Microsoft Entra Permissions Management とは

  • [アーティクル]

Microsoft Entra Permissions Management は、すべての ID に割り当てられたアクセス許可を包括的に可視化するクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションです。 たとえば、Microsoft Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) のマルチクラウド インフラストラクチャ全体で、過剰な特権が与えられたワークロードとユーザー ID、アクション、リソースなどが対象となります。

Permissions Management では、未使用および過剰なアクセス許可を検出し、自動的に適切なサイズに変更し、継続的に監視します。

組織は、アクセス許可の管理をゼロ トラスト セキュリティの中核と見なし、インフラストラクチャ全体で最小特権アクセスを実装する必要があります。

  • 組織では、マルチクラウド戦略の導入が進められており、アクセス許可を可視化できないことや、アクセス許可の管理がますます複雑になることに悪戦苦闘しています。
  • ID とクラウド サービスの増加により、リスクが高いクラウド アクセス許可の数も飛躍的に増え、その結果、組織の攻撃対象領域も拡大します。
  • IT セキュリティ チームは、拡大するクラウド資産へのアクセスをセキュリティで保護し、コンプライアンスに準拠させるために、負担が増大しています。
  • クラウド プロバイダーのネイティブ アクセス管理モデルの不整合により、セキュリティと ID でアクセス許可を管理し、環境全体で最小特権アクセス ポリシーを実施することがますます複雑になっています。

Diagram of Microsoft Entra Permissions Management use cases.

主なユース ケース

Permissions Management により、ユーザーは、3 つの主要ユース ケースである、検出、修復、監視に対処できます。

Permissions Management の設計方法を考慮すると、組織全体のアクセス許可に関する分析情報を得るために、以下の各フェーズを "ステップ実行" することをお勧めします。 これは、一般的に見つかっていないものに対してアクションを起こすことはできず、同様に、修復されていないものを継続的に評価することもできないからです。

Permissions Management use case diagram showing the discover, remediate, and monitor phases.

発見

ユーザーは、付与されているアクセス許可と使用されているアクセス許可の間のギャップを評価することで、アクセス許可のリスクを評価できます。

  • クラウド間のアクセス許可の検出: AWS、Azure、GCP という主要なクラウド プラットフォームのための詳細かつ正規化されたメトリック。
  • アクセス許可クリープ インデックス (PCI): ID とリソース全体の未使用または過剰なアクセス許可の数に関するリスク レベルを定期的に評価する集計メトリック。 ID に付与されているアクセス許可に基づいて、それらの ID が原因でどの程度の損害が発生するか測定されます。
  • アクセス許可の使用状況分析: すべての ID、アクション、リソースに関するアクセス許可のリスクの多次元ビュー。

修復

ユーザーは、使用状況に基づいてアクセス許可を適切なサイズにすること、オンデマンドで新しいアクセス許可を付与すること、クラウド リソースへのジャストインタイム アクセスを自動化することができます。

  • 過去 90 日間使用されていないアクセス許可の自動削除。
  • アクセス許可オンデマンド: 一定期間だけ、または必要に応じて、アクセス許可オンデマンドを ID に付与します。

Monitor

顧客は、機械学習利用 (ML 利用) アラートを使用して異常なアクティビティを検出して、詳細なフォレンジック レポートを生成できます。

  • ML 利用の異常検出。
  • 迅速な調査と修復をサポートするための、ID、アクション、リソースに関する状況に応じたフォレンジック レポート。

Permissions Management では、最小特権アクセスの原則が補強され、ゼロ トラスト セキュリティ戦略が深まります。これにより、ユーザーは以下を行うことができます。

  • 包括的な可視化: どの ID が、いつ、どこで、何を行っているか検出できます。
  • 最小特権アクセスの自動化: アクセス分析を使用して、ID に適切なタイミングで適切なアクセス許可が付与されているか確認できます。
  • サービスとしてのインフラストラクチャ (IaaS) プラットフォーム間でのアクセス ポリシーの統合: クラウド インフラストラクチャ全体で一貫したセキュリティ ポリシーを実施できます。

組織が検出、修復、監視の各フェーズを調査して実装したら、最新のゼロトラスト セキュリティ戦略の主要な柱の 1 つの確立が完了します。

次のステップ