ビジネス資産のセキュリティは、IT システムを管理する特権アカウントの整合性によって決まります。 サイバー攻撃者は、資格情報の盗難攻撃を使用して、管理者アカウントやその他の特権アクセスをターゲットにし、機密データへのアクセスを試みます。
クラウド サービスの場合、防止と対応は、クラウド サービス プロバイダーと顧客の共同責任です。 エンドポイントとクラウドに対する最新の脅威の詳細については、 Microsoft セキュリティ インテリジェンス レポートを参照してください。 この記事は、現在のプランとここで説明しているガイダンス間のギャップを埋めるためのロードマップの作成に役立ちます。
注意
Microsoft は、最高レベルの信頼、透過性、標準への準拠、規制コンプライアンスに努めています。 Microsoft グローバル インシデント対応チームがクラウド サービスに対する攻撃の影響を軽減する方法、および Microsoft セキュリティ センター - Microsoft セキュリティ センター - セキュリティと Microsoft コンプライアンスターゲットの Microsoft ビジネス製品とクラウド サービスにセキュリティを組み込む方法について説明します。
従来、組織のセキュリティは、セキュリティ境界としてネットワークの入口と出口のポイントに重点を置いていました。 しかし、インターネット上の SaaS アプリと個人用デバイスでは、この方法があまり効果的ではありません。
Microsoft Entra ID では、ネットワーク セキュリティ境界を組織の ID 層の認証に置き換え、管理下にある特権管理者ロールにユーザーを割り当てます。 環境がオンプレミス、クラウド、ハイブリッドのいずれであるかにかかわらず、ユーザーのアクセスを保護する必要があります。
特権アクセスをセキュリティで保護するには、以下に対する変更が必要です。
- プロセス、管理作業、ナレッジ管理
- ホスト防御、アカウントの保護、ID 管理などの技術的なコンポーネント
重要な Microsoft サービスで管理および報告されている方法で、特権アクセスを保護します。 オンプレミスの管理者アカウントがある場合は、「特権 アクセスのセキュリティ保護」の Active Directory でのオンプレミスおよびハイブリッド特権アクセスのガイダンスを参照してください。
注意
この記事のガイダンスでは、主に、Microsoft Entra ID P1 と P2 に含まれている Microsoft Entra ID の機能について説明します。 Microsoft Entra ID P2 は、EMS E5 スイートおよび Microsoft 365 E5 スイートに含まれています。 このガイダンスでは、組織がユーザー用に Microsoft Entra ID Premium P2 ライセンスを既に購入していることを想定しています。 これらのライセンスがない場合、ガイダンスの一部は組織に適用されないことがあります。
ロードマップの作成
マイクロソフトでは、サイバー攻撃者から特権アクセスを保護するためのロードマップを作成して従うことをお勧めします。 既存の機能と組織内の特定の要件に合わせてロードマップをいつでも調整できます。
ロードマップの各ステージで、敵対者がオンプレミス、クラウド、ハイブリッドの資産の特権アクセスを攻撃するコストと難易度を上げます。 Microsoft では、次の 4 つのロードマップ ステージをお勧めします。 最初に、最も効果的で、最も迅速な実装をスケジュールします。
この記事は、サイバー攻撃のインシデントと応答の実装に関する Microsoft の経験に基づくガイドとすることができます。 このロードマップのタイムラインは、おおよそのものです。
ステージ 1 (24-48 時間): すぐに実施することをお勧めする重要な項目
ステージ 2 (2 - 4 週間): 最もよく使用される攻撃手法の緩和
ステージ 3 (1 - 3 か月): 可視性の構築と管理者アクティビティのフル コントロールの構築
ステージ 4 (6 か月以降): セキュリティ プラットフォームをさらに強化するための防御の継続的な構築
このロードマップ フレームワークは、既にデプロイしている Microsoft テクノロジの使用を最大化するように設計されています。 既に展開されているか、展開を検討している他のベンダーのセキュリティ ツールを組み込むことも検討してください。
ステージ 1:すぐに実施する重要な項目
ロードマップのステージ 1 では、迅速かつ簡単に実装できる重要なタスクに重点を置きます。 最初の 24 ~ 48 時間以内にこれらの少数の項目をすぐに実施して、セキュリティで保護された特権アクセスの基本的なレベルを確保することをお勧めします。 セキュリティで保護された特権アクセスのロードマップのこのステージには、次のアクションが含まれます。
一般的な準備
Microsoft Entra Privileged Identity Management を使用する
