ID保護の強化に役立つクラウド向け／オンプレミス向けソリューション：企業ユーザーに贈るWindows 10への乗り換え案内（9）（2/2 ページ）

[山市良，テクニカルライター]

IDの不正使用と侵入検知　〜オンプレミス〜

Microsoft Advanced Threat Analytics（ATA）

　「Microsoft Advanced Threat Analytics（ATA）」は、Azure AD IPのオンプレミス版ともいえる侵入検知ソリューションです。

• Microsoft Advanced Threat Analytics（マイクロソフト クラウド プラットフォーム）

　ATAは、オンプレミスのActive Directoryにおけるドメインコントローラーのトラフィックを継続的に監視し、一定期間の学習と組み込みの脅威検出アルゴリズムに基づいて、IDの異常なアクティビティーや既知の攻撃手法の実行をほぼリアルタイムに検出し、推奨される対応策とともにレポートします（画面4）。

　ATAでは、Pass-the-Ticket、Pass-the-Hash、Overpass-the-Hash、偽造PAC（特権属性証明）、Kerberosゴールデンチケット、スケルトンキーマルウェア、アカウント列挙攻撃による偵察、ブルートフォース、リモート実行といった、オンプレミスのActive Directory環境で用いられる高度な攻撃手法を検出できます。また、最新のATA バージョン1.8は、WannaCryマルウェアなど、さらに多くの攻撃手法を検出できるようになっています。

画面4　ATAは、オンプレミスのActive Directoryドメイン環境向けの侵入検知ソリューション。最新バージョンはプロトコル分析により、WannaCryマルウェアも検出可能

特権アクセス管理　〜クラウド〜

Azure Active Directory Privileged Identity Management（Azure AD PIM）

　「Azure Active Directory Privileged Identity Management（Azure AD PIM）」は、Azure ADにおけるIDへの特権ロールの割り当てに起因するセキュリティリスクを軽減する、特権アクセス管理サービスです。

• Azure AD Privileged Identity Managementとは（Microsoft Docs）

　Azure ADの管理者は、現在の特権ロールの割り当て状況を評価して、必要以上の特権ロールの割り当てを削除したり、特権ロールを非アクティブ化（一時化）したりできます。非アクティブ化された特権ロールを持つユーザーは、特権ロールが必要になったときに、セルフサービスでアクティブ化を申請し、時限的（既定は1時間）に特権ロールを取得して、管理操作を行うことができます（画面5）。これにより、特権ロールを持つIDが侵害されたときの影響範囲は、常時特権ロールが利用できる状況に比べて大幅に狭められます。

画面5　Azure AD PIMを使用すると、Azure ADのIDの特権ロールを非アクティブ化し、セルフサービスで時限的にアクティブ化できるようにする

特権アクセス管理　〜オンプレミス〜

Just Enough Administration（JEA）

　「Just Enough Administration（JEA）」は、Windows PowerShell 5.0およびWindows Management Framework（WMF）5.0から利用可能になった、PowerShell Remotingのセッションに適用可能な特権アクセス管理機能です。Windows 10およびWindows Server 2016は、Windows PowerShell 5.1およびWMF 5.1を標準搭載しているので、JEAを標準で利用可能です。

• Just Enough Administration（JEA）（Microsoft Docs）

　JEAを使用すると、管理者（Administratorsグループのメンバー）ではない一般ユーザーのIDに対し、通常は許可されていないPowerShell Remotingによるリモートセッションへの接続を許可できます。また、リモートセッション内で使用できる管理操作（Windows PowerShellの管理操作）をロールとして詳細に許可することができます。例えば、特定の一般ユーザーに対して、Windows ServerのDNS（Domain Name System）サーバの管理操作だけを許可するといったことが可能になります。

Microsoft Identity Manager（MIM）のPrivileged Access Management（PAM）

　Azure AD PIMと同様の特権アクセス管理機能は、オンプレミスのActive Directory環境では「Microsoft Identity Manager（MIM）2016」の機能の一部である「Privileged Access Management（PAM）」が提供します。

• Active Directory Domain ServicesのPrivileged Access Management（Microsoft Docs）

　オンプレミスのActive Directory環境にMIM 2016のPAMを導入すると、グループベースで割り当てられた特権やリソースへのアクセス許可を、ユーザーのIDから削除し、セルフサービスによるアクティブ化を通じて時限的に許可することが可能です。

　アクティブ化操作は、Windows PowerShellのコマンドレット（New-PAMRoleforRequest、New-PAMRequestなど、MIM 2016のクライアントコンポーネントが提供するコマンドレット）で行うのが基本ですが、Azure AD PIMのような（ただしシンプルな）セルフサービスポータルによるアクティブ化に対応したサンプルが提供されています（画面6）。

画面6　MIM 2016のPAMを利用した特権のアクティブ化。Windows PowerShellによる操作が基本だが、ポータルによるアクティブ化に対応したサンプルが提供されている

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。