次の方法で共有

オンプレミスのサービス アカウントを管理する

Active Directory には、次の 4 種類のオンプレミス サービス アカウントが用意されています。

サービス アカウント ガバナンスの一部には、次のものが含まれます。

  • 要件と目的に基づいて保護する
  • アカウントのライフサイクルとその資格情報の管理
  • リスクとアクセス許可に基づいてサービス アカウントを評価する
  • Active Directory (AD) と Microsoft Entra ID に、アクセス許可を持つ未使用のサービス アカウントがないことを確認する

新しいサービスアカウントのガイドライン

サービス アカウントを作成するときは、次の表の情報を考慮してください。

原則 考慮事項
サービス アカウントのマッピング サービス アカウントをサービス、アプリケーション、またはスクリプトに接続する
所有権 要求して責任を負うアカウント所有者が存在することを確認する
範囲 スコープを定義し、使用期間を予測する
目的 1 つの目的でサービス アカウントを作成する
権限 最小限のアクセス許可の原則を適用する:
- 管理者などの組み込みグループにアクセス許可を割り当てない
- ローカル コンピューターのアクセス許可を削除する (可能な場合)
- アクセス権を調整し、ディレクトリ アクセスに AD 委任を使用する
- 詳細なアクセス許可を使用する
- ユーザーベースのサービス アカウントに対するアカウントの有効期限と場所の制限を設定する
使用の監視と監査 - サインイン データを監視し、目的の使用状況と一致していることを確認します
- 異常な使用に関するアラートを設定する

ユーザー アカウントの制限

サービス アカウントとして使用されるユーザー アカウントの場合は、次の設定を適用します。

  • アカウントの有効期限 - アカウントを続行できない限り、レビュー期間後にサービス アカウントの有効期限が自動的に切れるよう設定します
  • LogonWorkstations - サービス アカウントのサインインアクセス許可を制限する
    • ローカルで実行され、コンピューター上のリソースにアクセスする場合は、他の場所へのサインインを制限します
  • パスワードを変更できない - サービス アカウントが独自のパスワードを変更できないようにするには、パラメーターを true に設定します

ライフサイクル管理プロセス

サービス アカウントのセキュリティを維持するために、サービス アカウントを初期から使用停止まで管理します。 次の手順を使用します。

  1. アカウントの使用状況情報を収集します。
  2. サービス アカウントとアプリを構成管理データベース (CMDB) に移動します。
  3. リスク評価または正式なレビューを実行します。
  4. サービス アカウントを作成し、制限を適用します。
  5. 定期的なレビューをスケジュールして実行します。
  6. 必要に応じてアクセス許可とスコープを調整します。
  7. アカウントのプロビジョニングを解除します。

サービス アカウントの使用状況情報を収集する

各サービス アカウントの関連情報を収集します。 次の表に、収集する最小限の情報を示します。 各アカウントを検証するために必要なものを取得します。

データ 説明
オーナー サービス アカウントに対して責任を負うユーザーまたはグループ
目的 サービス アカウントの目的
アクセス許可 (スコープ) 必要なアクセス許可
CMDB のリンク ターゲット スクリプトまたはアプリケーションと所有者とのクロスリンク サービス アカウント
リスク セキュリティ リスク評価の結果
有効期間 アカウントの有効期限または再認定をスケジュールするために予想される最大有効期間

アカウント要求をセルフサービスで行い、関連情報を要求します。 所有者は、アプリケーションまたはビジネス所有者、IT チーム メンバー、またはインフラストラクチャ所有者です。 要求と関連情報には、Microsoft Forms を使用できます。 アカウントが承認されている場合は、Microsoft Forms を使用して構成管理データベース (CMDB) インベントリ ツールに移植します。

サービス アカウントと CMDB

収集した情報を CMDB アプリケーションに格納します。 インフラストラクチャ、アプリ、プロセスへの依存関係を含めます。 この中央リポジトリを使用して、次の操作を行います。