Microsoft Entra 運用環境で、Microsoft Entra Privileged Identity Management (PIM) の使用を開始することをお勧めします。 PIM の使用を開始すると、特権アクセス ロールの変更についての電子メール通知を受け取るようになります。 通知により、高度な特権ロールに他のユーザーが追加された場合に早期警告を受け取れます。
Microsoft Entra Privileged Identity Management は、Microsoft Entra ID P2 または EMS E5 に含まれています。 オンプレミスおよびクラウド内のアプリケーションとリソースへのアクセスを保護するために、 Enterprise Mobility + Security 無料の 90 日間試用版にサインアップします。 Microsoft Entra Privileged Identity Management と Microsoft Entra ID 保護は、Microsoft Entra ID のレポート、監査、およびアラートを使用して、セキュリティ活動を監視します。
Microsoft Entra Privileged Identity Management の使用開始後:
Microsoft Entra 管理センターにグローバル管理者としてサインインします。
Privileged Identity Management を使用するディレクトリを切り替えるには、Microsoft Entra 管理センターの右上隅にあるユーザー名を選択します。
ID ガバナンス>特権 ID 管理を参照します。
組織内で PIM を使用する最初のユーザーが 、セキュリティ管理者 ロールと 特権ロール管理者ロール に割り当てられていることを確認します。 ユーザーの Microsoft Entra ディレクトリ ロールの割り当てを管理できるのは特権ロール管理者だけです。 PIM セキュリティ ウィザードの指示に従って初回の検出と割り当てを実行できます。 この時点でさらに変更を加えずに、ウィザードを終了することができます。
高度な特権ロールに属するアカウントを識別および分類する
Microsoft Entra Privileged Identity Management の使用開始後、次の Microsoft Entra ロールに含まれるユーザーを表示します。
- グローバル管理者
- 特権ロール管理者
- Exchange 管理者
- SharePoint 管理者
組織内に Microsoft Entra Privileged Identity Management がない場合は、 Microsoft Graph PowerShell を使用できます。 全体管理者は、組織がサブスクライブしているすべてのクラウド サービスで同じアクセス許可を持つため、全体管理者ロールから始めます。 これらのアクセス許可は、Microsoft 365 管理センターや Microsoft Entra 管理センターに割り当てられていても、または Microsoft Graph PowerShell を使用して割り当てられていても、付与されます。
このようなロールの不要になったアカウントがあれば削除します。 次に、管理者ロールに割り当てられている残りのアカウントを分類します。
- 管理ユーザーに割り当てられているが、管理以外の目的 (たとえば、個人用電子メール) にも使用されている
- 管理ユーザーに割り当てられ、管理目的にのみ使用されている
- 複数のユーザー間で共有される
- 非常時の緊急アクセス シナリオ用
- 自動スクリプト用
- 外部ユーザー用
少なくとも 2 つの緊急アクセス用アカウントを定義する
Microsoft では、グローバル 管理者 ロールが永続的に割り当てられている 2 つのクラウド専用緊急アクセス アカウントを組織に付与することをお勧めします。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 アカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされる、緊急または「非常時」のシナリオに限定されます。そのようなアカウントは、緊急アクセスアカウントの推奨事項に従って作成する必要があります。
多要素認証を有効にし、その他のすべての高度な特権を持つシングル ユーザー非フェデレーション管理者アカウントを登録する
次のような Microsoft Entra 管理者の役割を永続的に割り当てられているすべての個人ユーザーには、サインイン時に Microsoft Entra 多要素認証を要求します: 全体管理者、特権ロール管理者、Exchange 管理者、および SharePoint 管理者。 「管理者に多要素認証を適用する」のガイダンスを使用し、それらのすべてのユーザーがhttps://aka.ms/mfasetupに登録されていることを確認します。 詳細については、「 Microsoft 365 でユーザーとデバイスのアクセスを保護する」ガイドの手順 2 と手順 3 を参照してください。
ステージ 2:よく使用される攻撃の緩和
