RaMP チェックリスト - すべてのアクセス要求の信頼を明示的に検証する
この Rapid Modernization Plan (RaMP) チェックlist は、ID をコントロール プレーンとして使用するクラウド アプリケーションとモバイル デバイスのセキュリティ境界を確立し、パブリック ネットワークとプライベート ネットワークの両方でアクセスを許可する前に、ユーザー アカウントとデバイスの信頼を明示的に検証するのに役立ちます。
生産性を高めるためには、従業員 (ユーザー) が次の機能を使用できる必要があります。
- ID を確認するためのアカウント資格情報。
- PC、タブレット、電話などのエンドポイント (デバイス)。
- ジョブを実行するために提供したアプリケーション。
- オンプレミスかクラウドかに関係なく、デバイスとアプリケーションの間をトラフィックが流れるネットワーク。
これらの要素はそれぞれ攻撃者のターゲットであり、ゼロ トラストの"信頼しない、常に検証" の中心原則で保護する必要があります。
このチェックリストには、ゼロ トラストを使用して、次のすべてのアクセス要求に対する信頼を明示的に検証することが含まれます。
この作業を完了すると、ゼロ トラスト アーキテクチャのこの部分が構築されます。
Identities
デジタル資産全体にわたる強力な認証を使用して各 ID を検証し、セキュリティで保護します。Microsoft Entra ID は、毎月 4 億 2,500 万人のユーザーをアプリ、デバイス、データに接続する統合セキュリティを備えた完全な ID およびアクセス管理ソリューションです。
プログラムとプロジェクト メンバーのアカウンタビリティ
次の表では、スポンサープラン/プログラム管理/プロジェクト管理階層の観点から、ユーザー アカウントの全体的な保護を示し、結果を決定して推進します。
| リード | 担当者 | アカウンタビリティ |
|---|---|---|
| CISO、CIO、または ID セキュリティのディレクター | 経営幹部の支援 | |
| ID セキュリティまたは ID アーキテクトからのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| セキュリティ アーキテクト | 構成と標準に関してアドバイスする | |
| ID セキュリティまたは ID アーキテクト | 構成の変更を実装する | |
| ID 管理者 | 標準とポリシーのドキュメントを更新する | |
| セキュリティ ガバナンスまたは ID 管理 | コンプライアンスを確保するために監視する | |
| ユーザー教育チーム | ユーザーのガイダンスにポリシーの更新が反映されるようにする |
展開の目的
これらのデプロイ目標を満たし、ゼロ トラストを使用して特権 ID を保護します。
| 完了 | 展開の目標 | 担当者 | ドキュメント |
|---|---|---|---|
| 1. 管理ユーザー アカウントを保護するために、セキュリティで保護された特権アクセスを展開します。 | IT 実装者 | Microsoft Entra ID でのハイブリッドおよびクラウド デプロイ用の特権アクセスをセキュリティで保護する | |
| 2. Microsoft Entra Privileged Identity Management (PIM) を、特権ユーザー アカウントを使用するための期限付きの Just-In-Time 承認プロセスに展開します。 | IT 実装者 | Privileged Identity Management のデプロイを計画する |
ゼロ トラストを使用してユーザー ID を保護するには、これらのデプロイ目標を満たします。
| 完了 | 展開の目標 | 担当者 | ドキュメント |
|---|---|---|---|
| 1. セルフサービス パスワード リセット (SSPR) を有効にして、資格情報のリセット機能を提供します | IT 実装者 | Microsoft Entra のセルフサービス パスワード リセットの展開を計画する | |
| 2.多要素認証 (MFA) を有効にし、MFA に適切な方法を選択する | IT 実装者 | Microsoft Entra 多要素認証の展開を計画する | |
| 3. ディレクトリのユーザー登録を組み合わせて有効にして、ユーザーが 1 つの手順で SSPR と MFA に登録できるようにします | IT 実装者 | Microsoft Entra ID で統合されたセキュリティ情報の登録を有効にする | |
