概要 - 特権アクセス アーキテクチャを実装する

この記事では、特権アクセス アーキテクチャを実装するためのエンド ツー エンドソリューションについて説明します。 これは、セキュリティと ID プランナーと実装者を対象としています。

Microsoft セキュリティ導入モデルでは、次の手順を実行します。

  • 実装ソリューションは、規範的なデプロイ ガイダンスを提供します。
  • ソリューションは、優先度の高いセキュリティ結果を定義する ビジネス シナリオ に合わせて調整されます。

実装を開始する前に、このリスクを軽減し、機密性の高いシステムに対する制御を強化することで、 セキュリティで保護された特権アクセス アーキテクチャ がビジネス シナリオ ( 重要なビジネス資産の保護 ) で重要な役割を果たすしくみについて説明します。

ソリューションの目標

特権アクセスは、ID システム、クラウド制御プレーン、および重要なビジネス リソースを直接制御できるため、組織内で最も影響が大きいリスクの 1 つです。

このガイドでは、特権アクセスをエンドツーエンドのアクセス パスとして扱い、ID、デバイス、インターフェイス、ターゲット リソース、監視にまたがるゼロ トラストアプローチを定義します。 このモデルでは、個々のコンポーネントを分離してセキュリティで保護する代わりに、アクセス 経路全体が確実に管理され、継続的に検証されます。

目的は、次の方法でリスクを軽減することです。

  • 特権アクションを実行できるユーザーを制限する。
  • これらのアクションを実行できる場所と方法を制御する。
  • 特権アクティビティを継続的に監視し、対応する。

Microsoft Entra ID、Microsoft Intune、およびMicrosoft Defender for Endpointを使用して、このアーキテクチャを実装します。

ソリューションを段階的にデプロイします。 まず、セキュリティで保護された基盤 (ID コントロール プレーンと信頼されたデバイス) を確立し、ポリシー制御を適用してから、監視と応答の操作を設定します。

特権アクセス リスク

特権 ID (人間と非人間) は、価値の高い資産とセキュリティ適用メカニズムを制御します。 侵害されると、ビジネスへの影響は深刻になります。 特権アクセスを使用すると、攻撃者は次のことができます。

  • データを不正に持ち出し、暗号化し、または破壊する。
  • ビジネス操作をシャットダウンまたは中断します。
  • 検出と適用の制御を無効にします。
  • ID システムを転覆し、永続的なアクセスを作成します。

一般的な攻撃

攻撃は、次の 2 つの一般的なパターンに従います。

  • 標的型データの盗難: サイバー攻撃者は、機密性の高い知的財産、財務データ、または戦略的計画を特定し、流出します。 盗まれたデータは、販売、漏洩、または競争上の優位性のために使用されます。
  • 人手で操作されるランサムウェア: サイバー攻撃者は特権アクセスを悪用してシステムを暗号化し、業務を停止させ、組織を脅迫して身代金を要求し、経営陣に極度の時間的圧力の下で意思決定を迫ります。

特権 ID の分類を示す図。

特権アクセスが危険である理由

特権アクセスのリスクは、さまざまな理由から特有であり、組織全体に及ぶものです。

リスク 詳細情報
コントロールプレーンで動作する 特権アカウントは、ワークロード プレーンだけでなく、コントロール プレーンで動作します。

特権 ID は、ID の変更、セキュリティ構成の変更、強制制御の無効化またはバイパス、ビジネス クリティカルなデータの改ざんを行うことができます。

攻撃者は、特権アクセスを取得すると、検出して停止するように設計されたメカニズムを損なう可能性があります。 これにより、従来の封じ込め戦略の効果が大幅に低下し、侵害が検出されずに維持されます。
設計によるビジネスへの影響が大きい 特権アクセスは重要なシステムを管理するために存在するため、そのアクセスの悪用は直ちに重大な結果を招く可能性があります。

特権アクセスを使用すると、攻撃者は次のことができます。

- 機密データを流出または破棄する
- 事業運営を停止させる、または不正に操作する
- 強要のための環境全体を暗号化する (人間が操作するランサムウェア)
- 現実の害を引き起こす可能性のある方法でシステムを転覆します。

