特権アクセスは エンタープライズ アクセス モデル 全体に配置され、コントロール プレーンへの唯一の管理パスを提供します。 システムを構成し、ID を管理し、セキュリティを適用し、最終的に組織のテクノロジ環境を形成できるユーザーを定義します。
現代の企業では、比較的少数の ID (管理者、サービス アカウント、コントロール プレーンロール) は、ほとんどのビジネス資産に対する権限とアクセス権を持っています。 これらの ID は次のことができます。
- アクセス制御を変更する
- システム構成の変更
- 機密データにアクセスする
- セキュリティ保護を無効またはバイパスする
攻撃者はこれを認識します。 すべてのシステムを個別に攻撃するのではなく、次の点に重点を置きます。
- 資格情報を盗む。
- 特権のエスカレート。
- 価値の高いロールに向かって横方向に移動する。
特権アクセスが取得されると、攻撃者は速度とスケールで操作できます。
これが、最新のセキュリティ モデルが特権アクセスを異なる方法で扱う理由です。
- 明示的に制御する必要があります。 たとえば、永続的なロールの割り当てではなく、承認と期限付きの昇格を必要とする、ID ガバナンスと特権 ID 管理 (PIM) を使用して特権ロールとオンボードを定義します。
- 通常のアクティビティから分離する必要があります。 たとえば、個別の管理アカウントと専用の特権アクセス デバイス (PAW) を使用して、標準のユーザー セッションやアンマネージド デバイスから特権アクションが発生しないようにします。
- 継続的に監視する必要があります。 たとえば、特権サインイン、ロールのアクティブ化、ポリシーの変更を監視ツール (通常とは異なる使用パターンを検出し、アラートや自動応答をトリガーするMicrosoft Sentinelなど) に送信します。
- 特権アクセスが侵害の主なターゲットになることに同意する必要があります。 たとえば、攻撃者が資格情報の盗難と特権のエスカレーションを試みると仮定して、強力な多要素認証 (MFA)、永続的なアクセスなし、および重大なアカウント制御を使用して、すべての特権アカウントを保護します。
特権アクセスを保護するには、ロールとアカウントだけでなく、特権アクセスを持つすべてのコンポーネントを理解する必要があります。 これには、以下のことが含まれます。
- アイデンティティ コントロールプレーン。
- 特権デバイス、アプリ、インターフェイス。
- VPN、PIM、特権アクセス管理 (PAM) システムなどの仲介システム。
これらを組み合わせて、制御の実行方法と、その保護方法を定義します。
次の図は、特権アクセス侵害の潜在的な攻撃対象領域を示しています。
アイデンティティ コントロールプレーン
ID コントロール プレーンは、特権ロールを保持できるユーザーと、それらの特権を組織全体で割り当て、昇格、取り消す方法を定義および管理するレイヤーです。 特権アクセス コンテキストには、特権 ID、ロールの割り当て、承認された昇格パスが含まれており、他のすべてのコントロールが依存する基盤を形成します。
ID コントロール プレーンをセキュリティで保護することで、権限が明示的、期限付き、厳密に認証され、監査可能であることが保証され、最終的に環境全体を制御するシステムへの未承認または制御されていないアクセスが防止されます。
次の図は、コントロール プレーンがクラウド サービス (Microsoft Entra ID、Intune、エンドポイントのDefender) で一元的に管理され、特権アクセス ワークステーション (PAW) を介してのみアクセスでき、すべての特権操作の分離、制御、およびセキュリティで保護された管理を実施できることを示しています。
コントロール プレーンのロール
Microsoft Entra ID には、特権として識別されるロールとアクセス許可があります。
これらのロールとアクセス許可を使用し、ディレクトリ リソースの管理を他のユーザーに委任したり、資格情報ポリシー、認証ポリシー、認可ポリシーを変更したり、制限付きデータにアクセスしたりできます。 特権ロールの割り当ては、セキュリティで保護された意図した方法で使用しないと、特権の昇格につながる可能性があります。
- Microsoft Entra の特権ロールを確認します。
- 特権ロールの表示と使用について詳しくは、こちらをご覧ください。
特権アクセス ワークステーション
特権アクセス ワークステーション (PAW) は、管理タスクの実行にのみ使用される専用のセキュリティ強化されたデバイスです。 通常のユーザー デバイスとは別であり、資格情報の盗難、マルウェア、または横移動のリスクを軽減するために厳重に保護されています。 PAW では、次のようなキー保護が適用されます。
- 強力な認証 (たとえば、Windows Hello for Business)
- デバイスのセキュリティ強化 (Credential Guard、Device Guard、Exploit Guard、AppLocker)
- 使用制限 (一般的な閲覧や生産性アクティビティなし)
目標は、特権資格情報とアクションが信頼されていない環境に公開されないようにすることです。
次の図は、PAW がコントロール プレーンへの唯一の信頼されたアクセス ポイントであることを示しています。
図に示すように、すべての管理アクションは PAW を通過し、表にまとめられたとおりに制御されます。
| Control | 実装 |
|---|---|
| 明示的に制御 | 管理アクセスはポリシー ベースの ID 制御によってのみ付与され、強力な認証と承認された期限付きの昇格が必要です。 アクセスが許可される前に、デバイスの状態もコンプライアンス要件を満たしている必要があります。 |
| 通常のアクティビティから分離 | 特権操作は、厳密に制御された使用と接続を持つ専用 PAW デバイスに制限されます。 PAW は、インターネット アクセスが制限され、機密性の高いシステムへの安全なリモート接続を備えた一般的な生産性には使用されません。 |
| 継続的に監視 | すべての ID アクティビティ、デバイスの状態、エンドポイントの動作が継続的に収集および分析され、異常な特権アクティビティと迅速な応答の検出が可能になります。 |
| 対象と想定される | 攻撃者が特権アクセスを対象としていると仮定して、環境が強化され、継続的に検証されます。 デバイスは最新の状態に保たれ、セキュリティで保護されたブートストラップが適用されます。 |
次のステップ
特権アクセス アーキテクチャをデプロイします。