Active Directory入門・基礎解説
ADとは何か
Active Directory(アクティブディレクトリ、以下AD)は、Microsoftが提供するディレクトリサービスです。Windows Server 2000から導入され、20年以上にわたって企業のIT基盤を支えてきました。
ADは、組織のネットワーク上に存在するユーザーアカウント、コンピューター、プリンター、共有フォルダーなどのリソースを一元管理するためのシステムです。Windows環境においては、認証・認可の中核を担う極めて重要な役割を果たしています。
主要機能
ADの主要な機能は以下の通りです:
1. ユーザー・グループ管理
- ユーザーアカウントの集中管理
- グループによる権限管理
- 組織単位(OU)による階層的な管理
2. 認証・認可
- Kerberosプロトコルによるシングルサインオン
- LDAP(Lightweight Directory Access Protocol)による情報アクセス
- ドメイン参加PCへの統合認証
3. グループポリシー(Group Policy)
- クライアントPCの設定を一元管理
- セキュリティポリシーの適用
- ソフトウェアの配布・インストール
4. DNS(Domain Name System)統合
- ドメイン名の名前解決
- ADと連携した名前管理
5. レプリケーション
- 複数のドメインコントローラー間でのデータ同期
- 可用性の向上
- 負荷分散
導入メリット
ADを導入することで、企業は以下のメリットを享受できます:
運用効率の向上
- ユーザーアカウントの一元管理により、IT管理者の負担を軽減
- 従業員の入社・退社時のアカウント管理が効率化
- グループポリシーによる設定の自動適用
セキュリティ強化
- 集中管理による一貫したセキュリティポリシーの適用
- 細かいアクセス権限の設定
- 監査ログによる追跡可能性
ユーザー利便性
- シングルサインオンによる利便性向上
- 一度のログインで複数のリソースへアクセス可能
- パスワード管理の簡素化
コスト削減
- 管理作業の効率化による人的コストの削減
- 標準化による運用コストの低減
- トラブルシューティングの迅速化
AD移行・クラウド化
オンプレミスADの課題
長年企業のIT基盤を支えてきたオンプレミスADですが、働き方の多様化やクラウドサービスの普及に伴い、いくつかの課題が顕在化しています:
1. リモートワークへの対応困難
- VPN経由でのアクセスが必要
- 社外からのアクセスに制約
- パフォーマンスの低下
2. 運用負荷の増大
- サーバーの保守・メンテナンス
- セキュリティパッチの適用
- ハードウェアの更新コスト
3. クラウドサービスとの統合課題
- Microsoft 365など、クラウドサービスとの別個の認証管理
- ハイブリッド環境の複雑化
- ユーザー管理の二重化
4. スケーラビリティの制限
- 物理的なサーバー増設が必要
- 拡張に時間とコストがかかる
- グローバル展開の困難さ
Microsoft Entra ID(旧Azure AD)との違い
2023年10月、MicrosoftはAzure Active Directory(Azure AD)を「Microsoft Entra ID」に改名しました。機能やサービス内容に変更はなく、名称のみの変更です。
Microsoft Entra IDは、クラウドベースのID・アクセス管理サービスであり、オンプレミスのADとは以下の点で異なります:
| 項目 | オンプレミスAD | Microsoft Entra ID |
|---|---|---|
| 提供形態 | オンプレミス(自社サーバー) | クラウド(SaaS) |
| 管理対象 | 社内ネットワーク内のリソース | クラウドサービス、アプリケーション |
| 認証プロトコル | Kerberos、LDAP | SAML、OAuth、OpenID Connect |
| デバイス管理 | グループポリシー | Microsoft Intune |
| 運用負荷 | 高い(サーバー保守が必要) | 低い(Microsoftが管理) |
| 拡張性 | ハードウェア増設が必要 | 柔軟にスケール可能 |
| リモートアクセス | VPN経由が基本 | インターネット経由で直接アクセス |
| 料金体系 | ライセンス + インフラコスト | サブスクリプション型 |
用途の違い:
- オンプレミスAD:社内ネットワーク内のPC、サーバー、プリンターなどの管理に適している
