none
Active Directoryのセキュリティ要件について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    海外の保健関係の組織で、事務所のネットワーク管理を任されています。コンピューターの台数は約50台、スタッフは約70名です。最近までは、Western Digital 社のMy Book Live というネットワーク・ストレージ・デバイスをファイル・サーバーとして使っていました。これはファームウェアにLinux をつんでおり、フォルダー名やユーザー名を登録して、ユーザーごとにアクセス権が設定できます。Windows Server のユーザー管理の簡易版みたいなものです。スタッフの人数が少ないうちは便利なものでしたが、登録したユーザー名が30人を超したころから動作が鈍くなり、設定のチェックボックスを一つつけたりはずしたりするたびに10分以上も待たなくてはならなくなりました。事務所の運営に支障をきたしかねないので、スタッフやリーダーと話し合い、このたび思い切ってWindows Server 2012 R2 Datacenter を導入しましたが、リオさんと同じ問題にぶつかり、スタッフたちから苦情がでました。解決法を探してあちこちのぞいているうちにここへたどり着いた次第です。最後の書き込みが2009年ですので、ご返事がいただけるかわかりませんが。

    50台のコンピュータのうち、20台はデスクトップでオフィスに据え置き、残り30台がラップトップで、スタッフが個人で管理して持ち歩いています。このラップトップにスタッフ個人の情報も入っているのですが、アクティブディレクトリに参加した結果、他人でもこのラップトップにログインできてしまいます。

    このページを拝見してわかったのは、アクティブディレクトリというのはそういうものだから、それでまずければ運用の仕方を変えろということだろうと思います。しかしそれには多大な労力と時間を費やす必要があります。何とかならないかと色々試した末、何とかなったような気がします。方法は簡単で、個人情報の入ったラップトップをアクティブディレクトリか外す、つまり、アクティブディレクトリ導入前に戻すというだけです。アクティブディレクトリに参加していないコンピューターから、ファイルサーバーにアクセスすると、ユーザー名とパスワードを要求されます。そこにアクティブディレクトリで登録したユーザー名とパスワードを入力すると、問題なくフォルダーが開きます。ちょうどMy Book Liveを使っていた時と同じ動作になります。各ユーザーごとにアクセス権を設定したフォルダーにアクセスでき、しかも個人のラップトップに他人がログインすることができない状態です。これで問題は解決したようなものですが、一つ心配なのは、これはたぶん、本来のアクティブディレクトリの運用の仕方ではないのだろうということです。これによって生じる問題やリスク等、ご存知の方がいらっしゃればご教示いただけませんでしょうか。

    2016年12月4日 8:04
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、ご質問の内容に関しては自由に投稿できますので、特別なお気遣いは不要ですよ。ですが、できうれば「過去ログを参照できるかたちで(URL等を示すのがわかりやすいです)新規スレッドで投稿」いただくのが望ましいと思います。

    申し訳ませんが、可能な範囲で分割(ご質問部分を新スレッドに変更)させていただくことがありますので、ご了解ください。

    答えの方ですが、「ご心配内容の要件」に応じてみるべきところが変わるという点と、セキュリティに関して見えないところまですべてフォローする「銀の弾」はない、というところはご理解いただく必要があります。的確な対応には、的確な対応範囲を提示いただくのが先かと思います。

    結論を申し上げると、Active Directoryにしたからといって「外部からの侵入を招いてデータが盗まれるようなこと」はなくならないし、Active Directory環境にワークグループのPCを接続する、という運用もよくある普通の話しです。

    システムを整えてセキュリティを強化する以前に、以下のような内容を強化(確認)したほうが、おそらく効果があると思います。

    • 「プライベートを確保する」必要がある情報がどの程度なのか、きちんと考えてください。いわゆるお客様の「個人情報」レベルの内容が、特定のノートPCに入っている、という状況は、簡単に持ち出されてしまうので、それ自体がおそらく誤った運用です。逆にインターネットからダウンロードした業務上の参考資料であれば、(誰でも手に入るので)保護の必要はない、といえるのかもしれません。
    • 基本的なセキュリティ要件のルールを守らせてください。たとえば「自分のパスワードを他人(業務上の同僚上司にも)教えあわない」「ノートPCは勝手に外部に持ち出さない」「私用のPCは勝手に会社ネットワークにつながない」といった内容です。Acitve DirectoryにPCを参加させることでこれらを守らせる「手助け(ルールを破っても情報が保護される)」はできますが、本質的な保護はできません。ルールは人間が破るからです。