ロードマップのステージ 2 は、資格情報の盗用や誤用に最もよく使われる攻撃手法の緩和に重点を置き、約 2 ~ 4 週間で実装することができます。 セキュリティで保護された特権アクセスのロードマップのこのステージには、次のアクションが含まれます。
一般的な準備
サービス、所有者、管理者のインベントリを実施する
"個人所有機器の持ち込み" と自宅からの作業のポリシーの増加や、ワイヤレス接続の拡大に伴い、ネットワークに接続するユーザーを監視することが非常に重要です。 セキュリティ監査によって、組織がサポートしていない、高いリスクを表すネットワーク上のデバイス、アプリケーション、およびプログラムを明らかにすることができます。 詳細については、 Azure のセキュリティ管理と監視の概要に関するページを参照してください。 インベントリ プロセスには、次のすべてのタスクを含めてください。
管理者ロールを持つユーザーと、それらのユーザーが管理できるサービスを識別します。
Microsoft Entra PIM を使用して、Microsoft Entra ID への管理者アクセス権を持つ組織内のユーザーを確認します。
Microsoft Entra ID で定義されている役割以外に、Microsoft 365 には、組織内のユーザーに割り当てることができる管理者の役割のセットが用意されています。 各管理者ロールは、一般的なビジネス機能にマップされ、組織内のユーザーに Microsoft 365 管理センターで特定のタスクを実行するアクセス許可を付与します。 Microsoft 365 管理センターを使用して、Microsoft Entra ID で管理されていないロール経由を含め、組織内で Microsoft 365 への管理者アクセス権を持つユーザーを確認します。 詳細については、「 Office 365 の Microsoft 365 管理者ロール と セキュリティプラクティスについて」を参照してください。
Azure、Intune、Dynamics 365 など、組織が利用しているサービスでインベントリを実行します。
管理目的で使用されているアカウントが次のようになっていることを確認します。
- 使用可能な電子メール アドレスが設定されている
- Microsoft Entra 多要素認証に登録しているか、オンプレミスで MFA を使用している
ユーザーに管理アクセス権を使用するビジネス上の正当な理由を尋ねます。
管理者アクセス権を必要としない個人ユーザーとサービスからそれを取り消します。
職場または学校アカウントに切り替える必要がある管理者ロールの Microsoft アカウントを特定する
最初のグローバル管理者が Microsoft Entra ID の使用を開始したときに既存の Microsoft アカウント資格情報を再利用する場合は、Microsoft アカウントを個々のクラウドベースのアカウントに置き換えます。
全体管理者アカウントのユーザー アカウントとメール転送を分離する
個人用電子メール アカウントはサイバー攻撃者によって定常的にフィッシングされるリスクがあるため、全体管理者アカウントで個人用電子メール アドレスを使用することは許容されません。 インターネット上のリスクを管理者特権から分離するために、管理者特権を持つユーザーごとに専用のアカウントを作成します。
- 全体管理者タスクを実行するユーザーには、必ず別のアカウントを作成します。
- 全体管理者が誤って電子メールを開いたり、管理者アカウントでプログラムを実行したりしないようにします。
- これらのアカウントが電子メールを作業用のメールボックスに転送することを確認します。
- 全体管理者 (およびその他の特権グループ) アカウントは、オンプレミスの Active Directory に結び付けられていないクラウド専用アカウントである必要があります。
管理者アカウントのパスワードが最近変更されたことを確認する
すべてのユーザーが過去 90 日間に少なくとも 1 回管理者アカウントにサインインし、パスワードを変更したことを確認します。 また、共有アカウントのパスワードが最近変更されたことを確認します。
パスワード ハッシュ同期をオンにする
Microsoft Entra Connect では、オンプレミスの Active Directory からクラウドベースの Microsoft Entra 組織に、ユーザーのパスワードのハッシュを同期します。 Active Directory フェデレーション サービス (AD FS) とのフェデレーションを使用する場合、パスワード ハッシュ同期をバックアップとして使用することができます。 このバックアップは、オンプレミスの Active Directory または AD FS サーバーが一時的に使用できなくなった場合に役立ちます。
パスワード ハッシュの同期により、ユーザーは、オンプレミスの Active Directory インスタンスにサインインするときに使うものと同じパスワードを使用してサービスにサインインできます。 パスワード ハッシュの同期を使用すると、Microsoft Entra ID 保護は、漏洩が確認されているパスワードとパスワードハッシュを比較することで、漏洩した認証情報を検出することができます。 詳細については、「 Microsoft Entra Connect Sync を使用してパスワード ハッシュ同期を実装する」を参照してください。
