不正アクセス対策の基本設計|侵入経路を理解して守れる構成を作る

インフラセキュリティ基礎

「不審なログインがありました」——深夜3時、海外IPアドレスからの管理者ログイン成功のアラートが飛んできます。気づいたときにはすでに社内システムに侵入されており、ファイルサーバーへのアクセスログが大量に残っていました。

不正アクセス対策の失敗パターンの多くは「入口だけ守って、侵入後の対策がない」構成です。

この記事では、侵入経路の理解から始めて「入口対策」「内部対策」「検知・対応」の3層で守る設計の考え方を解説します。

不正アクセスとは——攻撃者はどこから侵入するのか

不正アクセス(Unauthorized Access) 権限を持たない第三者が、システムやネットワークに無断で侵入する行為。フィッシング・パスワード攻撃・脆弱性の悪用など、さまざまな手法で行われる。不正アクセス禁止法により、正当な理由なく他人のコンピュータにアクセスする行為は違法。

攻撃者の主な侵入経路を整理します。

侵入経路 概要 典型的な手法
認証の突破 パスワードを盗む・推測する フィッシング・パスワードスプレー・クレデンシャルスタッフィング
脆弱性の悪用 未パッチのシステムを狙う VPN装置・Webアプリの既知脆弱性
内部からの侵害 正規ユーザーを踏み台にする マルウェア感染・内部不正
ソーシャルエンジニアリング 人を騙して情報を引き出す フィッシングメール・電話詐欺

この中で最も多い侵入経路は「認証の突破」です。IPAの調査でも、インシデントの原因として「パスワードの窃取・推測」が上位を占めています。

参考:IPA|情報セキュリティ10大脅威

侵入後に何が起きるか

不正アクセスは「侵入して終わり」ではありません。攻撃者は侵入後に以下のような行動を取ります。

侵入
 ↓
権限昇格(一般ユーザー→管理者権限の取得)
 ↓
横移動(他のサーバー・端末への侵害拡大)
 ↓
目的達成(情報窃取・ランサムウェア展開・バックドア設置)

「入口だけ守る」設計では、侵入後の権限昇格・横移動を止められません。侵入を前提とした多層防御が必要です。

侵入を防ぐ——認証・入口対策の設計

MFAの徹底

不正アクセス対策で最も費用対効果が高い施策はMFAの導入です。

パスワードが盗まれても、MFAが設定されていれば攻撃者はログインできません。Microsoftの調査では、MFAを設定するだけでアカウント侵害の99.9%を防げるとされています。

MFAを優先的に適用すべき対象は以下の順番です。

優先度 対象 理由
最優先 管理者アカウント・特権アカウント 侵害時の影響が最大
VPN・リモートアクセス 外部からの侵入経路
M365・クラウドサービス フィッシングの標的になりやすい
一般ユーザー全員 踏み台になるリスク

MFAの仕組みと導入手順については「MFAとは?多要素認証の仕組みと実務での導入・運用ガイド」を参照してください。

パスワードポリシーの見直し

複雑なパスワードを要求するだけでは不十分です。現在のNIST・Microsoftのガイドラインでは以下の方向性が推奨されています。

従来の考え方 現在の推奨
定期的なパスワード変更を強制 漏えいが確認された場合のみ変更
複雑性要件(記号・大文字必須) 長さ重視(14文字以上推奨)
パスワードの使い回し禁止 過去のパスワードとの一致チェック

参考:NIST SP 800-63B|デジタルアイデンティティガイドライン

条件付きアクセスの設計

Entra ID環境では条件付きアクセスを使って「どんな条件ならアクセスを許可するか」を制御できます。

条件付きアクセス(Conditional Access) ユーザーのログイン条件(場所・デバイス・リスクスコアなど)に応じて、アクセスを許可・拒否・MFA要求などの制御を行う仕組み。Microsoft Entra IDの機能。

最低限設定すべきポリシーは以下の3つです。

① 管理者アカウントへのMFA強制
② 準拠済みデバイス以外からのアクセスをブロック
③ 高リスクサインイン(海外IP・異常なログインパターン)にMFA要求

VPNとネットワーク境界の管理

VPNの脆弱性は攻撃者に狙われやすい経路です。以下を定期的に確認してください。

  • VPN装置のファームウェアを最新に保つ
  • 使用していないVPNアカウントを無効化する
  • VPNのアクセスログを定期確認する

ゼロトラストへの移行を検討している場合は「VPNとゼロトラストの違い|境界防御からの移行を段階的に進める実務ガイド」を参照してください。

侵入後の被害を最小化する——内部対策の設計

最小権限の徹底

侵入後の横移動を防ぐには最小権限の原則が有効です。攻撃者が一般ユーザーの権限しか持てない状態であれば、侵害の範囲を限定できます。

  • 一般ユーザーにローカル管理者権限を付与しない
  • サービスアカウントに必要最低限の権限のみ付与する
  • 管理者権限は専用の管理者アカウントで使用し、日常業務には使わない

特権アカウントの設計については「AD特権アカウントの設計|Tier0保護と管理者アカウント分離の実務」を参照してください。

ネットワークセグメンテーション

攻撃者の横移動を防ぐにはネットワークの分離が有効です。

ネットワークセグメンテーション ネットワークを複数のセグメント(区画)に分割し、セグメント間の通信を制限する設計手法。1つのセグメントが侵害されても、他のセグメントへの影響を最小化できる。