    システムが不十分であっても、運用ルールをきちんとすることで、セキュリティ要件は格段に向上します。こういった基本動作を確認(整備)されたうえで、システムのセキュリティ要件を考慮された方が、質問者さんとしても納得できるのではないでしょうか?

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年12月5日 1:56
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさんのコメントで言い尽くされているようにも思いますが、私からも一つ。

    ご質問ででてきているような懸念やそれへの対応は、例えば Active Directory といった狭義の技術的要件(テクノロジー)より先に、狭義の技術的要件に依存しないセキュリティ マネジメント的な要件(もっとその先には経営マネジメント的な要件)があり、それが明確になることではじめて(狭義の)技術的要件でのベスト プラクティスが存在しうるものでしょう。

    その意味で、セキュリティ マネジメントとして必要な要件をしっかり洗い出すことが最初に来るべきであり、技術面での細かな動作に拘泥してリソースを費やすのは本末転倒になってしまいます。

    hebikuzure

    2016年12月5日 6:39
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    基本的には チャブーン さんの書かれている

    1. 各ユーザが「ドキュメント」フォルダ内にファイルを置くようにする
      「ドキュメント」でなくとも、自分のユーザー プロファイル フォルダー内であれば、他のユーザ(非管理者)にアクセスされることはありません。
    2. EFS(暗号化ファイルシステム) を使う

    という方法が現実的なソリューションになるでしょう。

    またファイル サーバーへのアクセスに関しては AD 参加マシンに AD ユーザーでログオンすれば SSO されているだけで、他のユーザーの(ファイル サーバー上の)データが見えるという事は無いはずですが、何が問題なのでしょうか?

    hebikuzure

    2016年12月4日 9:10
    |
  • Question
    サインインして投票
    0
    サインインして投票

    早速ご返事をいただき、ありがとうございます。あまりに早い反応ですこしびっくりしております。

    サーバーを導入したのは初めてのことで、周りに経験者もなく、手探り状態です。そのため、詳しい方から見ると全く見当はずれの、どうでもいい質問をしている可能性もあります。もしそうでしたら、平にご容赦願います。

    プライバシーの確保が必要な複数のラップトップは、ドメインに参加していないので、ほかの人がログインすることができないため、

    1. 各ユーザが「ドキュメント」フォルダ内にファイルを置くようにする 「ドキュメント」でなくとも、自分のユーザー プロファイル フォルダー内であれば、他のユーザ(非管理者)にアクセスされることはありません。
    2. EFS(暗号化ファイルシステム) を使う

    といった解決法は必要なくなりました。わたくし共のスタッフは教育レベルが低く、この程度の解決法でも徹底するのは容易ではありません。

    現在、ドメインコントローラーが存在するローカルネットワークの中に、ドメインに参加しているコンピューター(主にデスクトップ)と、ドメインに参加していない個人のラップトップが混在しております。どちらの場合も、“他のユーザーの(ファイル サーバー上の)データが見えるという事”は無く、問題は今のところ発生しておりません。

     

    疑問に思ったのは、現在のこの状態は、本来のアクティブディレクトリの運用の仕方からはずれてはいないか、もしそうならば、私の知らないところで、セキュリティー上の問題(具体的には、外部からの侵入を招いてデータが盗まれるようなこと)をひきおこしてはいないか、ということです。

    まだまだ勉強中の身です。くだらない質問とお思いでしたら、どうぞばっさり切り捨ててください。

    2016年12月4日 10:27
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、ご質問の内容に関しては自由に投稿できますので、特別なお気遣いは不要ですよ。ですが、できうれば「過去ログを参照できるかたちで(URL等を示すのがわかりやすいです)新規スレッドで投稿」いただくのが望ましいと思います。

