https://itauditcompass.com/categories/it%E7%9B%A3%E6%9F%BB%E5%AE%9F%E8%B7%B5%E7%B7%A8/Recent content in IT監査実践編 on IT Audit CompassHugojaWed, 06 May 2026 00:00:00 +0900https://itauditcompass.com/posts/2026-05-06-4326/Wed, 06 May 2026 00:00:00 +0900https://itauditcompass.com/posts/2026-05-06-4326/<h2 id="はじめになぜactive-directory監査が重要なのか">はじめに：なぜActive Directory監査が重要なのか</h2> <p>Active Directory（以下、AD）は、Microsoft社が提供するディレクトリサービスであり、企業のITインフラにおける「心臓部」とも言える存在です。ユーザー認証、アクセス制御、グループポリシーの配布など、組織のセキュリティ基盤を支える重要な役割を担っています。</p> <p>しかし、その重要性ゆえに、ADは攻撃者にとっても格好の標的となっています。2023年の調査によれば、企業へのサイバー攻撃の約80%以上がActive Directoryを経由または標的としているとされています。一度ADが侵害されると、組織全体のシステムやデータが危険にさらされる可能性があります。</p> <p>本記事では、IT監査担当者やセキュリティ実務者の方々を対象に、Active Directory監査を実施する際に「まず押さえるべき5つのチェックポイント」を詳しく解説します。これからAD監査に取り組む方はもちろん、既存の監査手順を見直したい方にも役立つ内容となっています。</p> <h2 id="active-directory監査の背景と概要">Active Directory監査の背景と概要</h2> <h3 id="active-directoryとは何か">Active Directoryとは何か</h3> <p>Active Directoryは、Windows Server上で動作するディレクトリサービスです。簡単に言えば、「組織内のユーザー、コンピュータ、リソースを一元管理するためのデータベース」と考えることができます。</p> <p>ADの主な機能は以下の通りです：</p> <ul> <li><strong>認証（Authentication）</strong>：ユーザーが本人であることを確認する</li> <li><strong>認可（Authorization）</strong>：ユーザーがどのリソースにアクセスできるかを制御する</li> <li><strong>ディレクトリサービス</strong>：組織内のオブジェクト（ユーザー、グループ、コンピュータなど）の情報を格納・管理する</li> <li><strong>グループポリシー</strong>：組織全体のセキュリティ設定やソフトウェア配布を一括管理する</li> </ul> <h3 id="なぜ監査が必要なのか">なぜ監査が必要なのか</h3> <p>AD監査が必要な理由は、大きく分けて3つあります。</p> <p><strong>1. セキュリティリスクの低減</strong></p> <p>設定ミスや不適切な権限付与は、内部不正や外部攻撃の入り口となります。定期的な監査により、これらのリスクを早期に発見・是正できます。</p> <p><strong>2. コンプライアンス要件への対応</strong></p> <p>J-SOX（内部統制報告制度）、ISMS（ISO 27001）、PCI DSSなど、多くのセキュリティ基準でアクセス管理の適切性が求められています。AD監査はこれらの要件を満たすための基本的な活動です。</p> <p><strong>3. インシデント対応能力の向上</strong></p> <p>監査を通じてAD環境の現状を把握しておくことで、セキュリティインシデント発生時の調査・対応がスムーズになります。</p> <h3 id="ad監査の全体像">AD監査の全体像</h3> <p>AD監査は、以下のような観点から実施されます：</p> <table> <thead> <tr> <th>監査領域</th> <th>主なチェック内容</th> </tr> </thead> <tbody> <tr> <td>アカウント管理</td> <td>不要アカウントの有無、パスワードポリシーの適切性</td> </tr> <tr> <td>権限管理</td> <td>特権アカウントの管理状況、過剰な権限付与の有無</td> </tr> <tr> <td>グループ管理</td> <td>グループメンバーシップの適切性、入れ子構造の複雑さ</td> </tr> <tr> <td>監査ログ</td> <td>ログ設定の適切性、ログの保管・監視状況</td> </tr> <tr> <td>セキュリティ設定</td> <td>グループポリシーの設定内容、脆弱な設定の有無</td> </tr> </tbody> </table> <p>それでは、具体的な5つのチェックポイントを見ていきましょう。</p> <h2 id="チェックポイント1特権アカウントの棚卸しと管理状況">チェックポイント1：特権アカウントの棚卸しと管理状況</h2> <h3 id="なぜ特権アカウントが最重要なのか">なぜ特権アカウントが最重要なのか</h3> <p>特権アカウントとは、システム全体に対して強力な権限を持つアカウントのことです。ADにおける代表的な特権グループには以下があります：</p> <ul> <li><strong>Domain Admins</strong>：ドメイン全体の管理権限を持つ</li> <li><strong>Enterprise Admins</strong>：フォレスト（複数ドメインの集合）全体の管理権限を持つ</li> <li><strong>Schema Admins</strong>：ADスキーマ（構造定義）を変更できる</li> <li><strong>Administrators（ビルトイン）</strong>：ドメインコントローラーのローカル管理者</li> </ul> <p>これらのアカウントが侵害されると、攻撃者は組織全体を掌握できてしまいます。そのため、特権アカウントの管理は最優先のチェック項目となります。</p> <h3 id="具体的なチェック手順">具体的なチェック手順</h3> <p><strong>Step 1：特権グループのメンバー一覧を取得する</strong></p> <p>PowerShellを使用して、特権グループのメンバーを確認します：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-powershell" data-lang="powershell"><span style="display:flex;"><span><span style="color:#75715e"># Domain Adminsグループのメンバーを取得</span> </span></span><span style="display:flex;"><span>Get-ADGroupMember -Identity <span style="color:#e6db74">&#34;Domain Admins&#34;</span> -Recursive | Select-Object Name, SamAccountName, ObjectClass </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># Enterprise Adminsグループのメンバーを取得</span> </span></span><span style="display:flex;"><span>Get-ADGroupMember -Identity <span style="color:#e6db74">&#34;Enterprise Admins&#34;</span> -Recursive | Select-Object Name, SamAccountName, ObjectClass </span></span></code></pre></div><p><strong>Step 2：メンバーの妥当性を確認する</strong></p>