ゼロ トラストによる ID のセキュリティ保護

  • [アーティクル]

背景

クラウド アプリケーションとモバイル ワークフォースによって、セキュリティ境界が再定義されました。 従業員は自分のデバイスを持ち込み、リモートで作業しています。 データは企業ネットワークの外部からアクセスされ、パートナーやベンダーなどの外部のコラボレーターと共有されています。 企業のアプリケーションとデータは、オンプレミスからハイブリッド環境やクラウド環境に移行しています。 組織はもはや、セキュリティのための従来のネットワーク コントロールに依存できなくなりました。 コントロールは、データがある場所、つまりデバイス上、アプリ内、およびパートナーとの間に移動する必要があります。

人、サービス、または IoT デバイスを表す ID は、今日の多くのネットワークエンドポイント、およびアプリケーションを共通して制御します。 ゼロ トラスト セキュリティ モデルでは、データへのアクセスを制御するための強力で柔軟な、きめ細かい手段として機能します。

ID によってリソースにアクセスしようとする前に、組織では次のことを行う必要があります。

  • 強力な認証を使用して ID を検証します。

  • アクセスが準拠していること、およびその ID に対して一般的であることを確認します。

  • 最小限の特権アクセスの原則に従います。

ID が検証されると、組織のポリシー、進行中のリスク分析、およびその他のツールに基づいて、リソースへの ID のアクセスを制御できるようになります。

ID のゼロ トラスト展開の目的

ゼロ トラストの導入を開始する前のほとんどの組織では、ID に対するアプローチに問題があります。具体的には、オンプレミスの ID プロバイダーが使用されていて、クラウドとオンプレミスのアプリの間に SSO が存在せず、ID のリスクへの可視性が非常に限られています。

ID に対するエンド ツー エンドのゼロ トラスト フレームワークを実装する場合は、最初にこちらの初期の展開の目的に焦点を当てることをお勧めします。

1 つのチェックマークが付いたリスト アイコン。

I.クラウド ID をオンプレミスの ID システムと連携させる。

II.条件付きアクセス ポリシーによってアクセスを制限し、修復アクティビティを提供する。

III.分析により可視性を向上させる。

これらが完了したら、次の追加の展開目的に焦点を合わせます。

2 つのチェックマークが付いたリスト アイコン。

IV.ID とアクセス特権を ID ガバナンスで管理します。

V.リスクを判断して継続的な保護を提供するために、ユーザー、デバイス、場所、行動をリアルタイムで分析します。

VI.他のセキュリティ ソリューションからの脅威のシグナルを統合して、検出、保護、および対応を改善する。

ID のゼロ トラスト展開ガイド

このガイドでは、ゼロ トラスト セキュリティ フレームワークの原則に従って ID を管理するために必要な手順について説明します。




1 つのチェックマークが付いたチェックリスト アイコン。

初期のデプロイの目的

I. クラウド ID をオンプレミスの ID システムと連携させる

Microsoft Entra ID によって、強力な認証、エンドポイントのセキュリティのための統合ポイント、および最低特権アクセスを保証するためのユーザー中心のポリシーの中核が実現されます。 Microsoft Entra の条件付きアクセス機能は、アクセスの時点で明示的に検証される、ユーザー ID、環境、デバイスの正常性、およびリスクに基づいてリソースにアクセスするためのポリシー決定ポイントを提供します。 ここでは、Microsoft Entra ID を使用してゼロ トラスト ID 戦略を実装する方法について説明します。

展開の初期目的のフェーズ 1 における手順を示す図。

すべてのユーザーを Microsoft Entra ID に接続し、オンプレミスの ID システムと連携させる

従業員の ID と、必要なセキュリティ アーティファクト (認可のためのグループおよび追加のアクセス ポリシー制御のためのエンドポイント) の正常なパイプラインを維持することで、クラウド内で一貫性のある ID とコントロールを使用するための最適な場所がわかります。

