Active Directoryでどこまでセキュアなシステムにできるか?[06/03/01]

セキュリティ・キーマンのためのナレッジワークショップ
~Windows2000/2003におけるセキュリティを語る~
「Active Directoryでどこまでセキュアなシステムにできるか?」

日 時 2006年3月1日
主催 アルファテック・ソリューションズ株式会社
協賛 マイクロソフト株式会社
司会・進行 株式会社ナレッジサイン 吉岡英幸
参加者 電気部品製造、食品製造、衣料品製造、製薬、不動産、アミューズメント関連、コールセンター受託などの企業に属する情報システム部門キーパーソン8名
今回は、アルファテック・ソリューションズ株式会社主催のもと、Windows 2000 Server以降の環境で標準装備となったディレクトリサービス、Active Directoryの活用について実践的な議論をしました。その模様をお伝えいたします。
◆企業によって必要とする機能は異なる
 Active Directoryは豊富な機能を持っている。各企業はどのように使いこなしているのだろうか。
今回のワークショップでは、ほぼすべての参加者がActive Directoryをすでに構築済みであった。ただ、Active Directory導入の背景として、純粋にWindows NTのサポートが切れ、Windows 2000 ServerやWindows Server 2003環境に移行せざるを得ないという状況がある。したがって、Active Directoryの豊富な機能に期待しながらも、本格的な活用はこれからという企業が多いようだ。

そのような中、期待する機能も、グループポリシーの適用、個人アカウントの管理、パッチの配布、デスクトップ管理、ログの監査、Active Directoryを軸とした統合認証基盤の構築など、各社の事情に応じてさまざまだ。そして、実際の運用では現場のニーズに合わせたさまざまな対応が求められ、まさにナレッジが必要とされる。

◆アカウント管理の自動化と実運用での対応
 アカウント管理に関して言えば、Active Directoryの場合クライアントPC単位ではなく、ユーザー単位でアカウント管理ができるのは大きなメリットだ。業務によっては複数のオペレーターが1台のクライアントを使用する場合もあるし、フリーアドレス制などの業務スタイルを採用している企業の場合、必ずしもユーザーとクライアントが一致しているとは限らない。

また人事データと連携させることで、アカウントの発行や削除・権限付与が自動化できるのも魅力だ。しかし、実際の運用ではイレギュラーな対応が求められることがある。派遣社員やアルバイトなど流動的な就労者を多く抱える企業は多いが、派遣社員一人一人まで人事データに反映させているケースは少ない。その場合派遣社員をひと括りに「ゲスト」アカウントで対応してしまうと、結局個人を識別できなくなってしまう。このような場合は手作業でのアカウント発行などの対応が必要になる。

さらに人事異動の時間軸の問題もある。たとえば辞令のうえでは、4月1日の人事異動であったとしても、実際には3月中から新しい部署での業務を行う場合がある。あるいは、4月1日以降も引継ぎの関係で新旧部署をまたいで業務を行い、両方のセキュリティ・グループの権限が必要な場合がある。人事データと連携してグループポリシーを設定している場合、結局手作業で権限の付与をするしかない。全社的に異動の大きな時期などは管理者の作業も大変だ。ただActive Directoryでは変更情報を事前にレポートとして出力することができるので、作業はいくらか軽減される。

◆さまざまな運用ナレッジを提供できるパートナーを選ぶ
情報漏洩の阻止という点では、Active Directoryの活用に加えて実運用でのさまざまな対策が必要になる。グループ単位、アカウント単位で共有フォルダ内のファイルへのアクセス権を設定したり、誰がどのファイルにいつアクセスしてどのように変更を加えたかを記録することはActive Directoryで可能だ。しかし、漏洩阻止の対象となるデータがクライアントにある場合、そこまでは自動で管理できない。
基本的にクライアントにデータは持たせないというルールを適用している企業は多いが、実際にルールを徹底するのは難しいのが実状だ。かといって完全なシン・クライアントにしてデータを持たせない環境にしてしまう企業もまだまだ少ない。

有効な対策として、ネットワーク上のデータへのアクセスはActive Directoryで管理しながらも、クライアントPCにログ管理ソフトを別途導入して、クライアントでのログがいつでもトレースできるようにし、牽制機能を効かせる、という運用が採用されている例が多いようだ。

Active Directoryはあくまで基盤である。その機能を活かして各企業において最適なセキュリティ運用を実現するためには、さまざまなナレッジが必要だ。そのナレッジを提供することが、Active Directoryに関わるシステムの構築を担当するSIベンダーに求められる役割ではないだろうか。Active Directoryの技術領域に詳しいだけではなく、実際の運用でどのような課題があるのか、豊富な経験をもとに、ユーザーの視点に立って解決する姿勢を持つベンダーをユーザーは選ぶべきであろう。

(文責:吉岡英幸)

お気軽にお問い合わせください。TEL 03-3555-6901受付時間 9:30~18:30(土・日・祝日除く)

メールでお問い合わせはこちら

このエントリーを含むはてなブックマーク Buzzurlにブックマーク livedoorクリップ Yahoo!ブックマークに登録

このページの先頭へ