このドキュメントでは、 特権アクセス戦略の成功基準について説明します。 このセクションでは、特権アクセス戦略の成功に関する戦略的な観点について説明します。 この戦略を採用する方法のロードマップについては、 迅速な最新化計画 (RaMP) を参照してください。 実装ガイダンスについては、特権アクセスのデプロイを参照してください
ゼロ トラスト アプローチを使用して包括的な戦略を実装すると、特権アクセスのアクセス制御に対する一種の "シール" が作成され、攻撃者に対して耐性が生まれます。 この戦略は、特権アクセスへの経路を一部の特権アクセスのみに制限し、承認された経路を厳密に保護して監視することによって実現されます。
成功した戦略では、攻撃者が 4 つの異なるイニシアチブを含む特権アクセス ワークフローを傍受するために使用できるすべてのポイントに対処する必要があります。
- 基になるデバイス、オペレーティング システム、アプリケーション、ID など、特権アクセス ワークフローの Privileged Access ワークフロー要素
- 特権アカウントとグループ、およびアカウントに対する特権を付与するその他の成果物をホストする ID システム
- 特権アクセスにつながる可能性があるユーザー アクセス ワークフロー と承認された昇格パス
- ゼロ トラスト アクセス ポリシーが適用され、ロールベースのアクセス制御 (RBAC) が特権を付与するように構成されているアプリケーション インターフェイス
注
完全なセキュリティ戦略には、アプリケーション自体、基盤となるオペレーティング システムとハードウェア、アプリケーションまたはサービスによって使用されるサービス アカウント、保存中または転送中のデータに対する攻撃に対するデータ バックアップや保護など、アクセス制御の範囲を超える資産保護も含まれます。 クラウドのセキュリティ戦略の最新化の詳細については、「 セキュリティ戦略の定義」を参照してください。
攻撃は、自動化とスクリプトを活用して組織を攻撃する人間の攻撃者で構成され、人間、従うプロセス、使用するテクノロジで構成されます。 攻撃者と防御者の両方の複雑さのため、セキュリティ保証が誤って損なわれる可能性のあるすべての人、プロセス、テクノロジの方法から保護するために、戦略を多面的に行う必要があります。
持続可能な長期的な成功を確保するには、次の条件を満たす必要があります。
冷酷な優先順位付け
冷酷な優先順位付けは、既存の計画、認識、習慣に合わない場合でも、最も早い時間で最も効果的なアクションを最初に評価する方法です。 この戦略は、多くの主要なサイバーセキュリティインシデントの厳しい試練で学んだ一連のステップを提示します。 これらのインシデントからの学習は、組織がこれらの危機が二度と起こらないようにするために役立つ手順を形成します。
セキュリティの専門家は常に、ネットワーク セキュリティやファイアウォールなどの使い慣れた既存のコントロールを新しい攻撃用に最適化しようとしますが、このパスは常に失敗につながります。 Microsoft インシデント対応チーム) は、10 年近くにわたって特権アクセス攻撃に対応しており、これらの従来のセキュリティ アプローチがこれらの攻撃を検出または停止できないと常に認識しています。 ネットワーク セキュリティは、必要かつ重要な基本的なセキュリティ検疫を提供しますが、これらの習慣から抜け出し、実際の攻撃を阻止またはブロックする軽減策に焦点を当てることが重要です。
既存の前提条件に挑戦し、新しいスキルを習得するよう強制する場合でも、この戦略で推奨されるセキュリティ コントロールに無慈悲に優先順位を付けます。
セキュリティと生産性のバランスを取る
セキュリティ戦略のすべての要素と同様に、特権アクセスでは、生産性とセキュリティの両方の目標が満たされるようにする必要があります。
セキュリティのバランスを取ることで、組織のリスクを生み出す極端な状況を回避できます。
- ユーザーがセキュリティで保護されたポリシー、経路、およびシステムの外部に出る原因となる、過度に厳格なセキュリティを回避する。
- 敵対者が組織を簡単に侵害できるようにすることで、生産性を損なう弱いセキュリティを回避します。
セキュリティ戦略の詳細については、「 セキュリティ戦略の定義」を参照してください。
セキュリティコントロールによるビジネスへの悪影響を最小限に抑えるには、ユーザー ワークフローを改善したり、少なくともユーザー ワークフローを妨げなかったり変更したりしない非表示のセキュリティコントロールに優先順位を付ける必要があります。 セキュリティの機密性の高いロールには、セキュリティ保証を提供するために毎日のワークフローを変更する目に見えるセキュリティ対策が必要な場合があります。この実装は、使いやすさの影響とスコープを可能な限り制限するために慎重に行う必要があります。
この戦略は、このガイダンスに従って 3 つのプロファイルを定義します (後の「シンプルにする - ペルソナとプロファイル」で詳しく説明します)
組織内の強力なパートナーシップ
セキュリティは、組織内でパートナーシップを構築して成功させるために機能する必要があります。 「私たちの誰もが私たち全員ほど賢くない」という時代を超越した真実に加えて、セキュリティの性質は、他の誰かのリソースを保護するためのサポート機能になることです。 セキュリティは、保護に役立つリソース (収益性、アップタイム、パフォーマンスなど) に対して責任を負いません。セキュリティは、組織にとって重要な知的財産とビジネス機能の保護に役立つ 専門家のアドバイスとサービスを提供するサポート機能 です。
