このセクションには、デバイスの柱にある CISA ゼロ トラスト成熟度モデル に関する Microsoft のガイダンスと推奨事項が記載されています。
2 デバイス
CISA は、サーバー、デスクトップおよびラップトップ コンピューター、プリンター、携帯電話、モノのインターネット (IoT) デバイス、ネットワーク機器など、ネットワークに接続する資産としてデバイスを識別します。 資産には、ハードウェア ソフトウェア、ファームウェアなどが含まれます。詳細については、「ゼロ トラストを使用したエンドポイントのセキュリティ保護」を参照してください。
ガイドのセクションに移動するには、次のリンクを使用します。
- 概要
- ID
- デバイス
- ネットワーク
- アプリケーションとワークロード
- データ
2.1 機能: ポリシーの適用とコンプライアンスの監視
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、自己報告されたデバイス特性 (デバイス上のキー、トークン、ユーザーなど) を受け取りますが、適用メカニズムは限られています。 Enterprise には、ソフトウェアの使用を承認し、更新プログラムと構成の変更をデバイスにプッシュするための予備的な基本的なプロセスが用意されています。 |
Microsoft Intune 、Microsoft Configuration Manager Microsoft Intune 製品ファミリは、デバイスを管理するための統合ソリューションです。 Intune デバイス インベントリ、デバイス構成の変更、ソフトウェア更新機能を使用します。 Microsoft Configuration Manager を使用して、クラウド接続を有効にして、デバイス管理を最新化および合理化します。 サード パーティ製モバイル デバイス管理 (MDM) ソリューションを使用すると、デバイス管理を Intune に統合できます。 - Intune - Configuration Manager - Cloud attach - Intune 移行ガイド - Intune でサポートされているオペレーティング システムとブラウザー |
| 高度な成熟度の状態 Enterprise では、デバイスへの初期アクセスに関する分析情報 (つまり、管理者がデバイス上のデータを検査および検証できます) があり、ほとんどのデバイスと仮想資産に対してコンプライアンスが適用されます。 エンタープライズでは、自動化された方法を使用して、デバイスと仮想資産の管理、ソフトウェアの承認、脆弱性の特定、パッチのインストールを行います。 |
Intune コンプライアンスと構成の要件についてデバイスを評価するポリシーを構成します。 管理者は、Intune 管理センターとデバイス コンプライアンス レポートを使用して、分析情報を確認し、管理対象デバイスのデータを確認します。Intune 管理センターで - - Intune のデバイス プロファイル を使ってデバイスへの初期アクセスのための自動登録を設定します。 Intune にコンプライアンスを適用します。 - Intune でのデバイスの登録 - 自動登録 承認済みのソフトウェアを管理するには、Intune で Windows Defender アプリケーション制御ポリシーを構成します。 - WDAC と AppLocker - WDAC ポリシーの展開 データ アクセスとモバイル デバイス上のアプリによる共有方法を制御するには、アプリ保護ポリシーを構成します。 Defender for IoT |
| 最適な成熟度モデル Enterprise は、デバイスと仮想資産の有効期間全体にわたって分析情報を継続的に検証し、コンプライアンスを適用します。 Enterprise では、仮想資産を含むすべてのエンタープライズ環境で、デバイス、ソフトウェア、構成、脆弱性の管理を統合します。 |
Microsoft Entra の条件付きアクセス デバイスのコンプライアンス状態に基づいてアプリケーションとデータへのアクセスを継続的に適用するように条件付きアクセスを構成します。 構成は、デバイスの有効期間全体に適用されます。 準拠しているデバイスのみがリソースにアクセスすることを要求します。 - 条件付きアクセス - ポリシーで制御を付与し、準拠デバイスを必要とし、Microsoft Defender 脆弱性管理 Defender 脆弱性管理を使用して、継続的に監視し、推奨事項を取得します。 セキュリティ スコアと露出スコアを使用して、リスクベースの優先順位付けを有効にします。 DVM には、インストールされているソフトウェア (アプリ)、デジタル証明書、ハードウェア、ファームウェア、ブラウザー拡張機能の継続的なインベントリがあります。 |
2.2 機能:資産とサプライチェーンのリスク管理
| CISA ZTMM ステージの説明 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise では、すべての物理資産と一部の仮想資産を追跡し、堅牢なフレームワーク (NIST SCRM など) を使用して連邦政府の推奨事項に従ってポリシーと制御ベースラインを確立することで、サプライ チェーンリスクを管理します。 |