  • リスクを評価する
  • 制限を使用してサービス アカウントを構成する
  • 機能とセキュリティの依存関係を確認する
  • セキュリティと継続的なニーズに関する定期的なレビューを実施する
  • サービス アカウントを確認、廃止、変更するには、所有者に問い合わせてください

HR シナリオの例

たとえば、人事 SQL データベースに接続するアクセス許可を持つ Web サイトを実行するサービス アカウントがあります。 例を含む、サービス アカウント CMDB の情報を次の表に示します。

データ
所有者、Deputy 名前、名前
目的 HR Web ページを実行し、HR データベースに接続します。 データベースにアクセスするときは、エンド ユーザーの権限を借用します。
アクセス許可、範囲 HR-WEBServer: ローカルでサインインします。Web ページの実行
HR-SQL1: ローカルでサインイン; HR データベースの読み取り権限
HR-SQL2: ローカルでサインインします。Salary データベースに対する読み取りアクセス許可のみ
コスト センター 123456
評価されたリスク 中程度;ビジネスへの影響: 中;個人情報中程度
アカウントの制限 サインイン先: 前述のサーバーのみ。パスワードを変更できません。MBI-Password ポリシー;
有効期間 無制限
レビュー サイクル 年に2回: 所有者、セキュリティチーム、またはプライバシーチームによって

サービス アカウントのリスク評価または正式なレビュー

承認されていないソースによってアカウントが侵害された場合は、関連するアプリケーション、サービス、インフラストラクチャに対するリスクを評価します。 直接的および間接的なリスクを考慮します。

  • 承認されていないユーザーがアクセスできるリソース
    • サービス アカウントがアクセスできるその他の情報またはシステム
  • アカウントが付与できるアクセス許可
    • アクセス許可が変更されたときの表示または通知

リスク評価の後、書類はリスクがアカウントに影響を与えることを示す可能性があります。

  • 制約
  • 有効期間
  • 要件を確認する
    • ケイデンスと校閲者

サービス アカウントを作成し、アカウント制限を適用する

リスク評価後にサービス アカウントを作成し、CMDB で結果を文書化します。 アカウントの制限をリスク評価の結果に合わせます。

評価に関連しないものもありますが、次の制限事項を考慮してください。

サービス アカウントのレビュー

定期的なサービス アカウント レビュー 、特に中リスクと高リスクに分類されたレビューをスケジュールします。 レビューには次のものが含まれます。

  • アカウントの必要性について所有者が証明し、アクセス許可とスコープの正当な理由を説明します。
  • アップストリームとダウンストリームの依存関係を含むプライバシーとセキュリティのチーム レビュー
  • 監査データのレビュー
  • アカウントが明記された目的で使用されていることを確認する

サービス アカウントをプロビジョニング解除する

次の手順でサービス アカウントのプロビジョニングを解除します。

  • サービス アカウントが作成されたスクリプトまたはアプリケーションの提供終了
  • サービス アカウントが使用されたスクリプトまたはアプリケーション関数の廃止
  • サービス アカウントを別のアカウントに置き換える

プロビジョニングを解除するには:

  1. アクセス許可と監視を削除します。
  2. 関連するサービス アカウントのサインインとリソース アクセスを調べて、それらに潜在的な影響がないことを確認します。
  3. アカウントのサインインを禁止します。
  4. アカウントが不要になっていることを確認します (苦情はありません)。
  5. アカウントを無効にする時間を決定するビジネス ポリシーを作成します。
  6. サービス アカウントを削除します。
  • MSA - Uninstall-ADServiceAccount を参照
    • PowerShell を使用するか、マネージド サービス アカウント コンテナーから手動で削除する
  • コンピューターまたはユーザー アカウント - Active Directory からアカウントを手動で削除する

次のステップ

サービス アカウントのセキュリティ保護の詳細については、次の記事をご覧ください。