- Microsoft Entra ID:Microsoft 365、Azure、SaaSアプリケーションなど、クラウドサービスの認証・認可に適している
ハイブリッド環境の選択肢
多くの企業では、オンプレミスADを完全に廃止するのではなく、Microsoft Entra IDと併用するハイブリッド環境を構築しています。
ハイブリッド構成のメリット:
- 既存のオンプレミス環境を活かしながら、クラウドのメリットを享受
- 段階的な移行が可能
- オンプレミスとクラウドの両方のリソースへシームレスにアクセス
主な実装方法:
1. Microsoft Entra Connect(旧Azure AD Connect)
- オンプレミスADとMicrosoft Entra IDを同期
- ユーザー情報の一元管理
- パスワード同期またはパススルー認証
2. Microsoft Entra Connect Cloud Sync
- 軽量なエージェントベースの同期
- 複数のオンプレミスADフォレストに対応
- より柔軟な構成が可能
3. ADFSによるフェデレーション
- Active Directory フェデレーションサービス(ADFS)を利用
- オンプレミスで認証を実施
- より高度なセキュリティ要件に対応
移行の考慮事項:
- 既存のアプリケーションとの互換性確認
- ユーザートレーニングの必要性
- 段階的な移行計画の策定
- セキュリティ要件の見直し
ADのセキュリティ対策
主要な攻撃手法
ADは企業の認証基盤として中核を担うため、攻撃者にとって非常に魅力的なターゲットです。ADが侵害されると、攻撃者はネットワーク全体を制御できる可能性があります。
1. 資格情報の窃取
攻撃者は様々な手法でユーザーの認証情報を盗み出そうとします:
- Pass-the-Hash攻撃:パスワードのハッシュ値を盗み出し、それを使って認証を突破
- Pass-the-Ticket攻撃:Kerberosチケットを窃取し、他のシステムへアクセス
- Golden Ticket攻撃:KRBTGTアカウントのパスワードハッシュを取得し、任意のKerberosチケットを生成
- DCSync攻撃:ドメインコントローラーを装い、全ユーザーのパスワードハッシュを複製
2. 脆弱性の悪用
ADやWindows Serverの脆弱性を悪用した攻撃も深刻です:
- Zerologon(CVE-2020-1472):ADと通信可能な任意のマシンから、ドメイン管理者権限を取得できる脆弱性
- CVE-2025-29810:権限昇格を可能にする脆弱性(2025年4月公開)
3. 設定ミスの悪用
適切に設定されていないADは、攻撃者に悪用される可能性があります:
- 過剰な権限付与(全ユーザーにローカル管理者権限を付与など)
- 脆弱なパスワードポリシー
- 危険なKerberos委任設定
- 不要な古いアカウントの放置
被害事例:
2024年7月、JAXA(宇宙航空研究開発機構)は2023年に発生したセキュリティインシデントを公表しました。攻撃者はActive Directoryを侵害し、長期間にわたってアクセスを続けていたことが明らかになりました。
2024年には、大手印刷業者がランサムウェア攻撃を受け、VPN機器の脆弱性を悪用した不正アクセスが攻撃の起点となりました。攻撃者はVPN経由でネットワークに侵入し、機密データを窃取した後、ランサムウェアを展開してサーバーやPCを暗号化しました。
基本的なセキュリティ対策
ADを保護するためには、以下の基本的な対策を確実に実施することが重要です:
1. セキュリティパッチの適用
- すべてのドメインコントローラーに迅速にセキュリティパッチを適用
- 定期的な更新スケジュールの確立
- 適用が難しい場合は、IPS(侵入防御システム)による仮想パッチの検討
2. 特権の最小化
- 管理者権限の付与を最小限に
- 日常業務には一般ユーザーアカウントを使用
- 管理者アカウントは管理作業時のみ使用
- ローカル管理者権限を持つユーザーを最小化
3. 多要素認証(MFA)の実装
- すべての管理者アカウントに多要素認証を必須化
- 重要なシステムへのアクセスにMFAを要求
- フィッシング耐性のある認証方式(FIDO2/WebAuthn、スマートカード)の採用
4. KRBTGTアカウントの定期更新
- 少なくとも年に1回、KRBTGTアカウントのパスワードを更新
- パスワードを2回連続で更新することでGolden Ticketを無効化
5. 強力なパスワードポリシー
- 十分な複雑性と長さを要求
- アカウントロックアウトポリシーの設定
