運用管理の不備が情報漏えいを招くことも…
昨今、運用管理の現場では、ユーザIDの一元管理や他システムとの連携に関する問題が山積みになっています。例えば、ユーザIDやグループといったデータの登録・管理作業に膨大な時間がかかってしまったり、Active Directory に蓄積されたユーザの情報やセキュリティログのデータをうまく活用することができていなかったりと、様々な課題に管理者は頭を抱えています。
このように、ユーザIDやアクセス制御を十分に管理できていない状態が続くと、「ファイルサーバ」等の他システムから機密情報が漏えいしてしまうといった、重大な事故すら発生してしまう可能性もあるのです。そこで今回は、Active Directory を効率的に運用管理し、ファイルサーバをセキュアに保つための5つのポイントをご紹介します。
ポイント1: Active Directory での管理作業を自動化する
Active Directory におけるユーザIDやグループIDの管理は、管理するユーザ数やデバイス数が増えれば増えるほど、GUI(Graphical User Interface)による手動設定に膨大な時間がかかります。また、設定手法が属人化したり、担当者の異動や退職により引き継ぎが十分に行われなかったりすると、本来は削除すべき退職者のユーザIDが残されてしまうような事態が発生する可能性もあります。このような事態を避け、Active Directory で管理されているIDと現状のギャップがない状態を保つためには、IDの登録・削除作業を極力自動化し、月末や月初等、定期的にバッチ処理できるようにしておくことが理想です。Active Directory の自動化にはPowerShellやコマンドの利用がおすすめです。
ポイント2: Active Directory のOUをシンプルに設定し、グループポリシーを最適化する
Active Directory では、OU(Organizational Unit)と呼ばれる組織の単位でグループポリシーを適用します。グループポリシーを利用すれば、ユーザのPCやIDの状態を企業のルールに即した、セキュアな状態に保つことができます。適切なルールを迅速に配布するためには、自社に最適なOUを構成し、それぞれのOUに対し最適なグループポリシーを設定することが重要です。また、OUだけでの制御では分類が難しい場合は、セキュリティフィルターやWMIフィルターといった機能も併せて利用することで、より柔軟な管理が可能です。
ポイント3: ユーザの利用状況やデバイスの管理状態を可視化する
Active Directory 情報は複数のツールに分散されていますが、これらの中から主要な情報を整理してドキュメント化しておくことで、運用の引継ぎや外部ベンダーへの作業依頼がスムーズになります。また、Active Directory のオブジェクトやログオンログを分析することで、特定の条件を満たすデバイスを抽出したり、いつ、どのユーザがPCにログオンしたのかといった情報を出力したりすることできます。例えば、ウイルス感染が疑われるPCが発見された場合、Active Directory 内に保存されたデータを活用することで、そのPCにログオンしていたユーザや所属部署などを、時間をさかのぼって確認できますので、感染日時や感染経路の調査に役立てることができるのです。
ポイント4: Active Directory でファイルサーバへのアクセスを制御する
情報漏えいや不正アクセスを防ぐためには、1人ひとりのユーザに対し、不要なフォルダへのアクセスは禁止し、必要なフォルダにのみアクセスを許可する、という設定が必要です。
Active Directory がない場合、フォルダごとにそれぞれのアクセス権の設定が必要でした。しかし、Active Directory を活用すると、Active Directory で管理されているグループの単位で、アクセス制御を設定することができます。こうした設定を行うことで、異動や退職などにより、ユーザの所属情報が更新された場合であっても、Active Directory 内のユーザ情報さえアップデートされていれば、ファイルサーバへ設定変更を実施しなくても、アクセスが許されていないフォルダへのアクセスはブロックされるようになります。
また、ファイルサーバへのアクセス認証は Active Directory によって行われ、ユーザ本人によるパスワードの更新も可能となります。
ポイント5: ファイルサーバ管理の肝は、フォルダ系列別運用ルールの明確化
近年企業内のデータ容量は加速度的に増加の一途をたどり、ファイルサーバのディスクサイズも大容量化が急速に進んでいます。しかし、そうした大容量化したファイルサーバを無造作に運用していくと、バックアップやファイル検索、組織変更時等のアクセス権調整等が制御不能となり、運用が難しくなってしまいます。このように、ファイルサーバというのは様々な利用方法が可能なので、運用ルールの統一が難しく、複雑化した運用方法に起因した問題が発生する場合も多いという現状があります。
そこで、ファイルサーバ上に用途別のトップフォルダを複数作成し、そのトップフォルダごとに異なる運用ルールを割り当てることで、制御の自動化や急膨張の抑制、緊急時のスムーズなリストアが可能になります。
まとめ
Active Directory の運用管理にかかる時間と稼働を最小化し、効果的かつ効率的に運用管理するためには、「管理作業の自動化」、「グループポリシーの最適化」、「管理状態の可視化」 を実施することが必要です。そして、Active Directory を上手に活用して、ファイルサーバやその他のITシステムのセキュリティを向上させましょう。
Active Directory やファイルサーバの具体的な運用手法については、 こちらの資料 に記載されていますので、ぜひダウンロードしてご一読ください。