Microsoft Intune Intune を使用して、マネージド デバイス (ハードウェアの仕様、インストールされているアプリ、コンプライアンスの状態) に関する情報を表示します。 一元化されたビューは、デバイスの正常性の監視、企業ポリシーへの準拠の確保、デバイス構成の管理に役立ちます。 Intune Defender for Endpoint Defender for Endpoint は、Defender for Endpoint によって保護されたインベントリされたデバイスで Intune を補完します。 Intune と Defender for Endpoint を統合して、物理資産と仮想資産を追跡します。 デバイス インベントリ 連邦政府の推奨事項に従ってベースラインを制御するために、サプライ チェーン ポリシーを使用して Microsoft ソフトウェアとクラウド サービスを採用します。 このアクションは、責任あるソーシングとサプライ チェーンの整合性をサポートします。 サプライ チェーン |
| Advanced Maturity Status Enterprise では、複数のベンダー間で機能し、取得の検証、開発サイクルの追跡、サード パーティの評価を提供できる自動化されたプロセスを介して、物理資産と仮想資産の包括的なエンタープライズ ビューの開発を開始します。 |
Microsoft Intune Intune を使用して、Windows、macOS、iOS、Android などのオペレーティング システムにデバイスを登録および管理します。登録により、ハードウェアの仕様、インストールされているアプリ、コンプライアンスの状態など、デバイスの一元的なインベントリが作成されます。 デバイスのオンボードを効率化するには、Windows Autopilot や Apple Device Enrollment Program (DEP) などの自動デバイス登録を実装します。 - Intune に移動 - Intune にデバイスを登録 Microsoft Defender for Endpoint 自動化を使用して Defender for Endpoint をデプロイし、インストールされているソフトウェアを含む物理アセットと仮想アセットのエンタープライズ全体のビューを実現します。 ドメイン、リスク レベル、オペレーティング システムなど、セキュリティ アラートを生成するデバイスに関する分析情報を確認します。 検出機能を使用して、ネットワーク内のアンマネージド デバイスを検索します。 デバイス検出では、オンボードされたネットワーク エンドポイントを使用して、アンマネージド デバイスの収集、プローブ、スキャンを行います。 既知の一般的な脆弱性と公開 (CVE) (サード パーティの評価を含む) については、CVE ID 別の Microsoft Defender 脆弱性管理の [弱点] ページを使用します。 - Defender 脆弱性管理、ソフトウェア インベントリ - 組織の脆弱性 |
| 最適な成熟度ステータス Enterprise には、ベンダーとサービス プロバイダー全体のすべての資産の包括的、アット、またはほぼリアルタイムのビューがあり、該当するサプライ チェーンのリスク管理を自動化し、サプライ チェーンの障害を許容する運用を構築し、ベスト プラクティスを組み込みます。 |
Microsoft Entra 条件付きアクセス Intune によって管理された準拠デバイス、もしくはサポートされているモバイル デバイス管理 (MDM) 統合パートナーによって管理されたデバイスを要求するために、条件付きアクセス ポリシーを構成します。 このコントロールにより、リアルタイムまたはほぼリアルタイムのアセット ビューが保証されます。 - ポリシーで制御を付与し、準拠したデバイスを要求する - Intune のサードパーティのデバイス コンプライアンス パートナー Intune、Microsoft Defender for Endpoint Defender for Endpoint と Intune を有効にして、サービス間接続を確立します。 Intune で管理するデバイスを Defender for Endpoint にオンボードします。 オンボーディングを使用すると、リアルタイムまたはほぼリアルタイムの資産ビューが可能になります。 Defender for Endpoint の脅威分析は、Microsoft セキュリティ研究者から脅威インテリジェンスを提供します。 セキュリティ チームは、これを使用して、サプライ チェーン リスクを含む自動化されたリスク管理をサポートします。 - Intune で Defender for Endpoint を構成する - Defender for Endpoint を使用して新たな脅威に対処 Defender for IoT Defender for IoT は、モノのインターネット (IoT) と運用テクノロジ (OT) デバイス、脆弱性、脅威を識別します。 Defender for IoT を使用して、セキュリティ エージェントのないデバイスを含む IoT および OT 環境をセキュリティで保護します。 Defender for IoT Microsoft Defender External Attack Surface Management Defender EASM は、オンライン インフラストラクチャの外部ビューを使用して、デジタル攻撃表面を継続的に検出してマップします。 セキュリティチームと IT チームは、不明な情報を特定し、リスクの優先順位を付け、脅威を軽減し、ファイアウォールを超えて脆弱性と露出制御を拡張します。 攻撃対象領域インサイトは、脆弱性とインフラストラクチャデータを用いて生成されます。 懸念事項の主な領域を見つけられます。 Defender EASM |