セキュリティは、ビジネスとミッションの目標をサポートする パートナーとして常に機能 する必要があります。 セキュリティは、高リスクを受け入れることを推奨するような直接的なアドバイスを行うことを恥ずかしがらてはなりませんが、セキュリティでは、リソース所有者が管理する他のリスクや機会に対するビジネス リスクに関するアドバイスを常に枠に収める必要があります。
セキュリティの一部は、主にセキュリティ組織内で計画および実行できますが、特権アクセスのセキュリティ保護などの多くは、保護する役割を理解し、ワークフローの更新と再設計を支援して、セキュリティを確保し、ユーザーが仕事をできるように、IT およびビジネス組織と緊密に連携する必要があります。 このアイデアの詳細については、セキュリティ戦略ガイダンス記事の 「変換、考え方、期待 」セクションを参照してください。
攻撃者の投資収益率を混乱させる
攻撃者の価値提案を効果的に妨げ、防御手段によって攻撃成功の可能性を減少させ、攻撃者にとってコストと摩擦を増加させることを保証することで、実用主義に焦点を当て続けます。 防御策が敵対者の攻撃コストにどのように影響するかを評価すると、攻撃者の視点に焦点を当てる健全なリマインダーと、さまざまな軽減オプションの有効性を比較するための構造化されたメカニズムの両方が提供されます。
目標は、独自のセキュリティ投資レベルを最小限に抑えながら、攻撃者のコストを増やすことです。
特権アクセス セッションの要素全体で攻撃コストを増やすことで、攻撃者の投資収益率 (ROI) を損ないます。 この概念については、 特権アクセス戦略の成功条件に関する記事で詳しく説明します。
重要
特権アクセス戦略は包括的であり、多層防御を提供する必要がありますが、防御者がより同じ (使い慣れた) 型の制御 (多くの場合、ネットワーク ファイアウォール/フィルター) を、意味のあるセキュリティ値を追加するポイントを超えて単に積み重ねるという、深さのコストの誤りを回避する必要があります。
攻撃者の ROI について詳しく知りたい方は、短いビデオと詳細なディスカッションを紹介する攻撃者への投資収益率の影響をご覧ください。
クリーン ソースの原則
クリーン ソースの原則では、すべてのセキュリティの依存関係がセキュリティ保護されているオブジェクトと同様に信頼できる必要があります。
オブジェクトを制御しているサブジェクトとは、そのオブジェクトのセキュリティ依存関係のことです。 敵対者がターゲット オブジェクトを制御する何かを制御できる場合は、そのターゲット オブジェクトを制御できます。 この脅威のため、すべてのセキュリティ依存関係の保証がオブジェクト自体の目的のセキュリティ レベル以上であることを確認する必要があります。 この原則は、さまざまな種類のコントロール リレーションシップに適用されます。
原則的には単純ですが、ほとんどの企業が数十年にわたって有機的に成長し、互いに構築し、互いにループバックする何千もの制御関係を持つ、またはその両方を持つようになったので、この概念は現実の世界では簡単に複雑になります。 この制御関係の Web は、多くの場合、自動化されたツールを使用して、攻撃者が攻撃中に検出して移動できる多くのアクセス パスを提供します。
Microsoft が推奨する特権アクセス戦略は、実質的に、宛先へのアクセスを許可する前にソースがクリーンであることを明示的に検証することで、ゼロ トラスト アプローチを使用して、この結び目の最も重要な部分を最初にアンタングルする計画です。
いずれの場合も、ソースの信頼レベルは宛先と同じかそれより高い必要があります。
- この原則の唯一の注目すべき例外は、エンタープライズ シナリオで管理されていない個人デバイスとパートナー デバイスを使用できるようにすることです。 この例外により、企業のコラボレーションと柔軟性が可能になり、企業資産の相対的な価値が低いため、ほとんどの組織で許容できるレベルまで軽減できます。
- ただし、これらの資産のセキュリティの機密性のため、この同じ例外を特殊なセキュリティレベルと特権セキュリティ レベルに拡張することはできません。 一部の PIM/PAM ベンダーは、ソリューションが下位レベルのデバイスからのデバイス リスクを軽減できることを主張する場合がありますが、インシデントの調査経験に基づいて、これらのアサーションには慎重に同意しません。 組織内の資産所有者は、エンタープライズ セキュリティ レベルのデバイスを使用して特殊なリソースまたは特権リソースにアクセスするリスクを受け入れることを選択できますが、Microsoft ではこの構成をお勧めしません。 詳細については、Privileged Access Management/Privileged Identity Management の中間ガイダンスを参照してください。
特権アクセス戦略では、主にインターフェイスと中継局の受信セッションに対して条件付きアクセスを使用してゼロ トラスト ポリシーを適用することで、この原則を実現します。 クリーン ソースの原則は、オペレーティング システムのバージョン、セキュリティ ベースラインの構成、展開に Windows Autopilot を使用するなどのその他の要件など、セキュリティ仕様に基づいて構築された OEM から新しいデバイスを取得することから始まります。
必要に応じて、クリーン ソースの原則は、オペレーティング システムとアプリケーションのインストール メディアを含むサプライ チェーン内の各コンポーネントの非常に厳格なレビューに拡張できます。 この原則は高度な攻撃者に直面している組織に適していますが、このガイダンスの他のコントロールよりも優先順位を低くする必要があります。