特権ロールに属するユーザーおよび露出しているユーザーに多要素認証を要求する
Microsoft Entra ID では、すべてのユーザーに多要素認証を要求することを推奨します。 アカウントが侵害された場合に大きな影響を与えるユーザー (財務責任者など) を考慮してください。 MFA により、パスワードの漏洩による攻撃のリスクが軽減されます。
以下を有効にします。
- 組織内のすべてのユーザーに対して条件付きアクセス ポリシーを使用する MFA。
Windows Hello for Business を使用する場合は、Windows Hello サインイン エクスペリエンスを使用して MFA 要件を満たすことができます。 詳細については、「 Windows Hello」を参照してください。
Microsoft Entra ID 保護
Microsoft Entra ID 保護は、アルゴリズムベースの監視およびレポート ツールで、組織の ID に影響する潜在的な脆弱性を検出します。 検出された不審なアクティビティへの自動対応を構成し、それらを解決するのに適切なアクションを実行できます。 詳細については、「 Microsoft Entra ID Protection」を参照してください。
Microsoft 365 のセキュリティ スコアを取得する (Microsoft 365 を使用している場合)
セキュリティ スコアは、使用している Microsoft 365 サービスの設定とアクティビティを参照して、Microsoft によって確立されたベースラインと比較します。 セキュリティ プラクティスにどの程度従っているかに基づいてスコアが算出されます。 Microsoft 365 Business Standard または Enterprise サブスクリプションの管理者アクセス許可を持つユーザーは、https://security.microsoft.com/securescore でセキュリティ スコアにアクセスできます。
Microsoft 365 のセキュリティおよびコンプライアンス ガイダンスを確認する (Microsoft 365 を使用している場合)
セキュリティとコンプライアンスの計画では、Office 365 を構成し、他の EMS 機能を有効にする Office 365 のお客様のアプローチの概要を説明します。 次に、 Microsoft 365 のデータとサービスへのアクセスを保護する 方法の手順 3 から 6、および Microsoft 365 のセキュリティとコンプライアンスを監視する方法のガイドを確認します。
Microsoft 365 のアクティビティ監視を構成する (Microsoft 365 を使用している場合)
Microsoft 365 を使用しているユーザーについて組織を監視し、管理者アカウントを持っているが、これらのポータルにサインインしないために Microsoft 365 へのアクセスを必要としない可能性があるユーザーを識別します。 詳細については、 Microsoft 365 管理センターのアクティビティ レポートを参照してください。
インシデント/緊急時対応計画の所有者を設定する
適切なインシデント対応機能を確立するには、多大な計画とリソースが必要です。 サイバー攻撃を継続的に監視し、インシデント処理の優先順位を設定する必要があります。 インシデント データを収集、分析、およびレポートしてリレーションシップを構築し、他の内部グループおよび計画責任者とのコミュニケーションを確立します。 詳細については、「 Microsoft Security Response Center」を参照してください。
まだ行っていない場合は、オンプレミスの特権管理者アカウントをセキュリティで保護する
Microsoft Entra 組織がオンプレミスの Active Directory と同期されている場合は、「セキュリティ特権アクセス ロードマップ」に従ってください。このステージには次のものが含まれます。
- オンプレミスの管理タスクを実行する必要があるユーザー用に個別の管理者アカウントを作成する
- Active Directory 管理者向けの特権アクセス ワークステーションを配置する
- ワークステーションとサーバーに対して一意のローカル管理者パスワードを作成する
Azure へのアクセスを管理する組織における追加の手順
サブスクリプションのインベントリを完了する
エンタープライズ ポータルと Azure Portal を使用して、運用アプリケーションをホストする組織内のサブスクリプションを識別します。
Microsoft アカウントを管理者ロールから削除する
Xbox、Live、Outlook などの他のプログラムの Microsoft アカウントは、組織のサブスクリプションの管理者アカウントとして使用しないでください。 すべての Microsoft アカウントから管理者状態を除去し、Microsoft Entra ID (たとえば、[email protected]) の職場または学校アカウントで置き換えます。 管理者の目的では、他のサービスではなく Microsoft Entra ID で認証されるアカウントを利用します。
