Azure Active Directory の ID セキュリティ スコアとは

Azure AD テナントはどの程度セキュリティ保護されていますか。 この質問にどう答えていいかわからない場合、この記事で、ID セキュリティ スコアが、ID セキュリティ体制を監視したり強化したりするうえでどのように役立つかを確認できます。

ID セキュリティ スコアとは

ID セキュリティ スコアは、セキュリティに関する Microsoft のベスト プラクティスの推奨事項にどれだけ適合しているかを示す指標として機能するパーセンテージです。 ID セキュリティ スコアの各改善アクションが、ご自身の固有の構成に合わせて調整されています。

Secure score

このスコアは、次のために役立ちます。

  • ID セキュリティ体制を客観的に測定する
  • ID セキュリティの強化を計画する
  • 強化の成功を確認する

このスコアや関連情報には、ID セキュリティ スコア ダッシュボードでアクセスできます。 このダッシュボードには、次の内容が表示されます。

  • ご自身の ID セキュリティ スコア
  • 比較グラフ。ご自身の ID セキュリティ スコアが、同じ業界および同じ規模の他のテナントのスコアと比較されています
  • 傾向グラフ。一定期間にわたる ID セキュリティ スコアの変化が示されています
  • 考えられる改善点の一覧

強化アクションに従うことによって、次のことが可能になります。

  • セキュリティ体制を強化し、スコアを改善する
  • お使いの ID への投資の一環としてご自身の組織が使用できる機能を活用する

セキュリティ スコアを取得する方法

ID セキュリティ スコアは、Azure AD のすべてのエディションで使用できます。 組織は、Azure portal>[Azure Active Directory]>[セキュリティ]>[ID セキュリティ スコア] から ID セキュリティ スコアにアクセスできます。

それはどのように機能しますか?

48 時間ごとに、Azure はセキュリティ構成を調べ、その設定を推奨されるベスト プラクティスと比較します。 この評価の結果に基づいて、ご自身のディレクトリの新しいスコアが計算されます。 ご自身のセキュリティ構成がベスト プラクティス ガイダンスに完全には適合していない、また、強化アクションに部分的にしか従っていない可能性があります。 これらのシナリオで獲得できるのは、コントロールの最大スコアの一部のみになります。

各推奨事項は、Azure AD の構成に基づいて測定されます。 ベスト プラクティスの推奨事項を有効にするためにサードパーティ製品を使用している場合は、強化アクションの設定でこの構成を示すことができます。 推奨事項が実際の環境に適用されない場合は、それらの推奨事項が無視されるように設定するオプションも使用できます。 無視された推奨事項は、スコアの計算には使用されません。

Ignore or mark action as covered by third party

  • 対処するには - 改善アクションが必要であると認識し、将来のどこかの時点で対処する予定です。 この状態は、部分的に検出されたが完全には完了していないアクションにも適用されます。
  • 計画済み - 改善アクションを完了する具体的な計画が実施されています。
  • 受け入れられるリスク - セキュリティは常に使いやすさとバランスを取る必要があります。すべての推奨事項が環境に合うとは限りません。 その場合は、リスクまたは残りのリスクを受け入れ、改善アクションを実施しない選択を行います。 ポイントは指定されませんが、アクションは改善アクションの一覧に表示されなくなりました。 このアクションは履歴で表示したり、いつでも元に戻すことができます。
  • サード パーティを通じて解決され代替の軽減策によって解決済み - 改善アクションは、サードパーティのアプリケーションまたはソフトウェア、または内部ツールによって既に対処されています。 アクションの価値があるポイントが得られるので、スコアは全体的なセキュリティ態勢をよりよく反映します。 サード パーティまたは内部ツールでコントロールがカバーされなくなった場合は、別の状態を選択できます。 改善アクションがこれらの状態のいずれかとしてマークされている場合、Microsoft は実装の完全性を可視化できない点を忘れないでください。

それはどのように役立つか

セキュリティ スコアは、次のために役立ちます。

  • ID セキュリティ体制を客観的に測定する
  • ID セキュリティの強化を計画する
  • 強化の成功を確認する

知っておくべきこと

ID セキュリティ スコアは誰が使用できますか?