次のステップを実行します。

  1. 認証オプションを選択します。 Microsoft Entra ID では、ブルート フォース、DDoS、およびパスワード スプレーに対する最大限の保護が提供されますが、お客様の組織とコンプライアンスのニーズに適した決定を行ってください。

  2. 絶対に必要な ID のみを取り込みます。 たとえば、クラウドへの移行は、オンプレミスでのみ意味を持つサービス アカウントを破棄する機会として利用できます。 オンプレミスの特権ロールは破棄しましょう。

  3. 企業のユーザー、グループ、およびデバイスの数が合計で 10 万を超えている場合は、ライフサイクルを最新の状態に保つためにハイ パフォーマンスの同期ボックスを構築します

Microsoft Entra ID を使った ID 基盤の構築

ゼロ トラスト戦略では、最小限の特権アクセスの原則を使用した明示的な検証と、侵害の想定が必要です。 Microsoft Entra ID は、ユーザー、エンドポイント、ターゲット リソース、および環境での分析情報に基づいてアクセス ポリシーを適用するためのポリシー決定ポイントとして機能することができます。

次の手順を実行します。

  • すべてのアクセス要求のパスに Microsoft Entra ID を配置します。 これにより、すべてのユーザーとすべてのアプリまたはリソースが 1 つの ID コントロール プレーンを介して接続され、認証や認可のリスクについてできる限り最適な決定を行うためのシグナルが Microsoft Entra ID に提供されます。 さらに、シングル サインオンと一貫性のあるポリシー ガードレールによりユーザー エクスペリエンスが向上し、生産性の向上に寄与します。

すべてのアプリケーションを Microsoft Entra ID に統合する

シングル サインオンを使用すると、ユーザーが資格情報のコピーをさまざまなアプリに残してしまうことを防ぎ、過剰に入力を求められるためにユーザーが資格情報を提供するのに慣れてしまうことを防ぐことができます

また、環境に複数の IAM エンジンがないことを確認します。 これによって Microsoft Entra ID で認識されるシグナルの量が減少するだけでなく、2 つの IAM エンジンの間の接合部に悪意のあるアクターの存在を許すと、ユーザー エクスペリエンスが低下することにもなり、ビジネス パートナーがゼロ トラスト戦略に疑いを持つ最初の人物になりかねません。

次のステップを実行します。

  1. OAuth 2.0 または SAML を使用する最新のエンタープライズ アプリケーションを統合します

  2. Kerberos およびフォームベースの認証アプリケーションの場合は、Microsoft Entra アプリケーション プロキシを使用してこれらを統合します

  3. アプリケーション配信ネットワークまたはコントローラーを使用してレガシ アプリケーションを発行する場合は、Microsoft Entra ID を使用して、主なもの (Citrix、Akamai、F5 など) の大部分を統合します。

  4. ADFS および既存の古い IAM エンジンからアプリを検出して移行するには、リソースとツールに関する記事を参照してください。

  5. さまざまなクラウド アプリケーションに ID をプッシュします。 これにより、これらのアプリ内でより厳密な ID ライフサイクル統合が可能になります。

ヒント

アプリケーションに対するエンドツーエンドのゼロ トラスト戦略を実装する方法について学習します

強力な認証を使用して明示的に検証する

次のステップを実行します。

  1. Microsoft Entra 多要素認証 (P1) をロールアウトします。 これはユーザー セッションのリスクを減らすための基本的な要素です。 ユーザーが新しいデバイスや新しい場所からログインしたときに、MFA チャレンジに応答できることは、ユーザーが世界中を移動する場合に、これらが使い慣れたデバイスまたは場所であることを (管理者が個々のシグナルを解析することなく) 通知できる最も直接的な方法の 1 つになります。

  2. レガシ認証をブロックします。 悪意のあるアクターにとって最も一般的な攻撃ベクトルの 1 つは、最新のセキュリティ チャレンジを実行できない SMTP などの従来のプロトコルに対して、盗難または再生された資格情報を使用することです。