最低限実現したいセグメント分離は以下です。

インターネット
 ↕(ファイアウォール)
DMZ(公開サーバー:Webサーバー等)
 ↕(ファイアウォール)
内部ネットワーク
 ├── 業務端末セグメント
 ├── サーバーセグメント
 └── 管理セグメント(DC・管理サーバー)

管理セグメントを分離することで、攻撃者が業務端末を侵害してもDCへ直接アクセスできない構成になります。

パッチ管理の徹底

脆弱性を放置することは「攻撃者に侵入経路を提供する」ことと同義です。

  • OSのセキュリティパッチを月次で適用する
  • VPN装置・ファイアウォール等のネットワーク機器も忘れずに更新する
  • 脆弱性スキャンツールで定期的に未パッチの機器を確認する

パッチ管理の詳細については「パッチ管理とは?「作業」で終わらせない脆弱性対応の考え方と実務」を参照してください。

検知・対応の仕組みを作る

入口対策・内部対策だけでは不十分です。侵入を前提として、早期に検知・対応できる仕組みを合わせて整備します。

ログの収集と監視

不正アクセスを検知するために最低限収集すべきログは以下です。

ログ種別 主な確認ポイント
認証ログ(ADイベントID 4624/4625) 失敗後の成功・深夜のログイン・海外IPからのアクセス
特権アカウントの操作ログ 管理者アカウントの使用状況
ファイルアクセスログ 大量ダウンロード・異常なアクセスパターン
ネットワークログ 外部への大量通信・不審なIPへの接続

Windowsイベントログの重要IDについては「Windowsイベントログ重要ID一覧|セキュリティ調査で使うIDまとめ」を参照してください。

インシデント対応フローの整備

検知後の対応フローを事前に決めておかないと、いざというときに対応が遅れます。最低限以下を事前に決めておいてください。

  • アラートの一次確認担当者を決める
  • エスカレーション先(上長・CSIRT・外部ベンダー)を決める
  • アカウント無効化・端末隔離などの初動対応手順を文書化する

よくある失敗パターン4選

① 管理者アカウントにMFAを設定していない

「一般ユーザーにはMFAを設定したが、管理者アカウントは設定が面倒で後回しにした」というケースです。攻撃者が最初に狙うのは管理者アカウントです。MFAは一般ユーザーより先に管理者アカウントに設定してください。

② VPN装置のパッチが長期間未適用

「業務に影響が出るかもしれないのでアップデートを先送りにしていた」という現場は多いです。VPN装置の既知脆弱性は攻撃者に広く知られており、未パッチのまま放置すると侵入経路になります。メンテナンスウィンドウを設けて定期的にファームウェアを更新してください。

③ 全端末にローカル管理者権限を付与している

「設定変更やソフトウェアインストールが必要なため、全社員にローカル管理者権限を付与している」という環境は珍しくありません。しかしこの設定は攻撃者に横移動を許す設計です。一般ユーザーのローカル管理者権限は剥奪し、必要な場合はIT部門が対応する運用に切り替えてください。

④ ログを取っているが誰も見ていない

「ログは取得しているが確認する担当者がおらず、インシデント後の調査で初めてログを見た」というケースです。ログは取るだけでは意味がありません。定期的に確認する担当者・頻度・確認項目を決めて、運用として回してください。

不正アクセス対策チェックリスト

認証・入口対策

  • [ ] 管理者アカウント・特権アカウントにMFAを設定した
  • [ ] VPN・リモートアクセスにMFAを設定した
  • [ ] 条件付きアクセスで高リスクサインインを制御した
  • [ ] パスワードポリシーをNIST推奨に沿って見直した
  • [ ] VPN装置のファームウェアを最新に保っている
  • [ ] 不要なVPNアカウントを無効化した

内部対策

  • [ ] 一般ユーザーのローカル管理者権限を剥奪した
  • [ ] サービスアカウントに最小権限を付与した
  • [ ] 管理セグメントを業務端末セグメントから分離した
  • [ ] OSのセキュリティパッチを月次で適用している

検知・対応

  • [ ] 認証ログ・特権アカウントログの収集・保管を設定した
  • [ ] ログの定期確認担当者と頻度を決めた
  • [ ] アラート発生時のエスカレーション先を決めた
  • [ ] 初動対応手順(アカウント無効化・端末隔離)を文書化した

まとめ

今日確認すべきことは1つです。

管理者アカウントにMFAが設定されているか確認してください。

Entra ID環境であれば、条件付きアクセスポリシーで管理者ロールへのMFA強制が設定されているかを確認します。ADオンプレ環境であれば、VPNやリモートデスクトップへのアクセスにMFAが要求されているかを確認してください。

不正アクセス対策は「入口を守る」→「侵入後の被害を最小化する」→「早期に検知・対応する」の3層で設計します。どれか1つだけでは不十分です。現状の構成を3層の観点で棚卸しし、抜けている層から順番に対策を積み上げてください。

次は「ADのセキュリティ監査手順」で、AD環境の定期監査の具体的な手順を解説します。

 

あわせてご覧ください

コメント

タイトルとURLをコピーしました