次の方法で共有


オンプレミス サービス アカウントを管理する

Active Directory では、次の 4 種類のオンプレミス サービス アカウントが提供されています。

サービス アカウント ガバナンスには、次のものが含まれます:

  • 要件と目的に基づいて、これらを保護する
  • アカウントのライフサイクルとその資格情報を管理する
  • リスクとアクセス許可に基づいて、サービス アカウントを評価する
  • Active Directory (AD) と Microsoft Entra ID にアクセス許可がある未使用のサービス アカウントがないことを確認する

新しいサービス アカウントの原則

サービス アカウントを作成するときは、次の表の情報を考慮してください。

原則 考慮事項
サービス アカウントのマッピング サービス アカウントをサービス、アプリケーション、またはスクリプトに接続します
所有権 要求し、その責任を引き受けるアカウント オーナーがいることを確認します
Scope スコープを定義し、使用期間を予測します
目的 1 つの目的のためにサービス アカウントを作成します
アクセス許可 最小限のアクセス許可の原則を適用します:
- 管理者などの組み込みグループにアクセス許可を割り当てません
- 必要に応じて、ローカル コンピューターのアクセス許可を削除します
- アクセスを調整し、ディレクトリ アクセスに AD 委任を使用します
- 詳細なアクセス許可を使用します
- ユーザーベースのサービス アカウントにアカウントの有効期限と場所の制限を設定します
監視と監査の使用 - サインイン データを監視し、それが目的の使用法に一致していることを確認します
- 異常な使用に対するアラートを設定します

ユーザー アカウントの制限

サービス アカウントとして使用するユーザー アカウントには、次の設定を適用します:

  • アカウントの有効期限 - アカウントが続行可能である場合を除き、レビュー期間後にサービス アカウントが自動的に期限切れになるように設定します
  • ログオンできるワークステーション - サービス アカウントのサインイン権限を制限します
    • ローカルに実行され、そのマシン上のリソースにアクセスする場合は、他の場所にサインインできないよう制限します
  • パスワードを変更できない - パラメーターを true に設定すると、サービス アカウントは自身のパスワードを変更できなくなります

ライフサイクル管理プロセス

サービス アカウントのセキュリティを維持するには、サービス アカウントを開始から使用停止まで管理します。 次の手順を使用します。

  1. アカウントの使用状況情報を収集する。
  2. サービス アカウントとアプリを構成管理データベース (CMDB) に移行する。
  3. リスク評価または正式なレビューを実行する。
  4. サービス アカウントを作成し、制限を適用する。
  5. 定期的なレビューをスケジュールして実行する。
  6. 必要に応じてアクセス許可とスコープを調整する。
  7. アカウントのプロビジョニングを解除する。

サービス アカウントの使用状況情報を収集する

各サービス アカウントの関連情報を収集する。 次の表に、収集する最小限の情報を示します。 各アカウントを検証するために必要なものを取得します。

データ 説明
所有者 サービス アカウントの説明責任を負うユーザーまたはグループ
目的 サービス アカウントの目的
アクセス許可 (スコープ) 予期されるアクセス許可
CMDB リンク ターゲットのスクリプトやアプリケーションおよび所有者とのクロスリンク サービス アカウント
リスク セキュリティ リスク評価の結果
有効期間 アカウントの有効期限または再認定をスケジュールするために予想される最長有効期間

アカウントの要求をセルフサービスにし、関連情報を要求します。 所有者は、アプリケーションやビジネスの所有者、IT チーム メンバー、またはインフラストラクチャの所有者です。 要求と関連情報には、Microsoft Forms を使用できます。 アカウントが承認された場合は、Microsoft Forms を使用して構成管理データベース (CMDB) インベントリ ツールに移植します。

サービス アカウントと CMDB

収集した情報を CMDB アプリケーションに格納します。 インフラストラクチャ、アプリ、プロセスへの依存関係を含めます。 この中央リポジトリを使用して、次の操作を行います:

