Q:他にもEDRなど、攻撃の検知の特化したソリューションは存在します。違いは何でしょうか?
畑瀬氏:攻撃検知だけに頼る一番の課題は、攻撃が発生して初めて事の重大さに気づくということです。本来は、攻撃の発生を予測して事前に対策をしておくべきなのです。Active Directoryには、ユーザーの認証情報や権限に関する設定に加え、信頼関係や個人情報、機器情報、制御ポリシーなど、非常に多くの複雑な情報が含まれています。それらをきちんと予防の観点から監視していく必要があります。EDRのようなツールを用いたり、ユーザーの行動やパケット情報を見て攻撃を監視したりしているだけでは、対応として不十分なだけでなく、Active Directoryの正規の機能を悪用された場合の攻撃であれば、外部からは通常の動作に見え、攻撃だと判断できないことさえあります。DCSyncやDCShadow攻撃はその例です。やはり、中身をきちんと見て判断していくことも必要です。
畠山:あまり顧みられてこなかったActive Directoryのセキュリティ対策ですが、ツールをうまく使うと同時に、ツールから出てきた情報やアラートを適切に処理し、必要な対策をとっていくための体制やプロセスをあらかじめ定義しておくことも重要でしょう。脅威を検知したときにどう動くかをあらかじめ定めておくことで、リアルタイムに対応することが容易にできるようになります。ただ、だからといって最初から完璧を求める必要はありません。スモールスタートでできるところからはじめ、少しずつ範囲を広げていくのが有用だと思います。
KPMG畠山(WeWork丸の内北口で撮影)
加藤氏:そうですね。企業システムはそれぞれ違いますから、まず動かしてみて、そこから企業それぞれに特化したルールや設定値にしていく、少しずつチューニングしていくのが現実的なのかなと思います。
現状を把握し、リスクを可視化するという基本に忠実に保護の第一歩を
Q:最後に、Active Directoryの保護に向けて最低限やっておくべきことについて、アドバイスをお願いします。
加藤氏:攻撃検知も重要ですが、その前にまず、Active Directoryの管理自体ができていないケースもまだ多いように思います。通常時の動きや状態がどうなっているかがわからなければ、攻撃も止められません。Active Directoryが本来あるべき動きをしているか、リアルタイムで監視することがまず必要だと思います。
畑瀬氏:Active Directoryを守ることは、会社のビジネスを守ることにつながります。セキュリティの対策としては非常に重要な位置づけにありますが、「どうすればいいかわからない」という声も多く耳にします。経営層の方々も、今の状態が正しく把握できていなければ、セキュリティ事故のニュースを耳にして不安が増すだけでしょう。外部のアドバイザリーサービスやツールの活用も視野に入れ、対策を進めていただければと思います。
畠山:どういうリスクがあるかを把握し、許容するのか、対策をとるのかといったことを精査した上で取り組むのがセキュリティ対策の基本的な考え方です。Active Directoryにも同じ考え方が必要だと思います。今、どういう状況になっており、どこにどのようなリスクがあって対策をとらなければいけないのかを把握してはじめて、「では、こういうツールを入れて守りましょう」という話ができるようになります。この基本的な考え方を重視しながら、対策に取り組んでいただければと思います。
セキュリティの落とし穴 ~Active Directoryを再考する
関連リンク
テナブル・ネットワーク・セキュリティ社と対談シリーズです。第1回にリンクします。2回目以降はリンク先からご覧いただけます。
