特権アクセスの一部としてデバイスをセキュリティで保護する
このガイダンスは、完全な特権アクセス戦略に含まれており、特権アクセスの展開の一部として実装されます
特権アクセスのためのエンド ツー エンドのゼロ トラスト セキュリティでは、セッションの他のセキュリティ保証を構築するために、デバイス セキュリティの強力な基盤が必要です。 セキュリティ保証はセッションで強化することができますが、これらは元のデバイスのセキュリティ保証がどの程度強力であるかによって常に制限されます。 このデバイスを制御している攻撃者は、ユーザーを偽装したり、資格情報を盗んで後から偽装したりする可能性があります。 このリスクにより、アカウント、ジャンプ サーバーのような中継局、リソース自体などにおける他の保証が損なわれます。 詳細については、「クリーン ソースの原則」を参照してください
この記事では、ライフサイクル全体にわたって、機密性の高いユーザーにセキュリティで保護されたワークステーションを提供するためのセキュリティ コントロールの概要を示します。
このソリューションは、Windows 10 オペレーティング システムの主要なセキュリティ機能、Microsoft Defender for Endpoint、Microsoft Entra ID、Microsoft Intune などに依存しています。
セキュリティで保護されたワークステーションからメリットが得られる人
すべてのユーザー、およびオペレーターには、セキュリティで保護されたワークステーションを使用するメリットがあります。 PC またはデバイスを侵害する攻撃者は、それを使用するすべてのアカウントの資格情報またはトークンを偽装したり、盗んだりする可能性があります。この場合、他のセキュリティ保証の多く、またはそのすべてが損なわれます。 このため、管理者または機密性の高いアカウントでは、多くの場合、攻撃者は特権をドメイン、グローバル、またはエンタープライズ管理者の特権までエスカレートさせ、組織内のアクセス権を増やすことができます。
セキュリティ レベルの詳細と、どのレベルにどのユーザーを割り当てればよいかについては、「特権アクセスのセキュリティ レベル 」を参照してください
デバイス セキュリティの制御
セキュリティで保護されたワークステーションを正常にデプロイするには、デバイス、アカウント、中継局、アプリケーション インターフェイスに適用されるセキュリティ ポリシーといったエンド ツー エンドのアプローチにそれを含める必要があります。 完全な特権アクセス セキュリティ戦略を実践するには、スタックのすべての要素に対処する必要があります。
次の表には、さまざまなデバイス レベルのセキュリティ コントロールが示されています。
| プロファイル | エンタープライズ | 専用イメージ | 特権付き |
|---|---|---|---|
| Microsoft Endpoint Manager (MEM) の管理 | はい | イエス | はい |
| BYOD デバイスの登録の拒否 | いいえ | イエス | はい |
| MEM セキュリティ ベースライン適用 | はい | イエス | はい |
| Microsoft Defender for Endpoint | はい* | はい | はい |
| Autopilot による個人デバイスの結合 | はい* | 有効* | いいえ |
| URL を承認済みリストに制限 | ほとんどの場合、許可 | ほとんどの場合、許可 | 既定では拒否 |
| 管理者権限の削除 | はい | はい | |
| アプリケーション実行制御 (AppLocker) | 監査 -> 適用 | はい | |
| MEM によってのみアプリケーションをインストール | はい | はい |
Note
このソリューションは、新しいハードウェアや既存のハードウェアを使用してデプロイできます。また、独自のデバイス (BYOD) シナリオを使用することもできます。
すべてのレベルにおいて、セキュリティ更新プログラムに対する適切なセキュリティ メンテナンス検疫が Intune ポリシーによって適用されます。 デバイスのセキュリティ レベルを向上させた場合、セキュリティでは主に、ユーザーの生産性を可能な限り維持しながら、攻撃者が悪用可能な攻撃面を減らすことができるという違いが発生します。 エンタープライズおよび特殊なレベルのデバイスは、生産性の高いアプリケーションや一般的な Web 閲覧に対応していますが、特権アクセス ワークステーションは対応していません。 エンタープライズ ユーザーは独自のアプリケーションをインストールすることができますが、特殊なユーザーはできません (ワークステーションのローカル管理者ではありません)。
Note
ここでの Web の閲覧は、リスクの高いアクティビティになる可能性がある任意の Web サイトへの一般的なアクセスを指しています。 このような閲覧は、サービス (Azure、Microsoft 365、その他のクラウド プロバイダー、SaaS アプリケーションなど) 用の数少ない既知の管理用 Web サイトにアクセスするために Web ブラウザーを使用することとは、明らかに違います。
信頼のハードウェア ルート
セキュリティで保護されたワークステーションに不可欠なのは、"信頼のルート" と呼ばれる信頼されたワークステーションを使用するサプライ チェーン ソリューションです。 信頼のルートのハードウェアの選択で検討する必要があるテクノロジとして、最新のラップトップに搭載されている次のテクノロジが含まれます。
- トラステッド プラットフォーム モジュール (TPM) 2.0
- BitLocker ドライブ暗号化
- UEFI セキュア ブート
- Windows Update 経由で配布されたドライバーとファームウェア
- 仮想化および HVCI 対応