Azure のアクティビティを監視する
Azure アクティビティ ログは、Azure でのサブスクリプション レベルのイベント履歴を提供します。 このログは、だれがどのリソースをいつ作成、更新、または削除したかについての情報を提供します。 詳細については、「 Azure サブスクリプションの重要なアクションに関する通知の監査と受信」を参照してください。
Microsoft Entra ID を介して他のクラウド アプリへのアクセスを管理する組織における追加の手順
条件付きアクセス ポリシーを構成する
オンプレミスのアプリケーションとクラウドでホストされるアプリケーションの条件付きアクセス ポリシーを準備します。 ユーザーが職場に参加しているデバイスがある場合は、 Microsoft Entra デバイス登録を使用してオンプレミスの条件付きアクセスを設定する方法の詳細を確認してください。
ステージ 3: 管理者アクティビティの制御
ステージ 3 は、ステージ 2 のリスク軽減の上に構築され、約 1 ~ 3 か月以内に実装する必要があります。 セキュリティで保護された特権アクセスのロードマップのこのステージには、次のコンポーネントが含まれます。
一般的な準備
管理者ロールに属するユーザーのアクセス レビューを実行する
クラウド サービス経由で特権アクセス権を得る企業ユーザーの増加は、管理されないアクセスにつながる可能性があります。 今日のユーザーは、Microsoft 365 の全体管理者や Azure サブスクリプション管理者になったり、VM や SaaS アプリの管理者アクセス権を持ったりすることができます。
組織では、すべての従業員が通常のビジネス トランザクションを特権のないユーザーとして処理し、必要な場合にのみ管理者権限を付与する必要があります。 アクセス レビューを完了して、管理者特権をアクティブ化する資格のあるユーザーを特定し、確認します。
推奨事項は次のとおりです。
- Microsoft Entra 管理者であるユーザーを確認し、オンデマンドの Just-In-Time 管理者アクセス権とロール ベースのセキュリティ制御を有効にします。
- 管理者特権でアクセスする明確な正当性を持たないユーザーを別のロールに変換します (資格のあるロールがない場合は、削除します)。
すべてのユーザーについて、より強力な認証のロールアウトを継続する
高度に露出されたユーザーには、Microsoft Entra 多要素認証や Windows Hello などの最新の強力な認証を使用するように要求します。 高度に露出されたユーザーの例を次に示します。
- 経営幹部レベルの役員
- 高レベルのマネージャー
- IT およびセキュリティの重要な担当者
Microsoft Entra ID の管理に専用のワークステーションを使用する
攻撃者は、データの整合性と信頼性を低下させることができるように、特権アカウントをターゲットにしようとすることがあります。 多くの場合、プログラム ロジックを変更するか、または管理者が資格情報を入力するのを盗み取る悪意のあるコードが使用されます。 Privileged Access Workstation (PAW) には、機密性の高いタスクに専用のオペレーティング システムが用意されており、インターネット上の攻撃や脅威ベクトルから保護されます。 日常的に使用するワークステーションとデバイスからこのような機密性の高いタスクとアカウントを分離することで、以下に対する保護が強化されます。
- フィッシング攻撃
- アプリケーションとオペレーティング システムの脆弱性
- 偽装攻撃
- キーボード操作のログ記録、Pass-the-Hash、Pass-The-Ticket などの資格情報の盗用攻撃
特権アクセス ワークステーションを配置することで、強化されていないデスクトップ環境で管理者が資格情報を入力するリスクを軽減できます。 詳細については、「 特権アクセス ワークステーション」を参照してください。
インシデントの処理に関する米国国立標準技術研究所の推奨事項を確認する
米国国立標準技術研究所 (NIST) は、特にインシデント関連のデータの分析と各インシデントへの適切な対応の決定について、インシデント処理のガイドラインを提供しています。 詳細については、「 (NIST) コンピューター セキュリティ インシデント処理ガイド (SP 800-61、リビジョン 2)」を参照してください。
JIT に Privileged Identity Management (PIM) を実装して管理者ロールを追加する
Microsoft Entra ID には、 Microsoft Entra Privileged Identity Management 機能を 使用します。 特権ロールの期間限定アクティブ化は以下を有効にすることで動作します。
特定のタスクを実行する管理者特権をアクティブにする
アクティブ化プロセス中に MFA を適用する
アラートを使用して帯域外の変更について管理者に通知する