| 4. MFA 登録を要求するように条件付きアクセス ポリシーを構成します。 | IT 実装者 | 方法: Microsoft Entra 多要素認証登録ポリシーを構成する | |
| 5. ユーザーとサインインのリスクベースのポリシーを有効にして、リソースへのユーザー アクセスを保護します。 | IT 実装者 | 方法: リスク ポリシーを構成して有効にする | |
| 6. 既知の脆弱なパスワードとそのバリエーションを検出してブロックし、組織に固有の弱い用語を追加でブロックします。 | IT 実装者 | Microsoft Entra のパスワード保護を使って不適切なパスワードを排除する | |
| 7. Microsoft Defender for Identity を展開し、開いているアラートを確認して軽減します (セキュリティ操作と並行して)。 | セキュリティ運用チーム | Microsoft Defender for Identity | |
| 8. パスワードなしの資格情報をデプロイします。 | IT 実装者 | Microsoft Entra ID でのパスワードレス認証のデプロイを計画する |
これで、ゼロ トラスト アーキテクチャの [ID] セクションが作成されました。
エンドポイント
エンドポイント (デバイス) へのアクセスを許可する前に、コンプライアンスと正常性の状態を確認し、ネットワークへのアクセス方法を把握します。
プログラムとプロジェクト メンバーのアカウンタビリティ
次の表では、結果を特定して推進するためのスポンサープラン/プログラム管理/プロジェクト管理階層の観点から、エンドポイントの全体的な保護について説明します。
| リード | 担当者 | アカウンタビリティ |
|---|---|---|
| CISO、CIO、または ID セキュリティのディレクター | 経営幹部の支援 | |
| Identity Security または IDENTITY Architect のプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| セキュリティ アーキテクト | 構成と標準に関してアドバイスする | |
| ID セキュリティまたはインフラストラクチャ セキュリティ アーキテクト | 構成の変更を実装する | |
| モバイル デバイス管理 (MDM) 管理 | 標準とポリシーのドキュメントを更新する | |
| セキュリティ ガバナンスまたは MDM 管理 | コンプライアンスを確保するために監視する | |
| ユーザー教育チーム | ユーザーのガイダンスにポリシーの更新が反映されるようにする |
展開の目的
ゼロ トラストを使用してエンドポイント (デバイス) を保護するには、これらのデプロイ目標を満たします。
| 完了 | 展開の目標 | 担当者 | ドキュメント |
|---|---|---|---|
| 1. Microsoft Entra ID でデバイスを登録します。 | MDM 管理 | デバイス ID | |
| 2. デバイスを登録し、構成プロファイルを作成します。 | MDM 管理 | デバイス管理の概要 | |
| 3. Defender for Endpoint を Intune に接続します (セキュリティ操作と並行して)。 | ID セキュリティ 管理 | Intune で Microsoft Defender for Endpoint を構成する | |
| 4. デバイスのコンプライアンスと条件付きアクセスのリスクを監視します。 | ID セキュリティ 管理 | コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する | |
| 5. Microsoft Information Protection を実装し、条件付きアクセス ポリシーと統合します。 | ID セキュリティ 管理 | 秘密度ラベルを使用してコンテンツを保護する |
これで、ゼロ トラスト アーキテクチャの [エンドポイント] セクションが作成されました。
アプリ
アプリは悪意のあるユーザーによって組織に侵入するために使用されるため、アプリが Microsoft Entra ID や Intune などのサービスを使用していることを確認し、ゼロ トラスト保護を提供するか、攻撃に対して強化する必要があります。
プログラムとプロジェクト メンバーのアカウンタビリティ
次の表では、スポンサー プラン/プログラム管理/プロジェクト管理階層の観点から、結果を決定して推進するアプリのゼロ トラスト実装について説明します。
| リード | 担当者 | アカウンタビリティ |
|---|---|---|