- ドライバーとアプリの HVCI 対応
- Windows Hello
- DMA I/O 保護
- System Guard
- モダン スタンバイ
このソリューションでは、Microsoft Autopilot テクノロジと、技術面の最新の要件を満たすハードウェアを使用して、信頼のルートがデプロイされます。 ワークステーションをセキュリティで保護するため、Autopilot では Microsoft OEM 用に最適化された Windows 10 デバイスが利用できます。 これらのデバイスは、製造元から既知の正常な状態で提供されます。 Autopilot では、セキュリティで保護されていない可能性があるデバイスを再イメージ化する代わりに、Windows 10 デバイスを "ビジネスに即応する" 状態に変換できます。 設定とポリシーを適用し、アプリをインストールし、Windows 10 のエディションも変更します。
デバイスのロールとプロファイル
このガイダンスでは、Windows 10 を強化し、デバイスまたはユーザーの侵害に関連するリスクを軽減する方法を示します。 最新のハードウェア テクノロジと信頼のルート デバイスを活用するため、ソリューションではデバイス正常性構成証明を使用します。 この機能は、デバイスの初期ブート中に攻撃者が永続性を維持できないようにするために用意されています。 セキュリティ機能とリスクの管理に役立つポリシーとテクノロジを使用します。
- エンタープライズ デバイス - この最初の管理役割は、ホーム ユーザー、小規模ビジネス ユーザー、一般的な開発者、組織の最小限のセキュリティ レベルを上げる必要がある会社に適しています。 このプロファイルを使用すると、ユーザーは任意のアプリケーションを実行したり、Web サイトを閲覧したりできますが、マルウェア対策と Microsoft Defender For endpoint のようなエンドポイントでの検出と応答 (EDR) ソリューションが必要になります。 セキュリティ体制を高めるポリシーベースのアプローチが採用されています。 これにより、メールや Web の閲覧などの生産性向上ツールも使用しつつ、顧客データを使用する安全な手段が提供されます。 監査ポリシーと Intune により、エンタープライズ ワークステーションでユーザーの動作やプロファイルの使用状況を監視することができます。
特権アクセスの展開ガイダンスのエンタープライズ セキュリティ プロファイルでは、JSON ファイルを使用して、Windows 10 および提供された JSON ファイルでこれを構成します。
- 特化されたデバイス - ワークステーションを自己管理する機能を削除し、実行可能なアプリケーションを、承認された管理者によってインストールされたアプリケーション (プログラム ファイル内のアプリケーションおよびユーザー プロファイルの場所にある事前承認済みのアプリケーション) のみに制限することで、会社で使用する場合の効率を劇的に高めることができます。 アプリケーションをインストールする機能を削除した場合、実装が正しくないと生産性に影響を与える可能性があるため、ユーザーのニーズに応じて迅速にインストールできる Microsoft ストア アプリケーションまたは企業管理アプリケーションへのアクセス権を提供していることを確認してください。 特殊化されたレベルのデバイスをどのユーザーに構成するかについては、「特権アクセスのセキュリティ レベル」を参照してください
- 特殊なセキュリティ ユーザーにはより制御された環境が必要です。その一方でメールや Web の閲覧などのアクティビティを引き続き使い勝手良く実行できるようにする必要があります。 これらのユーザーには、Cookie、お気に入り、その他のショートカットなどの機能が必要ですが、デバイスのオペレーティング システムの変更やデバッグ、ドライバーのインストールなどの機能は必要ありません。
特権アクセスの展開ガイダンスの特殊なセキュリティ プロファイルでは、JSON ファイルを使用して、Windows 10 および提供された JSON ファイルでこれを構成します。
- 特権アクセス ワークステーション (PAW) - これは、そのアカウントが侵害された場合に、組織に甚大または深刻な影響を与える可能性がある、非常に機密性の高い役割向けに設計された優れたセキュリティ構成です。 PAW 構成には、ローカル管理アクセスおよび生産性ツールを制限するセキュリティ コントロールとポリシーが含まれているため、機密性の高いジョブ タスクの実行に必要な最重要なものだけに攻撃面を減らすことができます。
これにより、電子メールや Web 閲覧といった、フィッシング攻撃の最も一般的な要素がブロックされるため、攻撃者が PAW デバイスを侵害することが困難になります。
これらのユーザーの生産性を高めるには、生産性の高いアプリケーションと Web 閲覧用に、個別のアカウントとワークステーションを用意する必要があります。 不便である一方で、そのアカウントが組織内のほとんどまたはすべてのリソースに損害を与える可能性があるユーザーを保護するために必要なコントロールです。
- 特権ワークステーションは、アプリケーションを明確に制御する機能とアプリケーション保護を備えた、強化されたワークステーションです。 このワークステーションでは、資格情報の保護、デバイスの保護、アプリケーションの保護、悪用からの保護などを利用することで、ホストが悪質な行動から保護されます。 すべてのローカル ディスクは BitLocker で暗号化され、Web トラフィックは制限された許可済みの宛先 (すべて拒否) に制限されます。
特権アクセスの展開ガイダンスの特権セキュリティ プロファイルでは、JSON ファイルを使用して、Windows 10 および提供された JSON ファイルでこれを構成します。