  • リスクを評価する
  • 制限付きのサービス アカウントを構成する
  • 機能とセキュリティの依存関係を確認する
  • セキュリティと継続的な必要性に関して定期的なレビューを実施する
  • 所有者に連絡して、サービス アカウントのレビュー、廃止、変更を行う

人事シナリオの例

たとえば、人事 SQL データベースに接続するためのアクセス許可を持つ Web サイトを実行するサービス アカウントがあります。 例を含むサービス アカウント CMDB の情報を次の表に示します:

データ
所有者、Deputy 名前、名前
目的 HR Web ページを実行し、HR データベースに接続します。 データベースにアクセスするときは、エンド ユーザーの権限を借用します。
アクセス許可、スコープ HR-WEBServer: ローカルにサインイン。Web ページの実行
HR-SQL1: ローカルにサインイン。HR データベースに対する読み取り権限
HR-SQL2: ローカルにサインイン。給料データベースのみに対する読み取り権限
コスト センター 123456
評価されるリスク 中、ビジネスへの影響: 中、個人情報: 中
アカウントの制限 サインイン先: 前述のサーバーのみ。パスワードを変更できない。MBI パスワード ポリシー。
有効期間 無制限
レビュー サイクル 半年ごと: 所有者、セキュリティ チーム、またはプライバシー チームによる

サービス アカウントのリスク評価または正式なレビュー

承認されていないソースによってアカウントが侵害された場合は、関連するアプリケーション、サービス、インフラストラクチャに対するリスクを評価します。 直接的および間接的リスクを考慮します:

  • 承認されていないユーザーがアクセスできるリソース
    • サービス アカウントがアクセスできるその他の情報またはシステム
  • アカウントが付与できるアクセス許可
    • アクセス許可が変更されたときの指示またはシグナル

リスク評価の後、ドキュメントには、リスクがアカウントに影響することが示される可能性があります:

  • 制限
  • 有効期間
  • 要件を確認する
    • 頻度とレビュー担当者

サービス アカウントを作成し、アカウントの制限を適用する

注意

リスク評価後にサービス アカウントを作成し、結果を CMDB に文書化します。 アカウントの制限をリスク評価の結果に合わせます。

次の制限事項を考慮してください。ただし、お客様の評価には関連しないものもあります。

サービス アカウントのレビュー

定期的なサービス アカウント レビューをスケジュールします (特に中リスクと高リスク)。 レビューには次のものが含まれます:

  • アカウントの必要性、および権限とスコープの正当性に対する所有者による証明
  • アップストリームとダウンストリームの依存関係を含む、プライバシーとセキュリティのチームのレビュー
  • 監査データのレビュー
  • 明記された目的でアカウントが使用されていることを確認する

サービス アカウントをプロビジョニング解除する

次の手順でサービス アカウントをプロビジョニング解除します:

  • サービス アカウントが作成されたスクリプトまたはアプリケーションの廃止
  • サービス アカウントが作成されたスクリプトまたはアプリケーション機能の廃止
  • 他のサービス アカウントへの置き換え

プロビジョニング解除するには:

  1. アクセス許可と監視を削除します。
  2. 関連するサービス アカウントのサインインとリソース アクセスを調べ、それらに潜在的な影響がないことを確認します。
  3. アカウントのサインインを禁止します。
  4. アカウントが今後不要であること (苦情がないこと) を確認します。
  5. アカウントが無効な時間を決定するビジネス ポリシーを作成します。
  6. サービス アカウントを削除します。
  • MSA -「Uninstall-ADServiceAccount」を参照してください
    • PowerShell を使用するか、または管理されたサービス アカウント コンテナーから手動で削除します
  • コンピューターまたはユーザー アカウント - Active Directory から手動でアカウントを削除します

次のステップ

サービス アカウントのセキュリティ保護の詳細については、次の記事をご覧ください。