- パスワードの定期的な変更(ただし、頻繁すぎる変更は避ける)
6. ドメインコントローラーのログ監視
- AD特有の攻撃の兆候を監視
- 異常なログオン試行の検知
- 特権アカウントの使用状況の追跡
- SIEM(Security Information and Event Management)の活用
7. AD管理専用端末の設置
- AD管理は専用端末から実施
- 管理端末のネットワークアクセスを限定
- インターネット閲覧を禁止
- 多層防御の実装
8. 適切なアカウント管理
- 不要なアカウントの定期的な棚卸しと削除
- 退職者アカウントの速やかな無効化
- サービスアカウントの適切な管理
- アカウント命名規則の統一
ゼロトラストとの関係
近年、「ゼロトラスト」というセキュリティモデルが注目されています。ゼロトラストとは、「決して信頼せず、常に検証する(Never Trust, Always Verify)」という原則に基づくセキュリティアプローチです。
従来の境界型セキュリティの課題:
- 社内ネットワークは「信頼できる」という前提
- 一度内部に侵入されると、横展開(ラテラルムーブメント)が容易
- リモートワークやクラウド利用の増加で境界が曖昧に
ゼロトラスト時代のAD管理:
ゼロトラストの考え方では、ADの重要性はさらに高まります。なぜなら、すべてのアクセスを検証するためには、確実な認証・認可の仕組みが不可欠だからです。
ゼロトラストを実現するためのAD関連施策:
- 条件付きアクセスの実装
- アクセス元の場所、デバイスの状態、ユーザーの役割に基づいてアクセス制御
- Microsoft Entra IDの条件付きアクセス機能を活用
- 特権アクセス管理(PAM:Privileged Access Management)
- 重要なリソースへの特権アクセスを監視・制御
- Just-In-Time(JIT)アクセスの実装
- 特権アカウントの使用状況の可視化
- 継続的な検証
- ログイン後も継続的にリスクを評価
- 異常な振る舞いを検知してアクセスをブロック
- Microsoft Entra ID Protectionの活用
- マイクロセグメンテーション
- ネットワークを細かく分割
- セグメント間の移動を厳格に制御
- ADドメインの適切な設計
Microsoft Entra IDによるゼロトラスト実現:
Microsoft Entra IDは、ゼロトラストセキュリティモデルを実現するための機能を豊富に備えています:
- ID Protection:リスクベースの条件付きアクセス
- 条件付きアクセス:きめ細かいアクセス制御
- Privileged Identity Management(PIM):特権アカウントの管理
- アクセスレビュー:定期的な権限の見直し
ゼロトラストへの移行は一朝一夕では実現できませんが、ADのセキュリティ強化と合わせて段階的に進めることで、より強固なセキュリティ体制を構築できます。
まとめ
Active Directoryは、20年以上にわたって企業のIT基盤を支えてきた重要なシステムです。ユーザー・グループ管理、認証・認可、グループポリシーなどの機能により、企業のIT運用を効率化し、セキュリティを強化してきました。
しかし、リモートワークの普及やクラウドサービスの台頭により、オンプレミスADだけでは対応が困難な課題も顕在化しています。Microsoft Entra ID(旧Azure AD)は、クラウド時代のID・アクセス管理を実現するソリューションとして、多くの企業で導入が進んでいます。
一方で、ADは攻撃者にとって魅力的なターゲットでもあります。資格情報の窃取、脆弱性の悪用、設定ミスの悪用など、様々な攻撃手法が存在します。セキュリティパッチの適用、特権の最小化、多要素認証の実装など、基本的な対策を確実に実施することが重要です。
今後の方向性:
- ハイブリッド環境の構築
- オンプレミスADとMicrosoft Entra IDの併用
- 既存資産を活かしながら、段階的にクラウド化
- セキュリティの継続的な強化
- 定期的なセキュリティ監査
- 最新の脅威情報の収集
- インシデント対応計画の策定
- ゼロトラストへの移行
- 境界型セキュリティからの脱却
- すべてのアクセスを検証する仕組みの構築
- Microsoft Entra IDの高度な機能の活用
ADは今後も企業のID管理の中核を担い続けるでしょう。クラウド化の波に対応しつつ、セキュリティを強化することで、安全で効率的なIT環境を実現することが求められています。
コメント