Microsoftはこのほど、「Effective strategies for conducting Mass Password Resets during cybersecurity incidents」において、セキュリティインシデントが発生した時に行うパスワードリセットについて、課題、準備、ベストプラクティスなどを紹介した。
-
Effective strategies for conducting Mass Password Resets during cybersecurity incidents
セキュリティインシデントに伴うパスワードリセットの効果的な戦略
サイバーセキュリティインシデントが発生して特定のアカウントが侵害された場合、大量のパスワードリセットが推奨されている。この方法はプレーンなID制御を取り戻すことができ、攻撃者のアクセスを断つ有効な手段といえる。ただし、大規模な組織でこれを行うとなるとプロセスが複雑になるため、組織のユーザーごとに応じた対応をとることが重要とされている。
考慮すべきユーザーおよびシナリオは次のとおり。
- ローカルユーザー: 主にオンサイトでドメイン コントローラーと通信できるユーザー
- リモートユーザー:主にVPNを使用するユーザー、またはハイブリッドIDを持つユーザー
- パスワード管理の制御先:パスワードのリセットが管理者によって行われるか、エンドユーザーによって行われるか
- サービスアカウントの管理:パスワードの有効期限がないことが多いサービスアカウントに関する事項
- 特権ID:特権を持つクラウドおよびオンプレミスのアカウントを管理するための特別な事項
主にオンサイトでドメインコントローラーにアクセスしているユーザーに対しては、次回ログオン時にパスワードの変更を要求するフラグを設定することでパスワードの変更を強制できる。ユーザーに期限を設け、その期限までにパスワードを変更しなければアカウントを無効にすると通知する。
VPNで環境にアクセスするリモートユーザーのパスワードリセットの方法は、管理者がリセットするか、ユーザー自身が変更するかの2種類がある。VPNがドメインパスワードに依存し、パスワードリセットをサポートしない場合、事前にセルフサービスパスワードリセット(SSPR:self-service password reset)を設定しておくことが重要とされている。また、VPNの認証ソースをMicrosoft Entra IDに移行することも検討可能。
ハイブリッドIDを持つリモートユーザーは組織のIDがMicrosoft Entra IDに同期されているため、大量のパスワードリセットを実行するためにドメインコントローラーに接続する必要はない。Microsoft Entra IDは、次回のサインイン時に認証情報をリセットするようユーザにフラグを立てることができる。
サービスアカウントは、パスワードの期限切れがなく過剰な権限を持つため管理が難しいとされている。特に大量のパスワードリセットが必要な場合、サービスアカウントと関連アプリケーションのインベントリがないと問題が発生する。そのため可能であれば、グループ管理サービスアカウント(gMSA: group Managed Service Accounts)に移行することが勧められている。
クラウド特権アカウントにはフィッシングに強いMFAを導入し、Microsoft Entra ID Privileged Identity Management(PIM)などのJust in Time(JIT)管理方法を使用することが推奨されている。オンプレミスとクラウドの管理を明確に分離し、それぞれの領域に個別のIDを設定することも勧められている。
大量のパスワードをリセットするにはさまざまな要素や考慮すべき事項がある。しかしながら、十分な準備を行うことでプロセスの負担を軽減し管理しやすくすることは可能であると述べている。
