セキュリティ事故が発生した時に行うパスワードリセットのポイント

画像提供：マイナビニュース

Microsoftはこのほど、「Effective strategies for conducting Mass Password Resets during cybersecurity incidents」において、セキュリティインシデントが発生した時に行うパスワードリセットについて、課題、準備、ベストプラクティスなどを紹介した。

○セキュリティインシデントに伴うパスワードリセットの効果的な戦略

サイバーセキュリティインシデントが発生して特定のアカウントが侵害された場合、大量のパスワードリセットが推奨されている。この方法はプレーンなID制御を取り戻すことができ、攻撃者のアクセスを断つ有効な手段といえる。ただし、大規模な組織でこれを行うとなるとプロセスが複雑になるため、組織のユーザーごとに応じた対応をとることが重要とされている。

考慮すべきユーザーおよびシナリオは次のとおり。

ローカルユーザー： 主にオンサイトでドメイン コントローラーと通信できるユーザー
リモートユーザー：主にVPNを使用するユーザー、またはハイブリッドIDを持つユーザー
パスワード管理の制御先：パスワードのリセットが管理者によって行われるか、エンドユーザーによって行われるか
サービスアカウントの管理：パスワードの有効期限がないことが多いサービスアカウントに関する事項
特権ID：特権を持つクラウドおよびオンプレミスのアカウントを管理するための特別な事項

主にオンサイトでドメインコントローラーにアクセスしているユーザーに対しては、次回ログオン時にパスワードの変更を要求するフラグを設定することでパスワードの変更を強制できる。ユーザーに期限を設け、その期限までにパスワードを変更しなければアカウントを無効にすると通知する。

VPNで環境にアクセスするリモートユーザーのパスワードリセットの方法は、管理者がリセットするか、ユーザー自身が変更するかの2種類がある。VPNがドメインパスワードに依存し、パスワードリセットをサポートしない場合、事前にセルフサービスパスワードリセット(SSPR:self-service password reset)を設定しておくことが重要とされている。また、VPNの認証ソースをMicrosoft Entra IDに移行することも検討可能。

ハイブリッドIDを持つリモートユーザーは組織のIDがMicrosoft Entra IDに同期されているため、大量のパスワードリセットを実行するためにドメインコントローラーに接続する必要はない。Microsoft Entra IDは、次回のサインイン時に認証情報をリセットするようユーザにフラグを立てることができる。