II. 条件付きアクセス ポリシーによってアクセスを制限し、修復アクティビティを提供する

Microsoft Entra の条件付きアクセス (CA)では、ユーザー、デバイス、場所などのシグナルを分析して、意思決定を自動化し、リソースに関する組織のアクセス ポリシーを適用します。 CA ポリシーを使用して、多要素認証 (MFA) などのアクセス制御を適用できます。 CA ポリシーを使用すると、セキュリティのために必要な場合はユーザーに MFA を要求し、不要な場合はユーザーに対して何も行わないようにすることができます。

ゼロ トラストでの条件付きアクセス ポリシーの図。

Microsoft は、基本レベルのセキュリティを保証するセキュリティの既定値群と呼ばれる標準の条件付きポリシーを提供しています。 ただし、組織では、セキュリティの既定値群が提供する柔軟性よりも高い柔軟性が必要になる場合があります。 条件付きアクセスを使用すると、セキュリティの既定値群をより詳細にカスタマイズしたり、要件を満たす新しいポリシーを構成したりすることができます。

条件付きアクセス ポリシーを事前に計画し、一連のアクティブなポリシーとフォールバック ポリシーを適用することは、ゼロ トラスト展開でアクセス ポリシーを適用するための基礎的な柱となります。 時間を取って、環境内で信頼できる IP の場所を構成してください。 条件付きアクセス ポリシーでこれらを使用しない場合でも、これらの IP を構成すると、上記で説明した Identity Protection のリスクについて通知されます。

次の手順を実行します。

Microsoft Entra ID にデバイスを登録して、脆弱性のある侵害されたデバイスからのアクセスを制限する

次のステップを実行します。

  1. Microsoft Entra ハイブリッド参加または Microsoft Entra 参加。 ユーザーのラップトップやコンピューターを管理している場合は、その情報を Microsoft Entra ID に取り込み、より適切な意思決定を行うために使用します。 たとえば、組織で制御および管理されているコンピューターからのユーザーであることがわかっている場合、データへのリッチ クライアント アクセス (コンピューター上にオフライン コピーを持つクライアント) を許可することができます。 これを取り込まないと、多くの場合、リッチ クライアントからのアクセスをブロックすることになり、これによってユーザーがセキュリティを回避したり、シャドウ IT を使用したりする可能性があります。

  2. ユーザーのモバイル デバイスを管理してデバイスを登録するために、Microsoft エンドポイント マネージャー (EMS) 内で Intune サービスを有効にします。 ユーザーのモバイル デバイスについても、ラップトップと同じことが言えます。これらについて多く知るほど (パッチレベル、脱獄、ルート化など)、信頼を高めたり低めたりすることができ、アクセスをブロックまたは許可する根拠を提供することができます。

ヒント

エンドポイントに対するエンド ツー エンドのゼロ トラスト戦略を実装する方法について学習します

III. 分析により可視性を向上させる

認証、認可、およびプロビジョニングを使用して Microsoft Entra ID 内で資産を構築する際、ディレクトリ内で何が起こっているかについて、運用に関する十分な分析情報を持つことが重要です。

ログとレポートを構成して可視性を向上させる

次の手順を実行します。




2 つのチェックマークが付いたチェックリスト アイコン。

その他のデプロイの目的

IV. ID とアクセス特権を ID ガバナンスで管理する

最初の 3 つの目的を達成した後は、ID ガバナンスのさらなる堅牢化などの追加の目的に焦点を合わせることができます。

追加の展開の目的のフェーズ 4 における手順を示す図。

Privileged Identity Management を使用して特権アクセスをセキュリティ保護する

ユーザーが特権操作やロールにアクセスするために使用する、エンドポイント、条件、および資格情報を制御します。

次のステップを実行します。

  1. 特権 ID を制御します。 デジタル トランスフォーメーションの済んだ組織では、特権アクセスは管理アクセスだけではなく、ミッション クリティカルなアプリの実行とデータの処理方法を変更することができる、アプリケーション所有者または開発者アクセスでもあることに留意してください。