| CISO、CIO、またはアプリケーション セキュリティのディレクター | 経営幹部の支援 | |
| アプリ管理からのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| ID アーキテクト | アプリの Microsoft Entra 構成に関するアドバイス オンプレミス アプリの認証標準を更新する |
|
| 開発者アーキテクト | 社内のオンプレミスおよびクラウド アプリの構成と標準に関するアドバイス | |
| ネットワーク アーキテクト | VPN 構成の変更を実装する | |
| クラウド ネットワーク アーキテクト | Microsoft Entra アプリケーション プロキシをデプロイする | |
| セキュリティとガバナンス | コンプライアンスを確保するために監視する |
展開の目的
Microsoft クラウド アプリ、サード パーティの SaaS アプリ、カスタム PaaS アプリ、オンプレミス アプリのゼロ トラスト保護を確保するために、これらのデプロイ目標を満たします。
| 完了 | アプリまたはアプリの使用状況の種類 | 展開の目的 | 担当者 | ドキュメント |
|---|---|---|---|---|
| Microsoft Entra ID に登録されているサード パーティの SaaS アプリとカスタム PaaS アプリ | Microsoft Entra アプリ登録では、Microsoft Entra 認証、認定、アプリの同意ポリシーが使用されます。 Microsoft Entra 条件付きアクセス ポリシーと Intune MAM ポリシーとアプリケーション保護ポリシー (APP) ポリシーを使用して、アプリの使用を許可します。 |
ID アーキテクト | Microsoft Entra ID でのアプリケーション管理 | |
| OAuth が有効で、Microsoft Entra ID、Google、Salesforce に登録されているクラウド アプリ | アプリの動作の可視性、ポリシーの適用によるガバナンス、アプリベースの攻撃の検出と修復には、Microsoft Defender for Cloud Apps のアプリ ガバナンスを使用します。 | セキュリティ エンジニア | 概要 | |
| Microsoft Entra ID に登録されていないサード パーティの SaaS アプリとカスタム PaaS アプリ | 認証、認定、アプリの同意ポリシー用に Microsoft Entra ID に登録します。 Microsoft Entra 条件付きアクセス ポリシーと Intune MAM ポリシーと APP ポリシーを使用します。 |
アプリ アーキテクト | すべてのアプリと Microsoft Entra ID の統合 | |
| オンプレミスのアプリケーションにアクセスするオンプレミス ユーザー(オンプレミスと IaaS ベースの両方のサーバーで実行されているアプリケーションを含む) | OAuth/OIDC や SAML などの先進認証プロトコルがアプリでサポートされていることを確認します。 ユーザーのサインインを保護するための更新プログラムについては、アプリケーション ベンダーにお問い合わせください。 | ID アーキテクト | ベンダーのドキュメントを参照する | |
| VPN 接続を介してオンプレミスのアプリケーションにアクセスするリモート ユーザー | ID プロバイダーとして Microsoft Entra ID を使用するように VPN アプライアンスを構成する | ネットワーク アーキテクト | ベンダーのドキュメントを参照する | |
| VPN 接続を介してオンプレミス の Web アプリケーションにアクセスするリモート ユーザー | Microsoft Entra アプリケーション プロキシを使用してアプリケーションを発行します。 リモート ユーザーは、アプリケーション プロキシ コネクタを介してオンプレミスの Web サーバーにルーティングされる、発行された個々のアプリケーションにのみアクセスする必要があります。 接続は強力な Microsoft Entra 認証を利用し、ユーザーとそのデバイスが一度に 1 つのアプリケーションにアクセスすることを制限します。 一方、一般的なリモート アクセス VPN のスコープは、オンプレミス ネットワーク全体のすべての場所、プロトコル、ポートです。 |
クラウド ネットワーク アーキテクト | Microsoft Entra アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス |
これらのデプロイ目標を完了すると、ゼロ トラスト アーキテクチャの [アプリ] セクションが作成されます。
ネットワーク
ゼロ トラスト モデルは侵害を想定し、制御されていないネットワークから送信されたかのように各要求を検証します。 これはパブリック ネットワークの一般的な方法ですが、一般的にパブリック インターネットからファイアウォールが適用される組織の内部ネットワークにも適用されます。
ゼロ トラストに準拠するには、オンプレミスでもクラウドでもパブリック ネットワークとプライベート ネットワークの両方でセキュリティの脆弱性に対処し、明示的に検証し、最小限の特権アクセスを使用し、侵害を想定する必要があります。 デバイス、ユーザー、アプリはプライベート ネットワーク上にあるため、本質的に信頼されるわけではありません。
プログラムとプロジェクト メンバーのアカウンタビリティ
次の表では、スポンサー プラン/プログラム管理/プロジェクト管理階層の観点から、結果を特定して推進するパブリック ネットワークとプライベート ネットワークのゼロ トラスト実装について説明します。
| リード | 担当者 | アカウンタビリティ |
|---|---|---|
| CISO、CIO、またはネットワーク セキュリティのディレクター | 経営幹部の支援 | |
| ネットワーク リーダーシップのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| セキュリティ アーキテクト | 暗号化とアクセス ポリシーの構成と標準に関するアドバイス | |
| ネットワーク アーキテクト | トラフィック フィルター処理とネットワーク アーキテクチャの変更に関するアドバイス | |
| ネットワーク エンジニア | セグメント化構成の変更を設計する | |
| ネットワーク実装者 | ネットワーク機器の構成の変更と構成ドキュメントの更新 | |
| ネットワーク ガバナンス | コンプライアンスを確保するために監視する |
展開の目的
これらのデプロイ目標を満たし、オンプレミスとクラウドベースの両方のトラフィックに対して、パブリック ネットワークとプライベート ネットワークのゼロ トラスト保護を確保します。 これらの目標は並行して行うことができます。
| 完了 | 展開の目標 | 担当者 | ドキュメント |
|---|---|---|---|
| IaaS コンポーネント間、オンプレミスユーザーとアプリ間など、すべてのトラフィック接続に対して暗号化を必要とします。 | セキュリティ アーキテクト | Azure IaaS コンポーネント オンプレミスの Windows デバイスの IPsec |
|
| ポリシー (ユーザーまたはデバイス ID) またはトラフィック フィルター処理によって、重要なデータとアプリケーションへのアクセスを制限します。 | セキュリティ アーキテクトまたはネットワーク アーキテクト | Cloud App Security のアプリの条件付きアクセス制御のアクセス ポリシー Windows デバイス用 Windows ファイアウォール |
|
| マイクロ境界とマイクロセグメント化を使用して、イングレストラフィックとエグレストラフィック制御を使用してオンプレミスのネットワークセグメント化をデプロイします。 | ネットワーク アーキテクトまたはネットワーク エンジニア | オンプレミスのネットワークとエッジ デバイスのドキュメントを参照してください。 | |
| オンプレミスのトラフィックに対してリアルタイムの脅威検出を使用します。 | SecOps アナリスト | Windows の脅威の防止 Microsoft Defender for Endpoint |
|
| マイクロ境界とマイクロセグメント化を使用して、イングレスおよびエグレス トラフィック制御を使用してクラウド ネットワークのセグメント化をデプロイします。 | ネットワーク アーキテクトまたはネットワーク エンジニア | Azure にネットワークのセグメント化パターンを実装する | |
| クラウド トラフィックに対してリアルタイムの脅威検出を使用します。 | ネットワーク アーキテクトまたはネットワーク エンジニア | Azure Firewall の脅威インテリジェンスベースのフィルター処理 Azure Firewall プレミアム ネットワーク侵入検出および防止システム (IDPS) |
これらのデプロイ目標を完了すると、ゼロ トラスト アーキテクチャのネットワーク セクションが構築されます。
次のステップ
データ、コンプライアンス、ガバナンスを使用して 、ユーザー アクセスと生産性のイニシアチブを継続します。