ID セキュリティ スコアにアクセスするには、Azure Active Directoryで次のいずれかのロールを割り当てる必要があります。

ロールの読み取りと書き込み

読み取りおよび書き込みアクセス権を使用すると、変更を加え、ID セキュリティ スコアと直接やり取りできます。

  • 全体管理者
  • セキュリティ管理者
  • Exchange 管理者
  • SharePoint 管理者

読み取り専用ロール

読み取り専用アクセスでは、改善アクションの状態を編集できません。

  • ヘルプデスク管理者
  • ユーザー管理者
  • サービス サポート管理者
  • セキュリティ閲覧者
  • セキュリティ オペレーター
  • グローバル閲覧者

コントロールのスコアはどのように付けられますか?

コントロールのスコアは 2 つの方法で付けられます。 1 つはバイナリ形式でスコア付けする方法です。この場合、機能または設定が Microsoft の推奨事項に基づいて構成されていると、100% のスコアを獲得できます。 もう 1 つの方法では、全体の構成の割合としてスコアが計算されます。 たとえば、改善の推奨事項に、すべてのユーザーを MFA で保護すれば最大 10.71% を獲得できることが記載されている場合、合計ユーザー数 100 人のうち 5 人しか保護されていないと、獲得できるのは部分スコアの約 0.53% です (5 (保護されたユーザーの数) / 100 (合計ユーザー数) × 10.71% (最大ポイント) = 0.53% (部分スコア))。

[スコア付けなし] とはどういう意味ですか?

[スコア付けなし] というラベルが付いたアクションは、組織で実行できるが、ツールに (まだ) 組み込まれていないためにスコア付けされないアクションです。 そのため、引き続きセキュリティを強化できますが、現時点でこれらのアクションの実行には意味がありません。

このスコアはどの程度の頻度で更新されますか?

このスコアは、1 日に 1 回 (太平洋標準時午前 1:00 頃) 計算されます。 測定されたアクションに変更を加えた場合、このスコアは翌日に自動的に更新されます。 変更がスコアに反映されるまでに、最大 48 時間かかります。

スコアが変更されました。 その理由を見つけるにはどうしたらよいですか?

Microsoft 365 Defender ポータルに移動します。そこには Microsoft セキュリティ スコアの完全版があります。 ご自身のセキュリティ スコアに対するすべての変更の詳細を、履歴タブで確認することができます。

セキュリティ スコアは侵害されるリスクを測定しますか?

手短に言えば、しません。 セキュリティ スコアは、侵害される可能性の絶対的な尺度を表していません。 これは、侵害されるリスクを相殺できる機能をどの程度採用しているかを表しています。 侵害されないようにすることを保証できるサービスは存在せず、セキュリティ スコアをどのような保証としても解釈すべきではありません。

このスコアをどのように解釈したらよいですか?

推奨されるセキュリティ機能を構成したり、セキュリティ関連のタスク (レポートの参照など) を実行したりするとスコアが向上します。 一部のアクションは、部分的な完了としてスコア付けされます (ユーザーのための多要素認証 (MFA) の有効化など)。 セキュリティ スコアは、使用している Microsoft セキュリティ サービスを直接表しています。 セキュリティは、使いやすさとのバランスを取る必要があることに注意してください。 すべてのセキュリティ コントロールには、ユーザーに影響するコンポーネントがあります。 ユーザーへの影響が少ないコントロールは、ユーザーの日常操作にほとんど、またはまったく影響しません。

スコアの履歴を確認するには、Microsoft 365 Defender ポータルに移動してください。全体的な Microsoft セキュリティ スコアを調査できます。 全体的なセキュリティ スコアへの変更を確認するには、[履歴の表示] をクリックします。 特定の日付を選択すると、その日どのコントロールが有効になっていて、コントロールごとにどれだけのポイントを得たかを確認できます。

ID セキュリティ スコアは Microsoft 365 のセキュリティ スコアにどのように関連していますか?

Microsoft のセキュリティ スコアには、次の 5 つのコントロールとスコア カテゴリがあります。

  • ID
  • Data
  • デバイス
  • インフラストラクチャ
  • アプリケーション

ID セキュリティ スコアは、Microsoft のセキュリティ スコアの ID 部分を表しています。 この重複は、ID セキュリティ スコアと Microsoft の ID スコアに関する推奨事項が同じであることを意味します。

次のステップ

Microsoft セキュリティ スコアの詳細を確認する