  2. Privileged Identity Management を使用して、特権 ID をセキュリティ保護します

アプリケーションに対するユーザーの同意は、最新のアプリケーションが組織のリソースにアクセスできるようにするためのごく一般的な方法ですが、注意すべきベスト プラクティスがいくつか存在します。

次のステップを実行します。

  1. ユーザーの同意を制限し、同意要求を管理して、組織のデータがアプリに対して不必要に公開されないようにします。

  2. 組織内の以前または既存の同意を確認して、過剰または悪意のある同意がないか調べます。

機密情報にアクセスするための戦術から保護するためのツールの詳細については、ID ゼロ トラスト戦略の実装ガイドの「サイバー脅威や不正アプリからの保護を強化する」を参照してください。

エンタイトルメントを管理する

アプリケーションを Microsoft Entra ID から一元的に認証および制御することで、アクセス要求、承認、再認定プロセスを合理化して、適切なユーザーが適切なアクセス権を持ち、組織内のユーザーがなぜそのアクセス権を持っているかの理由を記録することができます。

次のステップを実行します。

  1. エンタイトルメント管理を使用して、ユーザーがさまざまなチームやプロジェクトに参加するときに要求でき、関連付けられたリソース (アプリケーション、SharePoint サイト、グループ メンバーシップなど) へのアクセスを割り当てるアクセス パッケージを作成します

  2. 組織において、現時点ではエンタイトルメント管理をデプロイできない場合、セルフサービス グループ管理アプリケーションのセルフサービス アクセスをデプロイして、少なくとも組織内のセルフサービス パラダイムを有効にします。

パスワードレス認証を使用して、フィッシングおよびパスワード攻撃のリスクを軽減する

FIDO 2.0 とパスワードレスの電話によるサインインをサポートする Microsoft Entra ID により、ユーザー (特に機密性の高い特権を持つユーザー) が日常的に使用している認証情報に大きな変化をもたらすことができます。 これらの資格情報は、リスクを軽減することも可能な強力な認証要素です。

次の手順を実行します。

V. リスクを判断して継続的な保護を提供するために、ユーザー、デバイス、場所、行動をリアルタイムで分析する

リアルタイム分析は、リスクと保護の決定に不可欠です。

追加の展開目標のステップ 5 の手順。

Microsoft Entra パスワード保護をデプロイする

ユーザーを明示的に検証するための他の方法を有効にするのと同時に、脆弱なパスワード、パスワード スプレー、および侵害のリプレイによる攻撃を忘れてはいけません。 また、従来の複雑なパスワード ポリシーでは、最も一般的なパスワード攻撃を防ぐことができません

次の手順を実行します。

Identity Protection を有効にする

Identity Protection を使用して、より詳細なセッションまたはユーザーのリスク シグナルを取得します。 リスクを調査して、侵害を確認したり、シグナルを無視したりすることができます。これにより、環境内のリスクがどのようなものであるかをエンジンに詳細に認識させるのに役立ちます。

次の手順を実行します。

Microsoft Defender for Cloud Apps と Identity Protection の統合を有効にします

Microsoft Defender for Cloud Apps では、SaaS および最新のアプリケーション内部でのユーザーの動作を監視します。 これにより、ユーザーが認証され、トークンを受信した後にユーザーに何が発生したかが Microsoft Entra ID に通知されます。 ユーザーのパターンが疑わしいと思われ始めた場合 (たとえば、ユーザーが OneDrive からギガバイトのデータのダウンロードを開始したり、Exchange Online でスパム メールの送信を開始しようとした場合など)、ユーザーが侵害されたか、高いリスクを抱えていると思われることを通知するシグナルを Microsoft Entra ID に提供できます。 このユーザーからの次のアクセス要求があったときに、Microsoft Entra ID では、ユーザーを検証するかブロックするための正しい措置を講じることができます。

