ゼロ トラスト モデルでは、デバイスは信頼評価の重要な部分です。 ユーザーの ID が検証された場合でも、アクセスの決定は、デバイスのセキュリティの正常性、構成、およびリスクの状態にも依存します。 デバイスの柱は、デバイスが確実に管理され、継続的に評価され、脅威から保護され、デバイスの状態に基づいてアクセスの決定を可能にすることに重点を置いています。
デバイスの柱のワークショップ ガイダンスでは、デバイスのライフサイクルと登録の管理、コンプライアンスと構成標準の適用、脅威からのエンドポイントの保護、攻撃対象領域の削減、アクセスとセキュリティ操作へのデバイス リスクの統合に重点を置いています。
ワークショップの実装
デバイス ワークショップでは、表にまとめられた実装領域について説明します。
| Area | 詳細情報 |
|---|---|
| デバイスの登録とライフサイクルを管理する | 最新の管理 (Microsoft IntuneやWindows Autopilotなど) を使用してデバイスを登録してプロビジョニングします。 デバイスのオンボードと構成を標準化して、デバイスが既知の信頼できる状態で起動し、ライフサイクル全体にわたって一貫して管理されるようにします。 |
| デバイス コンプライアンス体制を定義して適用する | OS のバージョン、構成基準、リスク レベルなどのセキュリティ要件に基づいて、デバイス コンプライアンス ポリシーを定義します。 デバイスの正常性を継続的に評価して、デバイスが組織の標準を満たしているかどうかを判断します。 |
| 条件付きアクセスでデバイスの状態に基づくアクセスを適用する | デバイスのコンプライアンスとリスクシグナルを条件付きアクセス ポリシーに統合して、正常で準拠しているデバイスのみが企業リソースにアクセスできるようにします。 マネージド デバイス、アンマネージド デバイス、危険度の高いデバイスに対して、差別化されたアクセス制御を適用します。 |
| セキュリティで保護されたデバイス構成とベースライン標準 | セキュリティ ベースラインと構成ポリシーを適用して、デバイス間で一貫したセキュリティ強化を適用します。 オペレーティング システム、セキュリティ制御、および管理構成の設定を標準化して、構成ミスを減らします。 |
| デバイスの攻撃対象領域を減らし、危険な動作を制限する | 攻撃Surface削減 (ASR) ルール、悪用防止、アプリケーション制御 (たとえば、App Control for Business (以前の Windows Defender アプリケーション制御) など) を実装して、悪用可能な動作を制限し、信頼されていないまたは承認されていないコードの実行を制限します。 |
| 脅威の検出と対応でエンドポイントを保護する | エンドポイント保護と検出機能をデプロイして、デバイス上の脅威を特定、調査、修復します。 エンドポイント保護システムからリスクシグナルを生成し、それらを使用して修復を推進し、アクセスの決定を通知します。 |
| 最小特権と管理制御を実装する | ローカル管理者アクセスを最小限に抑え、デバイスに最小限の特権を適用します。 ロールベースのアクセス制御と管理セグメント化を適用して、承認された担当者のみがデバイス構成と管理ポリシーを管理できるようにします。 |
| 管理対象外デバイスおよび BYOD 向けの安全なアクセス | アプリ保護ポリシー (モバイル アクセス管理 (MAM))、ブラウザー ベースの制御、または仮想化ソリューションを使用して、個人所有の Bring Your Own Devices (BYOD) またはアンマネージド デバイスからの安全なアクセスを有効にします。 デバイスの完全な登録を必要とせずにデータ保護コントロールを適用し、条件付きアクセスを使用してアクションを制限します。 たとえば、ダウンロードをブロックしたり、承認されたアプリを要求したりします。 |
| デバイスを最新の状態に保つ | オペレーティング システムとアプリケーションの更新プログラムを定期的に適用して、デバイスが既知の脆弱性から保護されるようにします。 更新プログラムのコンプライアンスを適用し、パッチ適用プロセスを自動化して、環境全体で一貫性のある安全なデバイス ベースラインを維持します。 |
| さまざまなデバイス シナリオでセキュリティで保護されたアクセスをサポートする | 個人所有、共有、および現場のデバイスの安全な使用を有効にします。 アプリ保護ポリシー、共有デバイス モード、セッション ベースの保護などの適切な制御を適用して、完全なデバイス管理が不可能な場合にアクセスをセキュリティで保護します。 |
| デバイス信号をセキュリティ操作に統合する (SecOps) | デバイスの正常性、コンプライアンス、脅威のシグナルを一元的な監視と対応のワークフローにストリーミングします。 これらのシグナルを ID、データ、ネットワーク テレメトリと関連付けて、デバイスベースの脅威を検出して対応します。 |
デバイスの状態を評価する
ゼロ トラスト評価ツールは、さまざまなセキュリティのベスト プラクティスに対してデバイスの構成を評価できます。 詳細については、こちらを参照してください。
次のステップ
評価を実行し、 デバイス ワークショップを開始します。