Windows 7: Windows のアクセス権を適切に管理することで制御権を取り戻す

  • [アーティクル]

Windows のアクセス権の管理は困難な場合になることがありますが、インフラストラクチャと手順をきちんを理解できていれば、それほど困難な作業ではなくなります。

David Rowe

アクセス権では、拒否の規則が必ず許可の規則に優先されると考えていらっしゃるのではないでしょうか。ほとんどの場合は、そうですが、Windows では必ずしもそうとは限りません。この不規則な優先度は、Windows のアクセス権を効率的に管理するという問題の一因となっています。

1 つグループやユーザー アカウントのアクセス許可を管理するだけでも、無数の要素が関与しています。これは、法規制の遵守が必要な現代において問題となります。アクセス権について正当な評価を下し、セキュリティ監査者を支援し、セキュリティで保護された環境を維持するという IT 管理者に課されている責任は、ますます大きくなっています。

手ごわい作業のように見えるかもしれませんが、Windows のアクセス権の制御権を取り戻し、セキュリティを強化し、コンプライアンスにかかるコストを削減する、いくつかの手順があります。まずは、わかっていないことを把握する必要があります。Windows のアクセス権に関する IQ をチェックしてみましょう。

Q 1. Active Directory に存在しているセキュリティ グループの数を正確に把握していますか

  1. Active Directory に存在しているるセキュリティ グループの正確な数を把握している
  2. 私が把握しているグループの数は、10% の誤差範囲内にある
  3. 私が把握しているグループの数は、50% の誤差範囲内にある

Q 2. Active Directory に存在しているセキュリティ グループの数についてお答えください

  1. 少ない (少なくとも 1 年に 1 回は古いグループを削除しているので、グループをきちんと制御できています)
  2. おそらく 5 人のユーザーに対して 1 つのグループという割合で存在している
  3. 不要なグループは、だれかが削除していると思う

Q 3. Windows のアクセス権を管理および削除することについてお答えください

  1. アクセス権がどのように付与されているのか把握しているので、アクセス権を削除すると、アクセス権は問題なく削除される
  2. 自分がやっていることはわかっているつもりだが、当て推量になることもある
  3. だれかが必要なファイルを入手できなくなるように制限したくないので、アクセス権には手を出さないことにしている

Q 4. アクセス権を簡単に認証する方法はありますか

  1. はい、一定の頻度でアクセス権を認証することが組織で義務付けられている
  2. ある事象が発生したときに何度か実施したことはあるが、簡単な作業ではなかった
  3. 話題に上ることはあるが、実際に実施したことはない

Q 5. どのユーザーがアクセス権を変更できるかということと、変更が適切に行われたことについて、どの程度確信を持てますか

  1. すべての変更が行われたタイミングと、その結果を把握している。重要な通知は、電子メールで送られるようになっている。
  2. ログを確認して、行われた変更を追跡できるかもしれない
  3. 状況を把握する方法は把握していない

Q 6. 会社の機密情報は、どこに格納されていますか

  1. アクセス制御によりセキュリティが確保された 1 つの場所に保存されている
  2. すべての従業員が、さまざまな方法を使用してアクセスできる、多少整理された多数のファイル共有に格納されている
  3. 多数のサーバーのフォルダーに散在していて、どこにあるか把握していない

自己評価

上記の質問に対して、すべて 1 と答えられるのが理想です。ですが、正直に回答した場合、すべての回答が 1 になった方は少なく、2 や 3 と答えたものがいくつかあったのではないでしょうか。

多くの方は、Windows のアクセス許可の付与と拒否については、十分理解していると思います。ですが、時間の経過と共に、だれがどのファイルに対してアクセス権があって、アクセス権がどのように管理されているのかを理解して報告することについては、曖昧な点が往々にしてあります。これは、一般的に、組織で絶えず発生する雇用と役割の変化に起因するものです。このような変化により、不適切なグループ メンバーシップを持つユーザー、非アクティブなアカウント、循環アクセスを持つグループなどが生じます。

完璧に構成されたファイル システムでも、時間の経過と共に、無秩序な状態に陥る傾向があります。誤ったセキュリティ観念を持たないでください。アクセス権は、積極的に監視、評価、および管理する必要があります。そのためには、一般的に、自動化に投資する必要があります。

アクセス権に関する IQ を上げる

アクセス権を管理する際には、グループとリソースの管理にも対応する必要があります。多くの企業では、チームで作業をしているため、1 人のユーザーがかかわっているプロジェクトの数は 1 つとは限りません。時間の経過と共に、プロジェクトと従業員は移り変わります。

その結果、ユーザーから必要なアクセス権が削除されたり、使用されないリソースが生じることがあります。不適切なアクセス権を持つ従業員と使用されていないリソースは、内部のセキュリティ脅威となります。多くの場合、このような脅威に気付いたときには既に手遅れなので、このような脅威は非常に危険です。

グループとリソースを管理することで、このような潜在的な脅威を効率的に調べられます。従業員の就職や退職、統合や買収、部署の分割や再編成もあります。簡単に言ってしまえば、組織が、時間の経過と共に変化することは避けられません。急ぎの要件に対応したり、締め切りに間に合わせたり、作業を楽にするためにアクセス許可を追加することがあると思います。ただし、このようにアドホックに追加したアクセス許可は削除されることなく蓄積し続けます。その結果、不安定な環境が生まれます。

