ゼロ トラスト フレームワークでは、ID が基本コントロール プレーンです。 デバイス、アプリケーション、またはデータ リソースに対するすべてのアクセスの決定は、まず、ユーザーが誰であるか、ユーザーの特権が何であるか、およびコンテキストがポリシーを満たしているかどうかの確認から始まります。
ゼロ トラスト ワークショップの ID の柱は、組織がすべての ID にわたってゼロ トラスト原則 (明示的に検証し、最小限の特権を適用し、侵害を想定する) と一致することを保証します。 ID 機能を最新化するための 優先順位付けされた実用的な実装バックログ が提供されます。
ID 柱ワークショップのガイダンスでは、現在の ID 体制の評価、ギャップの特定、ID 制御の最新化、リスクの軽減、環境全体の安全でシームレスなアクセスを可能にする優先順位付けされたアクションの定義に重点を置いています。
ワークショップの実装
ID ワークショップでは、表にまとめられた実装領域について説明します。
| Area | 詳細情報 |
|---|---|
| ID 資産のインベントリと理解 | ユーザー、アプリケーション、サービス プリンシパル、グループ、ID 属性の完全なインベントリをコンパイルします。 所有権を割り当て、アカウンタビリティを定義し、重要な ID 資産を分類して、ID 資産全体のガバナンスと可視性を確立します。 |
| 強力な条件付きアクセス基盤を確立する | ID、デバイスの状態、リスクシグナル、セッション コンテキストを継続的に評価する包括的な条件付きアクセス戦略を実装します。 従業員、ゲスト、レガシ アクセス パスなど、ユーザー、アプリケーション、シナリオ全体で一貫したアクセス ポリシーを定義して適用します。 |
| 認証を最新化し、レガシ プロトコルを排除する | すべてのアプリケーションとサービスで先進認証を標準化します。 従来の認証方法を排除し、既存のシステムをセキュリティで保護された標準ベースの認証プロトコルに移行して、資格情報ベースの攻撃にさらされるのを減らします。 |
| アプリケーションと ID インフラストラクチャを変換する | アプリケーションを Microsoft Entra ID ベースの認証とシングル サインオン (SSO) に移行することで、オンプレミスの ID システムへの依存関係を減らします。 レガシ フェデレーションと Web アクセス管理インフラストラクチャの使用を停止します。 アプリケーション アクセス パターンを最新化して、ゼロ トラストをサポートします。 |
| 最小限の特権とロールベースのアクセスを適用する | ロールベースのアクセス制御 (RBAC) とアクセス パッケージを使用して、ジョブ機能に基づいてアクセスを割り当てます。 ロール モデルを定義し、最小限の特権を適用し、アクセス レビューとポリシー ベースのガバナンスを通じて継続的にアクセスを検証して、ユーザーが必要なアクセス許可のみを持っていることを確認します。 |
| 特権 ID とワークロード ID を保護する | Just-In-Time アクセス、Privileged Identity Management (PIM)、強力な認証、強化されたアクセス パスを使用して、管理アカウントとリスクの高いアカウントをセキュリティで保護します。 ガバナンスと保護をワークロード ID とサービス プリンシパルに拡張して、過剰に特権を持つ ID やアンマネージド ID からのリスクを軽減します。 |
| ID データ ガバナンスとプロビジョニング フローを確立する | 権限のある ID データ ソース、属性スキーマ、およびシステム間のデータ フローを定義します。 プロビジョニング パイプラインとコネクタを実装して、ID データが一貫性があり、正確で、アプリケーションとサービス間で確実に同期されるようにします。 |
| ID のライフサイクルとプロビジョニングを自動化する | 人事プラットフォームなどの権限のあるシステム全体に、自動化されたプロビジョニングとライフサイクル ワークフロー (結合者、ムーバー、離職者) を実装します。 プロビジョニング プロセスの監視と検証を使用して、ライフサイクル イベントに基づいて自動的にアクセスが許可、更新、削除されるようにします。 |
| パスワードレス認証を使用して資格情報のセキュリティを強化する | パスワード保護を実装し、フィッシング詐欺に強く、FIDO2、Windows Hello for Business、Microsoft Authenticatorなどのパスワードレス認証方法を展開することで、パスワードへの依存を減らします。 組織全体で強力な認証方法の導入を推進します。 |
| 外部 ID とパートナー ID を管理する | 外部ユーザーとパートナー組織の管理されたオンボーディング、アクセス割り当て、ライフサイクル プロセスを確立します。 アクセス パッケージ、スポンサー プラン モデル、監視を実装して、外部 ID が組織のポリシーに適切に準拠していることを確認します。 |
| 既存のアクセスをクリーンアップして修復する | 特権を超えるアカウント、未使用の ID、古いグループ メンバーシップを特定して修復します。 アクセス レビューを実施し、継続的なガバナンス プロセスを実装して、最小限の特権を維持し、時間の経過と同時に蓄積された ID リスクを軽減します。 |
| ID セキュリティの監視と応答を有効にする (SecOps) | ID 保護、脅威検出、および一元的なログ記録を組み込むことで、ID シグナルをセキュリティ操作に統合します。 セキュリティ分析と運用プレイブックを使用して、ID の正常性の監視、疑わしいアクティビティの検出、ID ベースの脅威の調査と対応を行います。 |
ID を評価する
ゼロ トラスト評価ツールは、さまざまなセキュリティのベスト プラクティスに対して ID 構成を評価できます。 詳細については、こちらを参照してください。
次のステップ
評価を実行し、 ID ワークショップを開始します。