次の手順を実行します。

Microsoft Defender for Cloud Apps との条件付きアクセスの統合を有効にする

認証後に生成されたシグナルと、アプリケーションに対する Defender for Cloud アプリ プロキシ要求を使用することで、SaaS アプリケーションに対するセッションを監視し、制限を適用することができます。

次のステップを実行します。

  1. 条件付きアクセスの統合を有効にします

  2. 条件付きアクセスをオンプレミス アプリに拡張します

アクセスの決定に使用する制限付きセッションを有効にする

ユーザーのリスクは低いものの、不明なエンドポイントからサインインしている場合は、重要なリソースへのアクセスは許可するが、組織が準拠しない状態になるような操作の実行は許可したくない場合もあります。 Exchange Online と SharePoint Online を構成することで、電子メールの読み取りやファイルの表示は許可するが、これらをダウンロードして信頼されていないデバイスに保存することは許可しない制限付きセッションをユーザーに提供できるようになりました。

次の手順を実行します。

VI. 他のセキュリティ ソリューションからの脅威のシグナルを統合して、検出、保護、および対応を改善する

最後に、他のセキュリティ ソリューションを統合して、効果をいっそう高めることができます。

Microsoft Defender for Identity を Microsoft Defender for Cloud Apps と統合する

Microsoft Defender for Identity との統合により、Microsoft Entra ID では、ユーザーがオンプレミスの最新ではないリソース (ファイル共有など) にアクセスしているときに、危険な動作を実行していることを認識できます。 クラウドでの今後のアクセスをブロックするために、このことをユーザーの全体的なリスクに織り込むことができます。

次のステップを実行します。

  1. Microsoft Defender for Cloud Apps と Microsoft Defender for Identity の統合を有効にして、オンプレミスのシグナルを、ユーザーに関する既知のリスク シグナルに取り込みます。

  2. リスクがある各ユーザーについての合計した調査の優先順位スコアを確認して、SOC で何に注目すべきかを包括的に把握します。

Microsoft Defender for Endpoint を有効にする

Microsoft Defender for Endpoint を使用すると、Windows マシンの正常性を証明し、侵害されているかどうかを判断できます。 その後、実行時のリスク軽減のために、その情報を提供できます。 ドメイン参加ではコントロール感を得ることができますが、Defender for Endpoint を使用すると、複数のユーザー デバイスが信頼できないサイトにアクセスしたパターンを検出することによってマルウェア攻撃にほぼリアルタイムで対応し、実行時にそれらのデバイスまたはユーザーのリスクを示すことによって対応できます。

次の手順を実行します。

サイバーセキュリティに関するエグゼクティブ オーダー 14028 に従ったアイデンティティの保護と OMB 覚書 22-09

米国国家サイバーセキュリティの改善に関する行政命令 14028OMB 覚書 22-09 には、ゼロトラストに関する具体的な措置が含まれています。 ID アクションには、一元化された ID 管理システムの採用、強力なフィッシングに対する耐性のある MFA の使用、承認の決定に少なくとも 1 つのデバイス レベルのシグナルを組み込むことが含まれます。 Microsoft Entra ID でこれらのアクションを補完する詳しいガイダンスについては、「Microsoft Entra ID を使用した覚書 22-09 の ID 要件を満たす」を参照してください。

このガイドで説明されている製品

Microsoft Azure

Microsoft Entra ID

Microsoft Defender for Identity

Microsoft 365

Microsoft エンドポイント マネージャー (Microsoft Intune を含む)

Microsoft Defender for Endpoint

SharePoint Online

Exchange Online

まとめ

ID は、ゼロ トラスト戦略を成功させるための中核です。 実装に関する詳細情報やヘルプについては、カスタマー サクセス チームにお問い合わせください。または、すべてのゼロ トラスト要素をカバーするこのガイドの他の章を参照してください。



ゼロ トラスト展開ガイド シリーズ

概要のアイコン

ID のアイコン

エンドポイントのアイコン

アプリケーションのアイコン

データのアイコン

インフラストラクチャのアイコン

ネットワークのアイコン

可視性、自動化、オーケストレーションのアイコン