ユーザーが自分の特権アクセスをあらかじめ構成された時間保持できるようにする
セキュリティ管理者に次のことを許可します。
- すべての特権 ID を検出する
- 監査レポートを表示する
- 管理者特権をアクティブ化する資格があるすべてのユーザーを識別するアクセス レビューを作成する
既に Microsoft Entra Privileged Identity Management を使用している場合は、必要に応じて期限付きの特権の期間 (たとえば、メンテナンス期間) を調整します。
パスワードベースのサインイン プロトコルへの露出を確認する (Exchange Online を使用している場合)
資格情報が侵害された場合に、組織にとって致命的になる可能性のあるすべてのユーザーを識別することをお勧めします。 これらのユーザーには、強力な認証要件を設定し、Microsoft Entra 条件付きアクセスを使用して、ユーザー名とパスワードを使用して電子メールにサインインしないようにします。 条件付きアクセスを使用してレガシ認証をブロックしたり、Exchange Online を介して基本認証をブロックしたりできます。
Microsoft 365 ロールのロール レビュー アセスメントを実行する (Microsoft 365 を使用している場合)
すべての管理者ユーザーが適切なロールに属しているどうかを評価します (このアセスメントに基づいて削除または再割り当てします)。
Microsoft 365 で使用されているセキュリティ インシデント管理アプローチを確認し、自分の組織と比較する
このレポートは、 Microsoft 365 のセキュリティ インシデント管理からダウンロードできます。
オンプレミスの特権管理者アカウントのセキュリティ保護に進む
Microsoft Entra ID がオンプレミスの Active Directory に接続されている場合は、「 セキュリティ特権アクセス ロードマップ: ステージ 2」のガイダンスに従ってください。 このステージでは、次のことを行います。
- すべての管理者向けに特権アクセス ワークステーションを配置する
- Require MFA (MFA が必須)
- ドメイン コントローラーのメンテナンスに十分な管理者だけを使用して、ドメインの攻撃対象領域を減らす
- 攻撃検出のための Advanced Threat Analytics のデプロイ
Azure へのアクセスを管理する組織における追加の手順
統合型の監視を確立する
- Azure サブスクリプション全体のセキュリティ監視とポリシー管理を統合します
- 他の方法では見過ごされてしまう可能性のある脅威を検出します
- 幅広いセキュリティ ソリューションと連携します
ホストされる仮想マシン内で、特権アカウントのインベントリを行う
通常は、すべての Azure サブスクリプションまたはリソースへの無制限のアクセス許可をユーザーに付与する必要はありません。 Microsoft Entra 管理者ロールを使用して、ユーザーが自分のジョブを実行するために必要なアクセス許可のみを付与します。 Microsoft Entra 管理者ロールを使用して、ある管理者がサブスクリプションで VM のみを管理できるようにし、他の管理者が同じサブスクリプション内で SQL データベースを管理できるようにすることができます。 詳細については、「 Azure ロールベースのアクセス制御とは」を参照してください。
Microsoft Entra 管理者ロールに PIM を実装する
Microsoft Entra 管理者ロールと共に Privileged Identity Management を使用して、Azure リソースへのアクセスを管理、制御、監視します。 PIM を使用した保護では、特権の露出時間を短縮し、レポートとアラートを通じて使用状況の可視性を高めます。 詳細については、「 Microsoft Entra Privileged Identity Management とは」を参照してください。
Azure ログ統合を使用して、関連する Azure ログを SIEM システムに送信する
Azure ログ統合を使用すると、未加工のログを、Azure リソースから組織の既存のセキュリティ情報イベント管理 (SIEM) システムに統合できます。 Azure ログ統合 では、Windows イベント ビューアー ログから Windows イベントが収集され、Azure リソースは次の場所から収集されます。
- Azure アクティビティ ログ
- Microsoft Defender for Cloud アラート
- Azure リソース ログ
Microsoft Entra ID を介して他のクラウド アプリへのアクセスを管理する組織における追加の手順
接続されているアプリのユーザー プロビジョニングを実装する
Microsoft Entra ID を使用すると、Dropbox、Salesforce、ServiceNow などのクラウド アプリでのユーザー ID の作成と管理を自動化できます。 詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。
