小規模ビジネス ゼロ トラスト ガイダンス
この記事では、Microsoft 365 Business Premium のお客様、および中小企業のお客様に一般的に使用されるその他のテクノロジで作業するお客様やパートナー向けのゼロ トラスト導入ガイダンスとリソースについて説明します。 これらのリソースは、以下のゼロ トラスト原則を実現するのに役立ちます。
| 明示的に検証する | 最小限の特権アクセスを使用する | 侵害を想定する |
|---|---|---|
| 常に ID とデバイスのアクセス ポリシーで認証と承認を行います。 | 必要なアクセスとタスクの実行に必要な時間のみをユーザーに提供します。 | 攻撃を防止し、脅威から保護し、対応できるようにするためにできることをします。 |
この記事には、Microsoft パートナー様向けの情報とリソースも含まれています。
Microsoft 365 Business Premium 向け構成ガイダンス
Microsoft 365 Business Premium は、特に中小規模事業者向けに設計された包括的なクラウド生産性およびセキュリティのためのソリューションです。 このガイダンスでは、Microsoft 365 Business Premium で提供する機能を使用したエンド ツー エンド構成プロセスにおけるゼロ トラスト原則の適用について学びます。
| サイバー セキュリティ プレイブック | 説明 |
|---|---|
|
本ライブラリに含まれるもの:
|
次のリソース を参照してください:
- Microsoft 365 Business Premium - 小規模事象者向けの生産性とサイバーセキュリティ
- パートナーおよび小規模事業者向けの Microsoft 365 Business Premium リソース
| ゼロ トラストの標準 | 以下により適合 |
|---|---|
| 明示的に検証する | 多要素認証 (MFA) は、セキュリティの既定値を使用する (または条件付きアクセスを使用する) ことでオンになります。 この構成においては、ユーザーが MFA に登録する必要があります。 また、レガシー認証によるアクセス (最新認証をサポートしていないデバイス) も無効となるので、管理者はサインインのたびに認証を行う必要があります。 |
| 最小限の特権アクセスを使用する | 管理者アカウントの保護と、ユーザー タスクにこれらのアカウントを使用しないようにするためのガイダンスを提供します。 |
| 侵害を想定する | 事前設定済みのセキュリティ ポリシーを使用することで、マルウェアやその他のサイバーセキュリティの脅威に対する保護が強化されます。 アンマネージド (BYOD) デバイスのセットアップ、電子メールの安全な使用、より安全なコラボレーションや共有についてチームにトレーニングを提供するためのガイダンスを提供します。 マネージド デバイス (組織が所有するデバイス) をセキュリティで保護するための追加のガイダンスを提供します。 |
その他の脅威に対する防御
Microsoft 365 Business Premiumには、シンプルな構成エクスペリエンスを備えたデバイスに包括的なセキュリティを提供する Microsoft Defender for Business が含まれています。 中小企業向けに最適化された機能には、脅威と脆弱性の管理、次世代保護 (ウイルス対策とファイアウォール)、自動調査と修復などが含まれます。
Microsoft 365 Business Premiumは、Microsoft Defender for Office 365 プラン 1 を利用して電子メール コンテンツや Office ファイルをフィッシング、スパム、マルウェアから保護するための高度な保護対策 (安全なリンクおよび安全な添付ファイル)も含みます。 これらの機能の使用により、メールとコラボレーション コンテンツのセキュリティが向上し、保護が強化されます。
次のリソース を参照してください:
| ゼロ トラストの標準 | 以下により適合 |
|---|---|
| 明示的に検証する | 会社のデータにアクセスするすべてのデバイスは、セキュリティ要件を満たす必要があります。 |
| 最小限の特権アクセスを使用する | ロールを使用してアクセス権限を割り当てる方法と、未承認アクセスを防ぐセキュリティ ポリシについてのガイダンスを提供します。 |
| 侵害を想定する | デバイス、電子メール、コラボレーション コンテンツに対して高度な保護を提供します。 修復アクションは、脅威が検出されたときに実行されます。 |
パートナー向けガイダンスとツール
Microsoft パートナー向けに、ビジネス顧客のセキュリティ管理に役立つリソースをいくつか用意しています。 これらのリソースには、ラーニング パス、ガイダンス、統合が含まれます。
