ナビゲータのEVEです。
風邪をひいたようです。昨日、夜勉を始めたのですが、異様に眠い・・・。
私の場合、異様に眠いという症状の場合、2つパターンがあって、1つ目が、寝不足。2つ目が、頭痛・・・。
今回は、風邪による頭痛のようです。まっ、当然この3週間近い間、5時間弱の睡眠で、かつ、この間寝れないという日があったので、当然寝不足ということもあるのですが、寝不足の場合我慢できるのですが、風邪の場合どうしても我慢できない・・・。
っということで、昨日、10:30分ぐらいに夜勉を宣言してから、1:00に寝てしまいました。いつもなら寝ると宣言したのですが、それも忘れてしまう症状でした。
そのおかげで、本日は、7時間以上の睡眠ができ、元気で活動中です。やはり、睡眠って大事ですね・・・。
明日、スケジュールを報告するのですが、経済学・経営政策以外のスケジュールは回復しました。だから、来週もこの状況を続けるという判断もできるのですが、これ以上開発を伸ばすと、年始に予定していたスケジュールが完全にくるってしまうので、来週から本来のスケジュールに戻します。経済学・経営政策は、毎日少しずつスケジュールを回復するという体制にしたいと思います。
っという、現状ですが、本日は、土曜日で、セキュリティの日です。では、先々週の続きから話を進めましょう。
[先々週までは、]
先々週までは、ウイルスの権限昇格を防ぐ方法を以下のように列記し、「ドメイン管理者は日常利用しない」まで話をしました。本日は、先々週の続きで、「ログオンできる場所を制限する(Logon Restrictions)」から話を進めましょう。
- ①権限設計(Privilege Design)で求められること
- 管理者権限を分離する(Tierモデル)
- ローカル管理者パスワードを端末ごとにバラバラにする(LAPS)
- サービスアカウントの権限を最小化する
- ドメイン管理者は日常利用しない
- ログオンできる場所を制限する(Logon Restrictions)
- → 1つの端末を取られても、ドメイン管理者権限に到達できない構造を作る。
- ②ネットワーク構造(Network Segmentation)で求められること
- ネットワークを分割する(VLAN / セグメント)
- 管理ネットワークを分離する
- バックアップネットワークを分離する
- サーバー間通信を“許可制(Allowlist)”にする
- SMB/RDPなど横展開に使われるプロトコルを制限する
- → 攻撃者が侵入しても、横展開できず、重要サーバーに到達できない構造を作る。
[ログオンできる場所を制限する(Logon Restrictions)]
このような例は、情報処理安全確保支援士での試験でもたびたび出題されています。
ログインできる端末を特定することにより、セキュリティを集中することができます。通常、ドメイン管理者は、少人数で運用されます。その実情を踏まえれば、すべての端末で管理者権限を利用できる必要はなく、それは数台、できれば1台なら、リスクを減らすことができるのと同時に、コストを減らすことも可能になります。具体的に、どんなメリットがあるのか、Copilotに聞いてみましょう。
- Tier モデルの中核であり、権限昇格防御として最も効果が高い。
- 上位権限アカウントが下位端末にログオンできないため、攻撃者が 1 台奪っても上位権限の資格情報が存在しない。
- Pass-the-Hash / Pass-the-Ticket / Token Theft など、資格情報窃取による権限昇格が構造的に不可能になる。
- 侵入されても、ドメイン管理者権限に到達できない“安全な構造”を作れる。
- Credential Guard や EDR では防げない攻撃も、そもそも資格情報が存在しないため防げる。
Copilotでは、この端末を1台にするという構想には、Tierモデルが念頭にあるようです。Tierは、以前以下の様に解説をしています。
- Tier 0:最上位(Domain Control Layer)
- ドメインコントローラ(DC)
- PKI(証明書基盤)
- Azure AD Connect
- 特権アカウント管理(PAM)
- ドメイン管理者アカウント
- Tier 1:サーバー管理層(Server Control Layer)
- 業務アプリケーションサーバー
- ファイルサーバー
- SQLサーバー
- 仮想化基盤(Hyper-V / VMware)
- Tier 2:クライアント管理層(User Control Layer)
- 社員PC
- ヘルプデスク作業
- ソフト配布
- パッチ適用
管理端末1台に、Tier0の設定をすることによりセキュリティを高めるというモデルを推奨しています。その効果として、以上の事をCopilotは、列記しています。
管理端末を1台にし、同管理端末のセグメントを分けるなどするだけでも、セキュリティレベルはかなり上がりますが、モデルを作りその、モデルに沿った設定をすることにより、より高いレベルのセキュリティが実現することができます。
[あとがき]
先日、「システムエンジニアが目指す中小企業診断士」の中で、オオカミ少年の話をしましたが、その時の記者の心理について、間違った分析をしていたようです。
トランプ大統領の訪中は、一度延期しています。その理由は、中東における戦争でした。その訪中が、5月になったから、それまでに戦争が終わるのですかという質問をしているようです。しかも、その5月までに戦争が終わらないと言うことが想像ができているのに・・・。まっ、一種の嫌みですかね?
同記述ですが、オオカミ少年の記述とは、矛盾がありますが、そのままにしておくのでご容赦下さい。
では、また!
コメント
コメントを投稿