2.3 関数: リソース アクセス
| CISA ZTMM ステージの説明 | Microsoft ガイダンスと推奨 |
|---|---|
| 初期成熟度ステータス Enterprise では、特性を報告するために一部のデバイスまたは仮想資産が必要です。その後、この情報を使用してリソース へのアクセスを承認します。 |
Microsoft Entra ID Microsoft Entra ID を使用してエンド ユーザー デバイスを登録します。 Microsoft Entra 管理センターからデバイス ID を管理します。Microsoft Entra 参加済みデバイス - 条件 - デバイス用フィルター |
| Enterprise の初期リソース アクセス 高度な成熟度の状態では、検証済みのデバイスまたは仮想資産の分析情報が考慮されます。 |
Microsoft Intune、Microsoft Defender for Endpoint Intune でデバイスを管理し、Defender for Endpoint を展開し、デバイス コンプライアンス ポリシーを構成します。 セクション 2.1 関数: ポリシーの適用とコンプライアンスを参照してください。高度な成熟度の状態。 条件付きアクセス ハイブリッドデバイスまたは準拠デバイスを必要とする条件付きアクセス ポリシーを作成します。 リソース アクセスの決定にデバイスまたは仮想資産の分析情報を含めます。 セクション 2.1 関数: ポリシーの適用とコンプライアンスを参照してください。 Microsoft Entra アプリケーション アプリを統合し、Microsoft Entra ID を使用してユーザー アクセスを管理します。 |
| 最適な成熟状態 エンタープライズのリソース アクセスでは、デバイスと仮想資産内のリアルタイムのリスク分析が考慮されます。 |
Microsoft Entra ID Protection 危険なユーザーとサインイン イベントを検出するために、デバイス リスクを含むリスク検出用に Microsoft Entra ID Protection を構成します。 サインインとユーザーのリスク条件を使用して、ポリシーをリスク レベルに合わせます。 危険なサインインには多要素認証 (MFA) が必要です。 - Intune で Defender for Endpoint を構成 - Defender 脆弱性管理 - デバイスのリスクとコンプライアンスを監視 条件付きアクセス 条件付きアクセスで準拠するデバイスポリシーを作成します。 リソース アクセスの決定には、デバイスと仮想資産でリアルタイムのリスク分析を使用します。 セクション 2.1 関数: ポリシーの適用とコンプライアンスの を参照してください |
2.4 機能: デバイスの脅威検出
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise には、ポリシーの適用とコンプライアンス監視の統合が制限された、デバイスと仮想資産に脅威保護機能を展開および更新するための自動化されたプロセスがいくつかあります。 |
Microsoft Defender for Endpoint エンド ユーザー デバイス用の Defender for Endpoint を展開します。 Defender for Endpoint Defender for Cloud をデプロイする 脅威保護機能を Azure 仮想資産にデプロイして更新するプロセスを自動化するには、Defender for Endpoint と Defender for Cloud を統合します。 Defender for Endpoint 統合 |
| Advanced Maturity Status Enterprise は、脅威保護機能をデバイスと仮想資産の一元化されたソリューションに統合し始め、これらの機能の大部分をポリシーの適用とコンプライアンスの監視と統合します。 |