セキュリティ ソリューション パートナーの指定を受けると、統合されたセキュリティ、コンプライアンス、ID ソリューションを備えた信頼できるパートナーとして顧客から認識してもらうことができます。 詳しくは、セキュリティ ソリューション パートナー向けラーニング パス (Microsoft パートナー センター) を参照してください。
ソリューションパートナーとして付与を受けたアクセス権限と管理権限を顧客に確認してもらうのに役立つガイダンスを提供しています。 また、Microsoft のマネージド セキュリティ サービス プロバイダー (MSSP) が企業顧客のテナントと統合するのに役立つガイダンスも用意されています。 次の記事をご覧ください。
Microsoft パートナーとして、顧客のセキュリティ設定を管理したり、デバイスやデータを保護するのに役立つリソースを提供しています。 Microsoft 365 Lighthouse は、Microsoft 365 Business Premium、Microsoft Defender for Business、および Microsoft Defender for Endpoint と統合されています。
Defender for Endpoint API を使用することで、 Microsoft 365 Business Premium のデバイス セキュリティ機能を、リモート監視および管理 (RMM) ツールおよびプロフェッショナル サービス自動化 (PSA) ソフトウェアと統合することができます。 次の記事をご覧ください。
- Microsoft エンドポイント セキュリティを RMM ツールおよび PSA ソフトウェアと統合する
- Microsoft 365 Lighthouse を使用して、顧客のデバイスとデータをセキュリティ保護し管理する
- パートナー向けのヘルプ (一般的な情報とサポート)
| ゼロ トラストの標準 | 以下により適合 |
|---|---|
| 明示的に検証する | Microsoft パートナーが、顧客の ID を設定・管理し方法やポリシーにアクセスするのに役立つパートナー リソースを提供しています。 |
| 最小限の特権アクセスを使用する | パートナーは、顧客テナントとの統合を構成できます。 顧客は、パートナーに付与されたアクセス権限と管理権限を確認できます。 |
| 侵害を想定する | Microsoft 365 Lighthouse は、中小規模事業者向けの Microsoft 脅威保護機能と統合されています。 |
ユーザーまたは顧客が使用する他の SaaS アプリケーションを保護する
お客様やお客様の中小企業の顧客は、Salesforce、Adobe Creative Cloud、DocuSign などの SaaS (サービスとしてのソフトウェア) アプリケーションを使用している場合が多くあります。 これらのアプリケーションを Microsoft Entra ID と統合し、MFA および条件付きアクセス ポリシーに含めることができます。
Microsoft Entra アプリケーション ギャラリーは、Entra ID と事前に統合されたサービスとしてのソフトウェア (SaaS) アプリケーションのコレクションです。 必要な操作は、ギャラリー内でアプリケーションを見つけて、お使いの環境に追加するだけです。 その後、アプリケーションを MFA および条件付きアクセス ルールの範囲に含めることができるようになります。 詳しくは、Microsoft Entra アプリケーションギャラリーの概要を参照ください。
SaaS アプリを環境に追加すると、これらのアプリは自動的に Microsoft Entra MFA とセキュリティの既定値群で提供されるその他の保護機能で保護されます。 セキュリティ既定値ではなく条件付きアクセス ポリシーを使用している場合は、当該アプリケーションを条件付きアクセスと関連ポリシーのスコープに追加する必要があります。 「Microsoft 365 Business Premium で MFA をオンにする」を参照してください。
Microsoft Entra ID では、場所、デバイス、役割、タスクなどの要因に基づいて、ユーザーに MFA の入力を求められるタイミングが決定されます。 この機能により、SaaS アプリケーションを含む、Microsoft Entra ID に登録されているすべてのアプリケーションが保護されます。 「必要に応じてユーザーに MFA の実行を要求する」を参照してください。
| ゼロ トラストの標準 | 以下により適合 |
|---|---|
| 明示的に検証する | 追加するすべての SaaS アプリは、アクセスに MFA が要求されます。 |
| 最小限の特権アクセスを使用する | ユーザーは、会社のデータにアクセスするアプリケーションを使用するには所定の認証要件を満たす必要があります。 |
| 侵害を想定する | ユーザー認証時には、場所、デバイス、ロール、タスクなどの要素が考慮されます。 MFA は必要に応じて使用されます。 |
ゼロ トラストに関するその他のドキュメント
ドキュメント セットまたは組織内での役割に基づいて、追加のゼロ トラスト コンテンツを使用します。