最近、大企業のインフラストラクチャで調査を実施したところ、80,000 人の従業員に対して 60,000 個の Active Directory グループが存在することが判明しました。これは、4 人の従業員に対して 3 つのグループが存在することになります。また、そのうち約 1/3 のグループには、参加しているメンバーがいないか、参加していても 1 人のメンバーしかいませんでした。他人事だと含み笑いされているかもしれませんが、ユーザー数が 50 ~ 100,000 人の組織で同じような調査を実施したところ、大半の組織では、少なくとも 2 人の従業員に対して 1 つのグループが存在することが判明しました。その多くのグループのメンバー数は 2 人以下でした。このような権限の増殖は珍しいことではありません。

さらに状況を悪化させているのは、Windows のアクセス権が、何層にも入れ子になったグループに基づいて付与されていることです。入れ子は、10 個の場合もあれば、何百個にも及ぶ場合もあります。従業員は、使用するシステムに応じて、複数の ID と権限のレベルを持つことがあります。複数の部署と管理者が独自にアクセス権を作成して管理しているため、組織内で施行されているポリシーには一貫性がないことがあります。

その結果、アクセス権は非常に複雑になり、どのユーザーやグループがアクセスできるのかを把握することができず、特定のファイルにアクセスできるユーザーを説明できないという状況に陥ります。また、このような状況により、監査の失敗、コストが高い監査の応答、機密データの損失、知的財産を保護できないという結果を招くことがあります。

たとえば、特定の事業所のマネージャーには、管理下の事業所に関連のあるファイルのみを参照するアクセス限を与えるべきです。このマネージャーは、過去に本社で経営幹部がメンバーとなっているプロジェクトに参加していたため、経営幹部レベルのアクセス許可が付与されているグループのメンバーになっていた時期があったかもしれません。このグループのアクセス権を積極的に管理していなければ、IT 管理者は、このマネージャーが、競合他社に自社の機密情報を渡すのに十分なアクセス許可がある状態で退職するのを指をくわえて見るしかないという状況に直面するおそれがあります。

検出

まず、アクセス権の現状をあらゆるレベルで把握する必要があります。適切なツールを使用すれば、メンバー数が少ないグループ、使用率の低いリソースに対するアクセス権、非アクティブなアカウント、状況を把握するのに役立つ情報を簡単に取得できます。簡単に達成できる作業に対応する準備を整えましょう。

共有、フォルダー、ファイル、グループ、およびユーザーのレベルで、どのようなアクセス権があるのかを迅速に特定します。アクセス権について正確に答えられるようになるだけで、監査にかかるコストを削減し、監査が成功する可能性を高めて、セキュリティを強化し、問い合わせへの対応にかかる時間を短縮できます。

削除

不適切なアクセス権を持っているものとしてフラグが設定されたオブジェクトとユーザーを削除するプロセスを用意します。システムを既知の問題がない状態にします。非アクティブなアカウントと現在使用されていないグループを削除し、不適切なグループ メンバーシップを削除し、すべてのユーザーに適切なパスワード ポリシーが適用されるようにして、スマートカードの使用を監視します。重複ファイルや使用されていないファイルは削除します。このような対応により、セキュリティを強化できるだけでなく、ストレージにかかるコストも削減できます。

簡単な作業に取り組んだら、孤立したセキュリティ識別子 (SID) や循環グループなど、より頑固な領域の問題に対処します。多くのアクセス許可が設定されている機密データ、1 年以上アクセスされていないファイル、および過剰なアクセス権を持っているユーザーを特定します。適切なツールを使用すれば、このプロセスを簡略化できます。

アクセス許可をユーザーに直接割り当てるのが一般的だと思われがちですが、実際のところ、そのようにアクセス許可を割り当てるのは例外的な対応とする必要があります。グループを割り当てると、アクセス規則を最小限に抑えて、より簡単に追跡できます。多くの場合、アクセス権を個別に監視しなければならないと、孤立した SID が生まれます。ファイル システムでアクセス許可をユーザーに個別 (つまり、直接) 割り当てている場合、アクセス許可を削除するのは困難で落とし穴だらけの作業になります。

メンテナンス

活動は時間をかけて監視します。グループ メンバーシップの変更、アクセス権の変更、ファイルへのアクセス状況 (だれが、いつアクセスしたのか)、ユーザーの変更などを追跡します。このような変更を追跡するだけでなく、リアルタイムの自動解析も行う必要があります。このようにするとイベントをログに記録して、重要なイベントに対して然るべき対応ができるようになります。

非アクティブなアカウント、メンバーがいないグループ、孤立した SID、循環グループなどの監視は、自動化して定期的かつ頻繁に実行できます。ユーザーのアクセス許可の所有者と機密ファイルやフォルダーでの活動に対して定期的にスケジュール設定した認証を実行します。また、機密ファイルやビジネス アプリケーションへのアクセス権を付与するグループへの変更も監視する必要があります。

Windows のアクセス権は、ビジネスの変化と同じ速さで変化することが重要です。変動する環境は、不安定なアクセス環境をもたらします。ユーザーが追加されることはありますが、古いユーザーが削除されることはめったにありません。非アクティブなユーザーは、潜在的なセキュリティの脅威になります。毎日または毎週、定期的にアクセス権をメンテナンスすることで、この脅威を大幅に軽減できます。また、ファイル システムを整理された状態に保つうえでも役立ちます。

会社のファイル システムのセキュリティは強化され、アクセス許可をより厳密に制御できるようになります。また、Windows のアクセス権の管理に関する権威としての地位も確保できます。

David Rowe

David Rowe は、NetVision の CEO です。NetVision は、エンタープライズ アクセス監査のコンプライアンスと制御を目的としたソリューションを提供する民間企業です。連絡先は、drowe@netvision.com (英語) です。

関連コンテンツ