2026年新たな年を迎えましたが、皆さんの企業では、今年どのようなIT戦略に重点をおかれる予定でしょうか？
2025年は、大手飲料メーカーや文具通販大手など、多くの企業がランサムウェア被害にあい、改めてその脅威を認識した年だったのではないでしょうか？

2026年は、ランサムウェアなどサイバー攻撃に対する耐性を高め、安心してITを利用できるようにすることが重要な年にしていくことが必要ではないかと拝察いたします。

そこで、今回からランサムウェア対策として最低限行うべき対策について、重要なものをピックアップし、必要な対策や具体的な実施方法とその効果について、連載コラムとして深堀りしていきたいと思います。
第1回は、管理者権限（特権アカウント）と一般アカウントの分離と常用禁止についてお伝えします。

ランサムウェア対策としての特権管理

昨年被害にあった企業などから発表されている報告内容からは、VPNやインターネット端末などのエンドポイントを経路として侵入し、EDRなどの対策ツールの機能を無効化し、Active Directoryなどの認証システムや重要システムの管理者権限が奪取され、システム改ざんや機密情報の持ち出しを許してしまう傾向があります。
そのため、初期潜入を防ぐゲートウェイやエンドポイントの対策だけでは不十分であり、重要システムにアクセスを許してしまわないようにするアクセス管理、特に管理者権限（特権ID）を奪われ不正にアクセスされないようにするための対策が重要であることが示唆されます。

ありがちな運用例とリスク

情報システム部員のアカウント属性がリスクに？

このような事実を考慮した場合、リスクが高く避けるべきありがちな運用例としては、「情報システム部員の普段使いのアカウントに管理者権限を常時付与」している例があります。
特に普段使いのアカウントをActive Directoryサーバーによって管理し、各端末やWindows Serverに対する認証に使用しているケースにおいて、情報システム部のメンバーの個人IDに、常時ドメイン管理者権限を付与しているケースを最も多く見かけます。

このような設定・運用になっている背景としては、情報システム担当者は、業務上クライアントPCやサーバーに対して管理者権限を利用して設定変更などを行う役割を持っている。つまり業務上必要な権限をあらかじめ付与しているためという理由による場合が多いと考えます。
ただし、この運用は、内部者に対する特権アカウント使用機会の最小化（特権アカウントが必要な業務に限り権限を利用する）という観点だけではなく、ランサムウェア攻撃に対する耐性という観点でも望ましい運用とは言えません。

普段使いのアカウントの管理権限を常時付与することが危険なワケ

攻撃者は、外部からインターネットを経由して攻撃対象企業のネットワーク内に侵入を試みますが、エンドポイント端末が侵入経路の一つとなっており、業務を装った偽装メールに添付したファイル等によってマルウェア感染させることによって初期潜入を果たします。

次に感染端末に対し、マルウェアを使ってアカウントの認証情報を奪取する試みを行います。この時に利用される手口には、端末上でログイン時に行使されたパスワードのキャッシュと呼ばれる痕跡から奪う方法が利用されることがあります。

もし仮に管理者権限が付与されたドメインアカウントでログインして日常的に利用している情報システム部員のエンドポイント端末がマルウェア感染したら、そこから最も重要なドメイン管理者権限を奪われしまうことになります。

管理者権限が奪われたらどうなるのか？

ドメイン管理者アカウントが奪われたら、どんなことが起きてしまうかは説明するまでもないでしょう。
ドメインに参加するすべてのコンピューターに管理者権限でアクセスが可能であるばかりか、Active Directoryサーバーにアクセスされ、ドメインに属するすべてのコンピューターリソースの情報を取得されてしまいます。
つまり、マルウェア感染リスクが高いコンピューター上で、常時管理者権限（特権ID）を利用することはサイバー攻撃の観点から避けるべき運用なのです。

権限を一時的に付与する方法との比較

管理者権限を常時付与するのではなく、権限を必要な時に付与し、普段ははく奪しておく運用というのも考え方としてはあります。しかしこの方法は、いくつかの観点で課題とリスクが存在します。

権限の付与・はく奪には管理者権限の行使が必要

普段使いのアカウントに常時管理者権限（特権ID）を付与せず必要な時に権限を付与することで、常に管理者権限を使用している状況は解消されますが、この権限付与・はく奪を行うには、管理者権限の行使が必要です。これは管理者権限の利用機会を増加させることにつながります。管理者権限の利用機会が多ければ多いほど、それによりリスクや後述する管理ミスの可能性も増加してしまいます。

パスワードが奪われたら不正使用されるリスクは依然存在

攻撃者にパスワードが奪われたら、不正使用に利用される可能性がある点は、常時管理者権限が付与されている、いないに関わらず存在します。権限が付与されているタイミングで使用される可能性は排除できていない状況です。

権限のはく奪忘れなどの管理ミス・エラーによるリスクが残存

どのような仕組みで権限の付与・はく奪の運用を行うにしても、管理ミスやエラーによって、権限が正しくはく奪されず、長期にわたって管理者権限が付与されたままの状態になる可能性があり、ミスが起きていないことやエラーが発生していないことのチェックを設けるなど、かなりの管理負担が生じます。

以上のような課題・リスクを踏まえると、普段使いのアカウントとは別に管理者権限を用意して、そのアカウントは特権が必要な時のみ利用するなど厳重な取り扱いをすることが望ましいと考えます。

<次回予告>一般権限と分離した特権アカウントはどう管理し運用すべきか？

次回のコラムでは、常用利用を避け、一般アカウントと分離した特権アカウントは、どのような管理・運用を行うべきかについて解説します。

• アカウントを分離することで絶対数が多くなる問題
• ランサムウェア攻撃を想定した場合の運用方法

<<資料ご案内>>ランサムウェアからシステムを守るために今すぐ行うべき15の対策

エンカレッジ・テクノロジでは、「ランサムウェアからシステムを守るために今すぐ行うべき15の対策」をセルフチェックできる資料を配布中です。

本資料で今すぐ自社システムの対策状況をチェックし、被害を招かないよう最善を尽くしましょう！