Information Protection を統合する
Microsoft Defender for Cloud Apps を使用すると、ファイルを調査し、Azure Information Protection 分類ラベルに基づいてポリシーを設定して、ご自分のクラウド データの可視性と制御を向上させることができます。 クラウド内のファイルをスキャンして分類し、Azure Information Protection ラベルを適用します。 詳細については、 Azure Information Protection の統合に関するページを参照してください。
条件付きアクセスを構成する
SaaS アプリと Microsoft Entra 接続アプリのグループ、場所、アプリケーションの秘密度に基づいて条件付きアクセスを構成します。
接続されているクラウド アプリのアクティビティを監視する
Microsoft Defender for Cloud Apps を使用して、接続されているアプリケーションでもユーザー アクセスが確実に保護されるようにすることをお勧めします。 この機能により、クラウド アプリへのエンタープライズ アクセスと管理者アカウントが保護され、以下が可能になります。
- 可視性と制御をクラウド アプリに拡張する
- アクセス、アクティビティ、データ共有のポリシーを作成する
- 危険なアクティビティ、異常な動作、脅威を自動的に識別する
- データの漏えいを防ぐ
- リスクを最小限に抑え、脅威の防止とポリシーの適用を自動化する
Defender for Cloud Apps SIEM エージェントは、Defender for Cloud Apps を SIEM サーバーと統合して、Microsoft 365 のアラートとアクティビティの一元的な監視を可能にします。 お使いのサーバー上で稼働し、Defender for Cloud App からのアラートとアクティビティをプルして、SIEM サーバーにストリーム送信します。 詳細については、 SIEM 統合を参照してください。
ステージ 4: 防御の構築を継続する
ロードマップのステージ 4 は、6 か月以上で実装する必要があります。 ロードマップを完成させて、現在知られている潜在的な攻撃からの特権アクセスの保護を強化します。 将来のセキュリティ上の脅威については、セキュリティを継続的なプロセスとしてとらえ、お使いの環境をターゲットとする敵対者のコストを上げ、成功率を下げるようにすることをお勧めします。
ビジネス資産のセキュリティ保証を確立するには、特権アクセスを保護することが重要です。 ただし、これは継続的なセキュリティ保証を提供する完全なセキュリティ プログラムの一部である必要があります。 このプログラムには、次のような要素が含まれている必要があります。
- ポリシー
- 操作
- 情報セキュリティ
- サーバー
- アプリケーション
- コンピューター
- デバイス
- クラウド ファブリック
特権アクセス アカウントを管理する際に、次の方法をお勧めします。
- 管理者が日常業務を特権のないユーザーとして行っていることを確認します
- 必要な場合にのみ特権アクセスを付与し、その後削除します (Just-In-Time)
- 特権アカウントに関連する監査アクティビティ ログを保持します
完全なセキュリティ ロードマップの構築の詳細については、 Microsoft クラウド IT アーキテクチャ リソースに関するページを参照してください。 ロードマップの一部を実装するのに役立つ Microsoft サービスと連携するには、Microsoft の担当者に問い合わせるか、 企業を保護するための重要なサイバー防御の構築に関するページを参照してください。
セキュリティで保護された特権アクセスのロードマップのこの最終的な継続ステージには、次のコンポーネントが含まれます。
一般的な準備
Microsoft Entra ID で管理者ロールを確認する
現在の組み込み Microsoft Entra 管理者ロールが最新の状態であるかどうかを判断し、ユーザーが必要なロールにのみ属していることを確認します。 Microsoft Entra ID では、各種役割ごとに別々の管理者を割り当てることができます。 詳細については、「 Microsoft Entra の組み込みロール」を参照してください。
Microsoft Entra 参加済みデバイスの管理権を持つユーザーを確認する
詳細については、「 Microsoft Entra ハイブリッド参加済みデバイスを構成する方法」を参照してください。
組み込みの Microsoft 365 管理者ロールのメンバーを確認する
Microsoft 365 を使用していない場合は、この手順をスキップします。
インシデント対応計画を検証する
計画を強化するために、計画が想定どおりに動作していることを定期的に検証することをお勧めします。
- 既存のロードマップを実行して何が欠落していたかを確認する
- 事後の分析に基づいて、既存のプラクティスを改訂するか新しいプラクティスを定義する
