LSA|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. LSA
             

LSA

LSA(Local Security Authority)は、Windowsオペレーティングシステムにおけるセキュリティ関連の機能を管理する重要なコンポーネントです。LSAは、認証、ユーザーセッションのセキュリティ、アクセス制御、システムのセキュリティポリシーの適用を行います。Windowsのセキュリティインフラの中核を担い、ユーザーやアプリケーションがシステムリソースに適切にアクセスできるように調整します。

LSAは、Windowsのセキュリティサービスの一部として、ユーザー認証情報を管理し、認証に基づくトークンを発行することで、アクセス制御を実現します。このため、LSAの動作が妨害されると、システム全体のセキュリティが損なわれる可能性があります。

LSAの主な役割

1. 認証情報の管理

LSAは、ユーザーのログイン情報(例:ユーザー名、パスワード)を処理し、認証の成功または失敗を決定します。これには、以下の認証プロセスが含まれます。

  • ローカルアカウントやドメインアカウントの認証
  • Kerberos、NTLMなどの認証プロトコルのサポート

2. セキュリティポリシーの適用

LSAは、グループポリシーやローカルセキュリティポリシーを適用し、システム全体のセキュリティ設定を管理します。

3. セキュリティトークンの発行

認証に成功したユーザーに対して、セキュリティトークンを生成します。このトークンは、ユーザーのセッション中にアクセス可能なリソースを決定するために使用されます。

4. アクセス制御の実施

LSAは、セキュリティ記述子(Security Descriptor)を使用して、リソースへのアクセスを制御します。これにより、ユーザーやアプリケーションが許可されたリソースのみを使用できるようにします。

5. 監査ログの管理

セキュリティイベントの監査ログを作成し、セキュリティポリシーの違反や不正アクセスの記録を保持します。

LSAと関連コンポーネント

1. LSASS(Local Security Authority Subsystem Service)

LSASSは、LSA機能を実現するWindowsサービスです。LSASSは、LSAと連携して認証情報の管理やセキュリティトークンの発行などを担当します。LSASSの動作は、Windowsシステムの安定性とセキュリティに直結しています。

2. セキュリティプロバイダー(SSPI)

SSPI(Security Support Provider Interface)は、LSAがセキュリティプロトコル(Kerberos、NTLMなど)を利用するためのインターフェースです。

3. セキュリティポリシー

グループポリシーやローカルセキュリティポリシーを通じて、LSAはパスワードポリシー、ログオン制御、監査設定などを適用します。

LSAが狙われる理由

LSAは、ユーザー認証情報やセキュリティポリシーを管理するため、攻撃者にとって重要なターゲットです。特に、LSASSプロセスのメモリにはパスワードハッシュやセッションキーなどの機密情報が含まれており、これを利用して以下のような攻撃が行われます。

1. 認証情報の窃取

攻撃者は、Mimikatzなどのツールを使用してLSASSプロセスのメモリから認証情報を抽出します。

2. 特権昇格

LSAが管理するセキュリティトークンを悪用し、システム管理者権限を不正に取得します。

3. 横展開(Lateral Movement)

LSAから取得した認証情報を使用して、ネットワーク内の他のシステムに侵入します。

LSAに対するセキュリティ対策

1. Credential Guardの有効化

Windows 10以降では、Credential Guard機能を使用してLSASSプロセスを仮想化し、認証情報を安全に保護できます。

2. アクセス制限の強化

  • LSASSプロセスへのアクセスを厳しく制限します。
  • 管理者権限を持つアカウントの使用を最小限に抑えます。

3. 監視とログ管理

  • Windowsのセキュリティログを監視し、不正な認証やアクセスの試行を検出します。
  • SIEM(Security Information and Event Management)ツールを活用して、異常な行動を早期に特定します。

4. セキュリティ更新の適用

定期的にWindowsのセキュリティパッチを適用し、LSAに関連する既知の脆弱性を修正します。

5. パスワードポリシーの適用

  • 強力なパスワードを使用し、定期的に変更する。
  • 二要素認証(2FA)を導入して、認証プロセスを強化する。

6. セキュリティツールの導入

  • EDR(Endpoint Detection and Response)を導入して、LSASSへの不正なアクセスを検出・防御します。

まとめ

LSA(Local Security Authority)は、Windowsシステムのセキュリティの中心的な役割を果たすコンポーネントであり、認証情報の管理、セキュリティポリシーの適用、アクセス制御を担当します。その重要性から、攻撃者に狙われやすいポイントでもあります。

LSAを守るためには、最新のセキュリティ機能を活用し、アクセス制御や監視を徹底することが不可欠です。また、継続的にセキュリティ対策を更新し、潜在的なリスクを軽減する努力が求められます。適切な対策を講じることで、LSAを介した攻撃からシステムを守り、安全な運用を実現することが可能です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。