    申し訳ませんが、可能な範囲で分割(ご質問部分を新スレッドに変更)させていただくことがありますので、ご了解ください。

    答えの方ですが、「ご心配内容の要件」に応じてみるべきところが変わるという点と、セキュリティに関して見えないところまですべてフォローする「銀の弾」はない、というところはご理解いただく必要があります。的確な対応には、的確な対応範囲を提示いただくのが先かと思います。

    結論を申し上げると、Active Directoryにしたからといって「外部からの侵入を招いてデータが盗まれるようなこと」はなくならないし、Active Directory環境にワークグループのPCを接続する、という運用もよくある普通の話しです。

    システムを整えてセキュリティを強化する以前に、以下のような内容を強化(確認)したほうが、おそらく効果があると思います。

    • 「プライベートを確保する」必要がある情報がどの程度なのか、きちんと考えてください。いわゆるお客様の「個人情報」レベルの内容が、特定のノートPCに入っている、という状況は、簡単に持ち出されてしまうので、それ自体がおそらく誤った運用です。逆にインターネットからダウンロードした業務上の参考資料であれば、(誰でも手に入るので)保護の必要はない、といえるのかもしれません。
    • 基本的なセキュリティ要件のルールを守らせてください。たとえば「自分のパスワードを他人(業務上の同僚上司にも)教えあわない」「ノートPCは勝手に外部に持ち出さない」「私用のPCは勝手に会社ネットワークにつながない」といった内容です。Acitve DirectoryにPCを参加させることでこれらを守らせる「手助け(ルールを破っても情報が保護される)」はできますが、本質的な保護はできません。ルールは人間が破るからです。

    システムが不十分であっても、運用ルールをきちんとすることで、セキュリティ要件は格段に向上します。こういった基本動作を確認(整備)されたうえで、システムのセキュリティ要件を考慮された方が、質問者さんとしても納得できるのではないでしょうか?

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年12月5日 1:56
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答をいただきありがとうございます。今のわたくし共の状況が特別なものではないと知って、とりあえず安心しております。そのほか、いろいろご助言をいただき有難うございます。

    次からは、仰せのとおり新しくスレッドを立てて質問させていただきます。

    有難うございました。


    2016年12月5日 6:29
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさんのコメントで言い尽くされているようにも思いますが、私からも一つ。

    ご質問ででてきているような懸念やそれへの対応は、例えば Active Directory といった狭義の技術的要件(テクノロジー)より先に、狭義の技術的要件に依存しないセキュリティ マネジメント的な要件(もっとその先には経営マネジメント的な要件)があり、それが明確になることではじめて(狭義の)技術的要件でのベスト プラクティスが存在しうるものでしょう。

    その意味で、セキュリティ マネジメントとして必要な要件をしっかり洗い出すことが最初に来るべきであり、技術面での細かな動作に拘泥してリソースを費やすのは本末転倒になってしまいます。

    hebikuzure

    2016年12月5日 6:39
    |
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラムオペレーターの栗下 望です。
    こんにちは、mumuextremeさん。

    このスレッドは後ほどmumuextremeさんの返信を維持したまま分割して新しいスレッドとして独立させていただきたいと思いますので、新規に投稿はお控えいただいてもよろしいでしょうか?

    その際にこちらの方で新しいスレッドを一旦設定いたしますので、mumuextremeさんの方で任意のタイトルにご変更ください。

    もしタイトルの変更が不要であればそのままご利用ください。

    また、質問自体が解決した場合は回答としてマークを参考になった返信におつけいただきますようお願いいたします。

    よろしくお願いいたします。

    MSDN/TechNet Community Support 栗下 望

    2016年12月5日 6:42
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラムオペレーターの栗下 望です。

    本スレッドは以下に記載します過去のスレッドから分割し独立したスレッドです。

    ドメイン管理のセキュリティについて
    https://social.technet.microsoft.com/Forums/ja-JP/b6cabcd2-a408-4262-bd58-03d85230d339?forum=activedirectoryja

    どうぞよろしくお願いいたします。

    MSDN/TechNet Community Support 栗下 望

    2016年12月6日 2:35
    |
    モデレータ