- 更新したインシデント対応計画とプラクティスが、組織全体に配布されていることを確認する
Azure へのアクセスを管理する組織における追加の手順
Azure サブスクリプションの所有権を別のアカウントに譲渡する必要があるかどうかを判断します。
"非常時": 緊急時の対処方法
主要な管理者とセキュリティ責任者に、インシデントに関する情報を通知します。
攻撃プレイブックをレビューします。
"非常時" アカウントのユーザー名とパスワードの組み合わせにアクセスして Microsoft Entra ID にサインインします。
Azure サポート リクエストを開いて、Microsoft からサポートを受けます。
Microsoft Entra サインイン レポートを確認します。 イベントの発生からそのイベントがレポートに含まれるまでに時間がかかる場合があります。
ハイブリッド環境で、オンプレミスのインフラストラクチャがフェデレーションされており、AD FS サーバーを利用できない場合、フェデレーション認証からパスワード ハッシュ同期の使用に一時的に切り替えることができます。この切り替えにより、AD FS サーバーが使用可能になるまで、ドメイン フェデレーションは管理された認証に戻ります。
特権アカウントの電子メールを監視します。
潜在的なフォレンジック調査と法的調査のために関連ログのバックアップを保存してください。
Microsoft Office 365 によるセキュリティ インシデントの処理方法の詳細については、「 Microsoft Office 365 のセキュリティ インシデント管理」を参照してください。
よくあるご質問: 特権アクセスのセキュリティ保護に関する回答
Q: セキュリティで保護されたアクセス コンポーネントをまだ実装していない場合はどうすればよいですか?
回答: 少なくとも 2 つの緊急アカウントを定義し、MFA を特権管理者アカウントに割り当て、ユーザー アカウントをグローバル管理者アカウントと分けて管理します。
Q: 侵害後、最初に対処する必要がある最も大きな問題は何ですか?
答える: 露出度の高い個人に対して、最も強力な認証が必要であることを確認してください。
Q: 特権管理者が非アクティブ化された場合はどうなりますか?
答える: 常に最新の状態に保たれるグローバル管理者アカウントを作成します。
Q: グローバル管理者が 1 人しか残っていなくても、アクセスできない場合はどうなりますか?
答える: すぐに特権アクセスを得るために、お使いのブレイクグラス アカウントのいずれかを使用します。
Q: 組織内の管理者を保護するにはどうすればよいですか?
答える: 管理者は常に、標準の "特権のない" ユーザーとして日常業務を行います。
Q: Microsoft Entra ID 内に管理者アカウントを作成するためのベスト プラクティスは何ですか?
答える: 特定の管理者タスクの特権アクセスを予約します。
Q: 永続的な管理者アクセスを減らすためのツールは何ですか?
回答: Privileged Identity Management (PIM) と Microsoft Entra 管理者ロール。
Q: 管理者アカウントと Microsoft Entra ID の同期に関する Microsoft の立場は何ですか?
答える: 階層 0 の管理者アカウントは、オンプレミスの AD アカウントにのみ使用されます。 通常、このようなアカウントは、クラウドの Microsoft Entra ID と同期されません。 階層 0 の管理者アカウントには、オンプレミスの Active Directory フォレスト、ドメイン、ドメイン コントローラー、および資産を直接的または間接的に管理するアカウント、グループ、その他の資産が含まれます。
Q: 管理者がポータルでランダムな管理者アクセスを割り当てないようにするにはどうすればよいですか?
答える: すべてのユーザーとほとんどの管理者に対して特権のないアカウントを使用します。 まず、組織のフットプリントを作成して、どの少数の管理者に特権を与えるかを決定します。 そして、新しく作成した管理ユーザーを監視します。
次のステップ
製品セキュリティのための Microsoft セキュリティ センター – Microsoft クラウド製品およびサービスのセキュリティ機能
Microsoft コンプライアンス オファリング – クラウド サービスに対する Microsoft の包括的なコンプライアンス オファリングセット
リスク評価を行う方法に関するガイダンス - Microsoft クラウド サービスのセキュリティとコンプライアンスの要件を管理する
その他の Microsoft オンライン サービス
Microsoft Intune セキュリティ – Intune は、モバイル デバイス管理、モバイル アプリケーション管理、およびクラウドからの PC 管理機能を提供します。
Microsoft Dynamics 365 セキュリティ – Dynamics 365 は、顧客関係管理 (CRM) とエンタープライズ リソースプランニング (ERP) 機能を統合する Microsoft クラウドベースのソリューションです。