これらの結果は理論的ではありません。 こうした事例はさまざまな業界で繰り返し確認されており、特権アクセスは、攻撃者が最大の被害をもたらすための最も確実な手段の1つとなっています。
騒々しくて迷惑 ステルス データの盗難とは異なり、多くの特権アクセス攻撃 (特に人間が操作するランサムウェア) は意図的に破壊的です。 彼らは、業務を停止し、顧客向けのサービスを中断し、極端な時間の圧力の下でエグゼクティブレベルの意思決定を強制します。

すべての組織は、サービスを迅速に復元するための財務的および運用上の動機付けであるため、これらの攻撃は、業界や規模に関係なく、普遍的に適用可能で非常に効果的です。
リスクは拡大し、縮小しない 攻撃者は柔軟性があり、テクノロジに依存しません。 1 つの製品や制御を対象とするのではなく、現時点で最も弱い特権アクセス パスを悪用します。

特権アクセス攻撃の対象領域は広く相互接続されており、次の領域にまたがっています。

- アカウントと ID システム
- ワークステーションとデバイス
- リモート アクセス ツールや PAM/PIM ソリューションなどの仲介システム。
- 管理インターフェイス、ポータル、API、および昇格パス。

これらの要素のいずれかを侵害すると、完全なエンタープライズ制御へのパスが提供され、環境の進化に伴って新しいアクセス パスが継続的に導入されます。
単一ソリューションのアプローチが失敗する PAM/PIM、ネットワーク制限、検出ツールなど、1 つのクラスの制御のみをデプロイしても、リスクが十分に軽減されません。 これらのコントロールは、システムではなく、問題の一部に対処します。

特権アクセスがエンド ツー エンドで保護されていない場合、攻撃者は分離された防御を回避し、アクセス パス内の保護されていないリンクを悪用するだけです。

このため、特権アクセスは、独立したツールのコレクションとしてではなく、ID とデバイスの信頼から昇格と実行、監視と応答まで、完全なシステムとして扱う必要があります。

アーキテクチャの原則と結果

Microsoft推奨される方法は、次の方法で閉ループ特権アクセス システムを構築することです。

  • 迅速なリスク削減を実現
  • 増分的で持続可能な進歩をサポート
  • 不要な複雑さを回避する
  • 明確な結果と成功基準を有効にする

アーキテクチャ上の成果

これらの原則に基づいて戦略を実装すると、多くの明確な結果と成功基準が作成されます。

結果 Architecture 成功条件
特権アクセスはエンド ツー エンド システムとして適用されます 特権リスクは、ID、ロールの割り当て、デバイス、実行環境、昇格ワークフロー、中間システム、管理インターフェイス、監視、応答など、アクセス パス全体で制御されます。 特権作業は、ゼロ トラスト検証 (ID 保証、デバイス信頼、セッション コンテキスト) を使用して、明示的な承認された昇格パスを介してのみ行われます。 各セッションでは、アクセスを許可する前に、ユーザー アカウントとデバイスが十分なレベルで信頼されていることを検証します。

指標の例: MFA や必要なデバイス信頼などの要件を満たしている特権サインインの割合、
承認昇格ワークフローと永続的な特権を介して実行される特権アクションの %。
ID システムの保護と監視 特権 (ディレクトリ、ID 管理、管理者アカウントなど) をホストまたは付与する ID システムを保護します。

ガバナンス、ポリシーの適用、ログ記録、および分析が一元化され、誤差が軽減され、可視性が向上します。		 これらの各システムは、ホストされているアカウントの潜在的なビジネスへの影響に適したレベルで保護されます。

指標の例: 定期的なアクセス レビューの対象となっている特権 ID の割合 (%)
定期的な特権アクセス レビューの完了率 (レビューしたユーザー、取り消したユーザー)。
横トラバーサルを軽減する 高露出環境から特権作業を分離します。 ローカル管理者の資格情報、サービス アカウント シークレット、昇格メカニズムを保護して、単一のデバイス、アカウント、または資格情報を侵害しても、より広範な管理制御が可能にならないようにします。 1 つのデバイスを侵害しても、環境内の多くのデバイスや他のすべてのデバイスがすぐに制御されるわけではありません。

指標の例: 管理者用ワークステーションからのみ実行される特権操作の割合。
脅威に迅速に対応する 特権アクティビティは、検出と応答の優先度シグナルです。 マルチステージ攻撃を妨害し、特権アクセスをターゲットとする敵対者のドウェル時間を制限するように、監視とインシデント対応を設計します。 インシデント対応は、特権アクセスに到達する前にマルチステージ攻撃を確実に停止でき、発生したときに特権の誤用を迅速に含めることができます。

