ネットワークには多種多様なデータやファイルが様々な場所に保存されていますから、すべてのファイルの正確な名前と場所を覚えていることは不可能に近いでしょう。ファイルの正確な場所がわからないという問題は、階層構造を的確に扱うことができるコンテナを作成するディレクトリサービスを使うことで解決できます。ディレクトリサービスを利用すると、オブジェクトを、速やかに検索でき、簡単にアクセスできるようなかたちで保存できます。
ディレクトリサービスは、IT インフラストラクチャの管理においても重要な役割を果たします。ネットワークリソースはどんどん複雑化していきますが、ディレクトリサービスは、ユーザー、デバイス、アプリケーション、グループなどのデータを階層化された構造内に記録するので、どこからでもネットワークに接続されているものに関する詳細がわかります。
Active Directory とは?
Active Directory (AD) は、Microsoft が提供するディレクトリサービスのソフトウェアソリューションです。リソースを適所に格納し、1つのドメインで数百万のオブジェクトを処理できます。そのほかにも多くの機能があり、組織の ID およびアクセス管理 (Identity and Access Management、IAM) システムの重要な部分になります。
Active Directory は、ケルベロス認証とシングルサインオン (Single Sign-On、SSO) を使用します。シングルサインオンで、一度資格情報が認証されると、繰り返し資格情報を要求されることなく、許可されたリソース、ネットワーク、サービスにアクセスできます。したがって、Active Directory はすべてのユーザー情報のリポジトリとして機能します。
Active Directory の証明書サービス (Active Directory Certificate Services、AD CS) を使用すると、デジタル証明書とデジタル署名の配布と検証を行うための公開鍵インフラストラクチャ (public key infrastructure、PKI) を構築することができます。PKI で ID と公開鍵証明書がリンクされ、ユーザーとシステムが安全にデータを交換できます。証明書の所有者を識別してデータとリンクするための情報を含むのでネットワークでIDを検証でき、また、データの暗号化も可能です。
AD CSを使用すると、小規模な組織でも、何千人もの社員を抱え何千台ものコンピュータを使用している大企業でも、組織の規模に関わりなく、証明書を配布できます。
Active Directory のメリット
Active Directory には、ネットワークの管理を容易にする多くの利点があります。
- ネットワークの規模に関係なく、ユーザーの中央集中管理が可能
- 既存のエンドポイント ID を使用して、ユーザーまたは証明書を自動的に登録でき、アクセスのたびに資格情報を手動で入力する必要がない
- 役割や属性をベースにしてアクセスをコントロールするグループポリシーを設定して、どのユーザーがどの権限を持つかを詳細に調整可能
- グループポリシーに加えて、更新ポイントや短期証明書の設定など、発行する証明書のタイプも管理可能
- 各ドメインコントローラには Active Directory のコピーがあり、Active Directory に変更が加えられるとすべてのドメインコントローラで複製されるため、各ドメインコントローラの個別管理が不要
- 組織単位 (organization units、OU) を作成してオブジェクトを論理的にグループ化し、アクセスを柔軟に管理可能
Active Directory に関するネットワーク監視
Active Directory は通常、Microsoft の System Center Operations Manager (SCOM) を通じて監視されますが、サードパーティーのアプリケーションもあります。AD 監視ソフトウェアは Microsoft ライブラリにアクセスし、パフォーマンスカウンターを収集して、サービスディレクトリの状態とパフォーマンスを監視します。
AD 監視ツールは、パフォーマンスの低下や不正アクセスなどの異常な動作が検出されると、その動作にフラグを立てて警告をトリガーできます。ハッカーが侵入して特権を獲得しようとしているような場合があるので、不正アクセスの検出機能は特に重要です。悪意あるアクティビティがすぐに検出できれば、重大な被害が発生する前に何らかの対処をすることが可能になります。
このような悪意あるアクティビティは、アクティブなイベントログを監視することで検出可能です。Verizon のある調査では、データ侵害の85%が発見までに数週間かかっている一方、被害者の84%がイベントログに侵害の試みの証拠があったことを見つけています。
AD に関するネットワーク監視で、問題がある可能性があるとして警告の対象になり得る項目には以下のようなものがあります。
- グループポリシーの変更
- 特権の変更
- ディレクトリの複製
- ディレクトリサービスへのアクセス
- ロックされたユーザーまたは非アクティブ化されたユーザー
- ドメインコントローラのパフォーマンス
- ドメインコントローラ認証
- サービスディレクトリファイル (NTDS)
- システムイベント
- 資格情報の検証
AD ユーザー監査を実行して、ログイン監視やリモートデスクトップサービスセッションなどの個々のパフォーマンスと動作を確認することもできます。