ドキュメント セット
ニーズに最適なゼロ トラスト ドキュメント セットについては、次の表を参照してください。
| ドキュメント セット | 役立つ場合 | ロール |
|---|---|---|
| 主要なビジネス ソリューションと成果に関するフェーズとステップのガイダンスを提供する採用フレームワーク | 経営幹部から IT 実装に至るまでゼロ トラスト保護を適用する。 | セキュリティ アーキテクト、IT チーム、プロジェクト マネージャー |
| テクノロジ領域の一般的な展開ガイダンスに関する概念と展開の目標 | テクノロジ領域に合わせてゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
| 簡単に達成できるプロジェクト マネジメントのガイダンスとチェックリストに関するゼロ トラストの迅速な近代化計画 (RaMP) | ゼロ トラスト保護の主要レイヤーを迅速に実装する。 | セキュリティ アーキテクトと IT 実装者 |
| 段階的かつ詳細な設計と展開のガイダンスに関する Microsoft 365 を使用したゼロ トラスト展開プラン | Microsoft 365 テナントにゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
| 設計とデプロイに関する段階的かつ詳細なガイダンスを提供する Microsoft Copilots のゼロ トラスト | Microsoft Copilots にゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
| 段階的かつ詳細な設計と展開のガイダンスに関する Azure サービス向けゼロ トラスト | Azure のワークロードとサービスにゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
| テクノロジ領域と専門分野に対応する設計ガイダンスに関するパートナーとゼロ トラストの統合 | パートナーの Microsoft クラウド ソリューションにゼロ トラスト保護を適用する。 | パートナー開発者、IT チーム、セキュリティ スタッフ |
| アプリケーション開発の設計ガイダンスとベスト プラクティスに関するゼロ トラストの原則を使用した開発 | アプリケーションにゼロ トラスト保護を適用する。 | アプリケーション開発者 |
自分のロール
組織内の役割に最適なドキュメント セットについては、次の表を参照してください。
| Role | ドキュメント セット | 役立つ場合 |
|---|---|---|
| セキュリティ アーキテクト IT プロジェクト マネージャー ITの実装ツール |
主要なビジネス ソリューションと成果に関するフェーズとステップのガイダンスを提供する採用フレームワーク | 経営幹部から IT 実装に至るまでゼロ トラスト保護を適用する。 |
| IT またはセキュリティ チームのメンバー | テクノロジ領域の一般的な展開ガイダンスに関する概念と展開の目標 | テクノロジ領域に合わせてゼロ トラスト保護を適用する。 |
| セキュリティ アーキテクト ITの実装ツール |
簡単に達成できるプロジェクト マネジメントのガイダンスとチェックリストに関するゼロ トラストの迅速な近代化計画 (RaMP) | ゼロ トラスト保護の主要レイヤーを迅速に実装する。 |
| Microsoft 365 の IT またはセキュリティ チームのメンバー | Microsoft 365 の段階的かつ詳細な設計と展開のガイダンスに関する Microsoft 365 を使用したゼロ トラスト展開プラン | Microsoft 365 テナントにゼロ トラスト保護を適用する。 |
| Microsoft Copilots の IT またはセキュリティ チームのメンバー | 設計とデプロイに関する段階的かつ詳細なガイダンスを提供する Microsoft Copilots のゼロ トラスト | Microsoft Copilots にゼロ トラスト保護を適用する。 |
| Azure サービスの IT チームまたはセキュリティ チームのメンバー | 段階的かつ詳細な設計と展開のガイダンスに関する Azure サービス向けゼロ トラスト | Azure のワークロードとサービスにゼロ トラスト保護を適用する。 |
| パートナー開発者、または IT チームまたはセキュリティ チームのメンバー | テクノロジ領域と専門分野に対応する設計ガイダンスに関するパートナーとゼロ トラストの統合 | パートナーの Microsoft クラウド ソリューションにゼロ トラスト保護を適用する。 |
| アプリケーション開発者 | アプリケーション開発の設計ガイダンスとベスト プラクティスに関するゼロ トラストの原則を使用した開発 | アプリケーションにゼロ トラスト保護を適用する。 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示