指標の例: 特権インシデントの平均修復時間 (MTTR) が、数時間や数日ではなく数分に短縮されます。 予期しない特権アクセス パスまたは新しい特権アクセス パスが迅速に識別され、閉じられます。

これらの指標を毎月追跡して進捗を確認し、特権アクセスガバナンスの一環として四半期ごとに見直します。

特権アクセス パスについて

特権アクセス パスは、次の図に示すように、ID から実行までの完全なチェーンを形成するアクセス パスです。

特権アクセス 経路が制限され、保護される方法を示す図。

チェーン内のリンクが弱い場合、パス全体が脆弱になります。

Path コンポーネント リスク
ユーザー アクセス パス

ユーザー アクセス パスは、電子メール、コラボレーション、Web 閲覧、基幹業務アプリケーションなどの標準的な生産性とビジネス操作をサポートします。		 通常、ユーザー アクセス パスには次が含まれます。
- ID: 標準ユーザー アカウント
- デバイス: 汎用ワークステーション
- 中継局: VPN やリモート アクセスなどのオプションの中継局。
- インターフェイス: エンタープライズ アプリケーションとサービスとの対話。		 ユーザー アクセス パスが侵害されると損害が発生する可能性がある一方で、特権アクセスと比較して潜在的な影響は限定的です。
特権アクセス パス

特権アクセス パスは、ID、インフラストラクチャ、セキュリティ制御、およびビジネス クリティカルなシステムを管理します。		 特権アクセス パスは、通常、次で構成されます。
- ID: 特権作業を実行しているアカウント。
- デバイス: 特権セッションによって使用されるエンドポイント ワークステーションまたはデバイス。
- 仲介者: リモート アクセス ツールや管理ツールなど、特権セッションを仲介またはホストするあらゆるシステムまたはサービスを指します。
- インターフェイス: 特権制御が実行される管理サーフェイス。 たとえば、ポータル、API、コマンド ライン ツール、自動化などです。		 技術的なコンポーネントはユーザー アクセス パスに似ていますが、侵害による潜在的な損害は大幅に高くなります。 そのため、特権アクセス パスは次のようにする必要があります。

- 数が少ない
- 明示的に定義
- ユーザー アクセス パスから分離
- 最も強力な使用可能なコントロールで保護されています。

パスの例

一般的な特権アクセス パスでは、次の手順を実行します。

  1. 専用の管理者 ID がサインインします。
  2. サインインは、強化された特権アクセス ワークステーション (PAW) から取得されます。
  3. サインインは、Privileged Identity Management (PIM) を介してロールをアクティブ化します。
  4. サインインでは、ポータル、API、CLI などの特定の管理インターフェイスが使用されます。
  5. サインイン ID は特権アクションを実行します。

ソリューション コンポーネント

特権アクセス ソリューションは、3 つの密結合された要素に基づいて構築されています。これにより 、適用された条件下で、信頼されたデバイスから、適切な ID による特権アクションが確実に実行されます。

  1. 特権 ID

    • 特権アクションの実行が許可されている専用の管理者アカウント。
    • 強力な認証と、可能な場合はパスワードレス認証で保護された ID。
    • 制限付き特権ロールの割り当て。
    • 承認付きのジャストインタイム特権昇格。

  2. 特権アクセス ワークステーション (PAW)

    • 強化された制限の厳しいデバイス。
    • デバイスの攻撃対象領域が減少しました。
    • 資格情報の脅威とマルウェアに対する保護。
    • 危険度の高いユーザー アクティビティから分離されています。

  3. ポリシーの適用と監視

    • 条件付きアクセスは、ID、デバイス、およびセッション コンテキストを検証します。
    • 特権昇格パスは明示的に定義されます。
    • すべての特権アクティビティがログに記録され、監視され、レビュー可能になります。

ID システムと昇格パス

ID システムと昇格パスは、すべての特権アクセス パスの基本コンポーネントです。 特権 ID の作成場所、管理ロールの割り当て方法、およびユーザーが非特権状態から特権アクションの実行に移行する方法を定義します。