Microsoft Intune デバイス コンプライアンス ポリシー用に Intune を構成します。 ポリシー コンプライアンスの Defender for Endpoint マシン リスク スコアを含めます。 Intune デバイス コンプライアンス ポリシー Defender for Endpoint と Intune を Mobile Threat Defense (MTD) ソリューションとして統合します。 Microsoft Configuration Manager によって管理されるレガシ デバイスの場合は、クラウドアタッチを構成します。 - Intune の Defender for Endpoint - Intune で Defender for Endpoint を構成する - クラウド接続 Defender XDR Defender XDR のコンポーネントとサービスをパイロットしてからデプロイします。 Defender XDR デプロイされた Microsoft Defender XDR コンポーネントの統合を構成します。 - Defender for Endpoint と Defender for Cloud Apps - Defender for Identity と Defender for Cloud Apps - Purview Information Protection と Defender for Cloud Apps Azure Arc Azure Arc 対応サーバーを使用して、Windows および Linux 物理サーバーを管理および保護します。 また、Azure の外部にある仮想マシン (VM) も保護します。 Azure 外部でホストされているサーバーに Azure Arc をデプロイします。 Arc 対応サーバーを Defender for Server によって保護されたサブスクリプションにオンボードします。Azure Arc 対応サーバー Defender for Servers |
| 最適な成熟度の状態 Enterprise には、すべてのデバイスと仮想資産の高度な機能と、デバイスの脅威保護、ポリシーの適用、コンプライアンス監視のための統合されたアプローチを備えた、一元的な脅威保護セキュリティ ソリューションが展開されています。 |
Defender XDR デバイスと仮想資産の高度な機能を有効にするには、Defender XDR をセキュリティ運用戦略に統合します。Defender XDR とセキュリティ操作 - Sentinel の検出と管理 - Defender XDR データを Sentinel に接続する - ゼロ トラストのための Sentinel と Defender XDR Microsoft Defender Threat Intelligence Defender TI は、使いやすいインターフェイスに表示される重要なデータ ソースを集約して強化します。 侵害のインジケーター (IoC) を関連記事、アクター プロファイル、脆弱性と関連付けます。 アナリストは Defender TI を使用して、仲間のアナリストと共同作業を行います。 Defender TI |
2.5 関数: 可視性と分析
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise では、デジタル識別子 (インターフェイス アドレス、デジタル タグなど) と共に、デバイスの手動インベントリとエンドポイント監視 (使用可能な場合) が使用されます。 一部のエンタープライズ デバイスと仮想資産は、リスクに基づく異常検出の自動分析 (ソフトウェア ベースのスキャンなど) の対象です。 |
Microsoft Intune セクション 2.1 関数: ポリシーの適用とコンプライアンスを参照してください。 |
| Advanced Maturity Status Enterprise では、インベントリの収集 (デスクトップやラップトップ、携帯電話、タブレット、仮想資産など、すべての標準ユーザー デバイスでのエンドポイント監視を含む) と、承認されていないデバイスを検出するための異常検出の両方が自動化されます。 |
Defender for Endpoint 未承認のデバイスを検出するには、インベントリの収集と異常検出を自動化します。 デバイス検出 Intune マネージド デバイスの詳細を表示するには、Intune デバイス インベントリを使用します。 - Intune のデバイスの詳細、 - Intune でのエンドポイント セキュリティ - セクション 2.1 を参照してください。 機能: ポリシーの適用とコンプライアンス。 |
| 最適な成熟度ステータス Enterprise では、ネットワークに接続されているすべてのデバイスと仮想資産の状態収集が自動化され、ID との関連付け、エンドポイントの監視の実施、およびリソース アクセスへの通知のための異常検出の実行が行われます。 Enterprise では、異常に備え、仮想資産のプロビジョニングやプロビジョニング解除のパターンを追跡します。 |
Microsoft Entra の条件付きアクセス ネットワークに接続されたデバイスのコンプライアンスを要求するように条件付きアクセス ポリシーを構成します。 Intune は、デバイスを管理するか、サポートされているモバイル デバイス管理 (MDM) 統合パートナーがデバイスを管理します。 この制御では、デバイスが Intune に登録されている必要があります。これにより、状態の収集、エンドポイントの監視、および異常検出が自動化され、リソース へのアクセスが通知されます。 - 条件付きアクセスで制御を許可し、準拠しているデバイスを要求するには、 - Intune でサードパーティのデバイスコンプライアンスパートナーのサポートがあります。 Microsoft Defender XDR において、ユーザー、デバイス、およびアプリケーションからの異常を検出するために、Defender XDR のコンポーネントを展開し統合します。 - Defender XDR - サポート対象デバイスをデプロイする - Defender XDR によるゼロ トラスト Microsoft Entra ID Protection ID Protection の異常検出は、他の Defender XDR コンポーネントと統合することで強化されます。 ID Protection のリスク 条件付きアクセス 異常検出を含む、ユーザーとサインインのリスクについて、ID リスクに基づいたリスクベースの条件付きアクセス ポリシーを構成します。 危険なサインインには、フィッシングに強い多要素認証 (MFA) が必要です。効果を監視するには、レポート専用モードで危険度の高いユーザーをブロックするポリシーを作成します。Microsoft Sentinel の Fusion |
2.6 関数: 自動化とオーケストレーション
| CISA ZTMM ステージの説明 | Microsoft のガイダンスおよび推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise では、デバイスと仮想資産のプロビジョニング、構成、登録、プロビジョニング解除のプロセスを自動化するためのツールとスクリプトの使用が開始されます |
Microsoft Intune デバイスのプロビジョニング、構成、プロビジョニング解除の自動化を開始します。 Intune Microsoft Entra ID デバイス登録を効率化するために Microsoft Entra ID を実装します。 Microsoft Defender for Endpoint デバイスの登録を自動化 デバイス保護を管理するための基本的なセキュリティ構成を適用します。 Defender for Endpoint Microsoft Sentinel Sentinel を使用してデバイスの状態を監視します。 Sentinel |
| Advanced Maturity Status Enterprise では、非準拠 (脆弱で未確認の証明書、未登録の mac アドレス) デバイスと仮想資産を識別し、手動で切断または分離するための監視および強制メカニズムが実装されています。 |
Intune コンプライアンス ポリシーを適用し、デバイス構成を管理します。 Intune でのコンプライアンス ポリシー Defender for Endpoint の脅威検出と対応、脆弱性とコンプライアンスの問題を高度な脅威保護で検出して対応 。 Defender for Endpoint での脅威検出と対応 Sentinel 高度なデータ収集、分析、および監視と適用をサポートするためのアラートに Sentinel を使用します。Sentinel での高度な監視 |
| 最適な成熟状態 Enterprise には、デバイスと仮想資産のプロビジョニング、登録、監視、分離、修復、プロビジョニング解除のための完全に自動化されたプロセスがあります。 |
Intune デバイスのライフサイクルを自動化します。準備、登録、監視、プロビジョニング解除を行います。 Intuneでデバイス管理をIDとアクセス制御とともに統合し、統合されたアプローチを実現します。 Microsoft Entra ID デバイス管理をMicrosoft Entraと統合します。 Microsoft Defender XDRを用い、高度かつ自動化された脅威の検出と対応を行います。 Defender XDRで高度な脅威検出と対応を強化します。 Sentinelを用いて監視、コンプライアンスの施行、インシデント対応を自動化します。 Sentinelで自動化を推進します。 |
2.7 機能:ガバナンス
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise では、新しいデバイスの調達、非従来のコンピューティング デバイスと仮想資産のライフサイクル、およびデバイスの監視とスキャンを定期的に実行するためのポリシーを設定および適用します。 |
Microsoft Intune 新しいデバイスの調達とライフサイクルのポリシーを作成します。 基本的な構成と管理を確認します。 Intune Microsoft Defender for Endpoint デバイスを定期的に監視してスキャンし、脆弱性とコンプライアンスの問題を特定します。 Defender for Endpoint Sentinel デバイスの状態と潜在的な問題を確認するための監視とスキャンのプラクティスを実装します。 Sentinel |
| 高度な成熟度ステータス Enterprise では、デバイスと仮想資産のライフサイクル (列挙や説明責任を含む) に対するエンタープライズ全体のポリシーを、自動化された適用メカニズムを使用して設定します。 自動適用メカニズムを使用したアカウンタビリティ。 |
を行います。 |
| 最適な成熟度ステータス Enterprise では、企業全体でネットワークに接続されているすべてのデバイスと仮想資産のライフサイクルに関するポリシーが自動化されます。 |
次の手順
CISA ゼロ トラスト成熟度モデル用に Microsoft Cloud Services を構成します。
- 概要
- ID
- デバイス
- ネットワーク
- アプリケーションとワークロード
- データ