この実装ガイダンスでは、ID システムと昇格パスを特権攻撃対象領域と ID コントロール プレーンの一部として扱います。

Area 詳細情報 リスク軽減
ID システム 特権 ID、ロール、および管理アクセス許可が定義および管理されている場合。

この定義には、ディレクトリ、ロールの割り当て、管理グループ、テナント レベルの構成が含まれます。		 特権 ID はコントロール プレーンで動作します。 ID システムが侵害された場合、攻撃者は、デバイス制御、アクセス条件、監視をバイパスして、特権アクセスを作成、変更、または保持できます。

ID コントロール プレーンのセキュリティ保護は、実装の最優先事項です。
承認された昇格パス ユーザーが特権のない状態から移行して特権アクションを実行する方法。

たとえば、時間制限付きロールのアクティブ化、承認ワークフロー、スコープ付き管理セッションなどです。		 昇格には強力な認証が必要であり、特権昇格は意図的、一時的、監視済みであり、承認されたデバイスとインターフェイスからのみ行われるようにします。

昇格を承認済みのワークフロー、デバイス、インターフェイス経由に限定することで、恒常的な特権を防ぎ、不正使用、ラテラルムーブメント、秘匿的な永続化のリスクを低減できます。

ソリューション フェーズ

Microsoftベスト プラクティスに沿った段階的導入モデルを使用して、特権アクセス アーキテクチャを実装します。

  1. 構造化導入モデルを使用して 導入を開始します。 導入ガイダンスは、ビジネス リーダーがセキュリティで保護された ID の重要なビジネス レベルの成果を特定し、アクセスと ID の規範 (特権アクセスなどの ID イニシアチブを推進するために必要なチームや取り組みを含む) を理解するのに役立ちます。
  2. ソリューションを計画します。 計画は、設計目標を特定し、セキュリティ レベルを割り当てて特権アクセス戦略を決定し、実装を計画するのに役立ちます。
  3. 次の表に示す実装フェーズに従います。 各フェーズには特定の目的があり、対応する記事の具体的な構成手順を使用して実装されます。

実装フェーズ

フェーズ リスクの軽減 ゼロ トラストの原則を適用する
フェーズ 1: ID コントロール プレーンをセキュリティで保護する

作成:
- 専用管理者 ID。

ロールの割り当て用セキュリティ グループ。

- ない場合は、緊急アクセス用アカウントを用意します。		 資格情報の盗難、特権の誤用、未承認の昇格のリスクを軽減します。 明示的に確認する
強力な認証を使用します。

最小限の特権を使用する
管理者ロールを制限する/Just-In-Time 特権を有効にする。

侵害を想定します
回復には Break-glass アカウントを使用します。
フェーズ 2: 特権アクセス デバイスの展開と強化

専用特権アクセス ワークステーション (PAW) をプロビジョニングします。

OS のセキュリティ強化とセキュリティ ベースラインを適用します。

パッチ適用、エンドポイント保護、ディスク暗号化を適用します。

アプリとサービスのインストールを最小限に抑えます。		 資格情報の侵害とデバイス ベースの攻撃のリスクを軽減します。 明示的に確認する
アクセスを許可する前に、デバイスが登録され、信頼され、準拠していることを確認します。

侵害を想定する
デバイスを強化し、管理資格情報を分離することで、潜在的な侵害パスを最小限に抑えます。

最小特権アクセスを使用する
これらの専用デバイスで管理者が実行できる操作を制限します。
フェーズ 3: 特権アクセス ポリシーを適用する

特権ロールの条件付きアクセスを構成します。

準拠しているデバイスと強力な認証が必要です。

コンテキスト対応のアクセス条件を適用します。 承認されたインターフェイスへのアクセスを制限します。		 承認されていないアクセスと資格情報の再生を防止します。 侵害を想定します。 アクセスを許可する場所と方法を制限することで、アカウントが盗まれた場合に資格情報の誤用を防ぎます。

最小権限を使います。 ロールベースのアクセス許可とコンテキスト対応のアクセス許可を適用します。
フェーズ 4. 監視と継続的な検証

インシデントを調査し、迅速に修復します。

信頼性と適用範囲を継続的に見直す。		 特権上の脅威を検出、調査、対応します。

特権ロールのアクティブ化とセッションを監視します。

異常と疑わしいパターンを検出します。

検出されない侵害の影響を軽減し、攻撃者のドウェル時間を長くします。		 侵害を想定します。攻撃者のアクティビティと異常な動作を継続的に監視します。

明示的に確認します。信頼を継続的に評価し、疑わしいアクセス パターンを調査します。

次のステップ

次に、 実装戦略の計画を開始します

  • Last updated on