セキュリティの迅速な最新化計画

この迅速なモダン化計画 (RAMP) は、Microsoft が推奨する 特権アクセス戦略を迅速に採用するのに役立ちます。

このロードマップは、 特権アクセス展開 ガイダンスで確立された技術的な制御に基づいています。 これらの手順を完了し、この RAMP の手順を使用して、組織のコントロールを構成します。

Privileged Access RAMP の概要

ロードマップを進めるにつれて、Microsoft セキュア スコアを利用して、過程の多くの項目を追跡し、時間の経過と共に同様の組織の他のアイテムと比較することができます。 Microsoft セキュア スコアの詳細については、セキュリティ スコアの概要に関する記事を参照してください。

この RAMP の各項目は、目標と主要な結果 (OKR) 手法に基づく形式を使用して追跡および管理されるイニシアチブとして構成されています。 各項目には、何 (目標)、理由、ユーザー、方法、および測定方法 (主要な結果) が含まれます。 プロセスや人の知識やスキルを変更する必要がある項目もあれば、より単純なテクノロジの変更が必要な項目もあります。 これらのイニシアチブの多くには、組織に正常に統合されるように、これらの変更の意思決定と実装に含める必要がある、従来の IT 部門外のメンバーが含まれます。

組織として協力し、パートナーシップを作成し、従来このプロセスに参加していなかった人々を教育することが重要です。 組織全体で合意を形成して維持することが重要です。これがないと、多くのプロジェクトが失敗します。

特権アカウントの分離と管理

緊急アクセス アカウント

• 内容: 緊急時に誤ってMicrosoft Entra組織からロックアウトされることがないようにしてください。
• 理由: 緊急アクセス アカウントはほとんど使用されておらず、侵害された場合は組織に大きく損害を与えますが、組織に対する可用性は、必要な場合のいくつかのシナリオでも非常に重要です。 予期されるイベントと予期しないイベントの両方に対応するアクセスの継続性の計画があることを確認します。
• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。
  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準のチームが明確な 要件と標準を文書化する
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します
• 方法: Microsoft Entra ID の緊急アクセス アカウントの管理に関するガイダンスに従ってください。
• 主要な結果を測定する:
  • 確立 緊急アクセスプロセスは、組織のニーズを満たす Microsoft のガイダンスに基づいて設計されています
  • 維持 過去 90 日以内に緊急アクセスがレビューおよびテストされました

Microsoft Entra Privileged Identity Managementを有効にする

• : Microsoft Entra運用環境で Microsoft Entra Privileged Identity Management (PIM) を使用して特権アカウントを検出してセキュリティで保護する
• Why: Privileged Identity Managementは、過剰なアクセス許可、不要なアクセス許可、または誤用されたアクセス許可のリスクを軽減するために、時間ベースおよび承認ベースのロールのアクティブ化を提供します。
• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。
  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します
• 方法: 記事「Deploy Microsoft Entra Privileged Identity Management (PIM) のガイダンスを使用して、Microsoft Entra Privileged Identity Managementをデプロイおよび構成します。
• 主要な結果を測定する: 該当する特権アクセス ロールの 100% が Microsoft Entra PIM を使用されています

特権アカウントの識別と分類 (Microsoft Entra ID)

• 内容: 特権セキュリティ レベルを必要とするビジネスへの影響が大きいすべてのロールとグループを特定します (直ちに、または時間の経過と共に)。 これらの管理者は、後の手順の 特権アクセス管理で個別のアカウントを必要とします。

• 理由: この手順は、個別のアカウントと特権アクセス保護を必要とするユーザーの数を特定して最小限に抑えるために必要です。

• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。

  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します

• 方法: Microsoft Entra Privileged Identity Managementを有効にした後、組織のリスク ポリシーに基づいて、少なくとも次のMicrosoft Entraロールを持つユーザーを表示します。

  • グローバル管理者
  • 特権ロール管理者
  • Exchange 管理者
  • SharePoint管理者

  管理者ロールの完全な一覧については、「Microsoft Entra ID の Administrator ロールのアクセス許可」を参照してください。

  これらのロールで不要になったアカウントを削除します。 次に、管理者ロールに割り当てられている残りのアカウントを分類します。

  • 管理ユーザーに割り当てられますが、メールの読み取りや返信など、管理上の生産性以外の目的にも使用されます。
  • 管理ユーザーに割り当てられ、管理目的でのみ使用されます
  • 複数のユーザー間で共有される
  • ブレイクグラスの緊急アクセスシナリオの場合
  • 自動スクリプト用
  • 外部ユーザー用

組織内にMicrosoft Entra Privileged Identity Managementがない場合は、PowerShell API を使用できます。 組織がサブスクライブしているすべてのクラウド サービスで同じアクセス許可を持っているため、グローバル管理者ロールから始めます。 これらのアクセス許可は、Microsoft 365管理センター、Azure ポータル、または Microsoft Entra PowerShell モジュールによって、割り当てられた場所に関係なく付与されます。

• 主要な結果を測定する: 特権アクセス ロールの確認と識別は、過去 90 日以内に完了しました

個別のアカウント (オンプレミス AD アカウント)

• 内容: まだ行っていない場合は、オンプレミスの特権管理者アカウントをセキュリティで保護します。 このステージには次のものが含まれます。

  • オンプレミスの管理タスクを実行する必要があるユーザー用に個別の管理者アカウントを作成する
  • Active Directory管理者向けの特権アクセス ワークステーションの展開
  • ワークステーションとサーバー用の一意のローカル管理者パスワードの作成

• 理由: 管理タスクに使用されるアカウントを強化する。 管理者アカウントにはメールが無効になっている必要があり、個人用の Microsoft アカウントは許可されません。

• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。

  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します

• 方法: 管理者特権を持つ権限を持つすべての担当者は、ユーザー アカウントとは異なる管理機能用に個別のアカウントを持っている必要があります。 ユーザー間でこれらのアカウントを共有しないでください。

  • 標準ユーザー アカウント - 電子メール、Web 閲覧、基幹業務アプリケーションの使用など、標準ユーザー タスクに対する標準ユーザー特権が付与されました。 これらのアカウントには管理特権は付与されません。
  • 管理アカウント - 適切な管理特権が割り当てられている担当者用に作成された個別のアカウント。

• 主要な結果を測定する: オンプレミスの特権ユーザーの 100% が個別の専用アカウントを持っている

Microsoft Defender for Identity

• What: Microsoft Defender for Identityは、オンプレミスのシグナルとクラウドの分析情報を組み合わせて、イベントを監視、保護、調査するための簡略化された形式で、セキュリティ チームが ID インフラストラクチャに対する高度な攻撃を検出し、次の機能を備えています。

  • 学習ベースの分析を使用してユーザー、エンティティの動作、アクティビティを監視する
  • Active Directoryに格納されているユーザー ID と資格情報を保護する
  • キル チェーン全体にわたる疑わしいユーザー アクティビティと高度な攻撃を特定して調査する
  • 高速トリアージのための簡単なタイムラインに明確なインシデント情報を提供する

• 理由: 最新の攻撃者は、長期間にわたって検出されない可能性があります。 多くの脅威は、ID 環境全体のまとまりのある画像なしでは見つけにくいものです。

• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。

  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します

• 方法: Microsoft Defender for Identity開いているアラートを確認します。

• 主要な結果を測定する: 適切なチームによってレビューされ、対処されたすべてのオープンアラート。

資格情報管理エクスペリエンスの向上

セルフサービス パスワード リセットと統合されたセキュリティ情報登録の実装と文書化

• 機能: 組織内でセルフサービス パスワード リセット (SSPR) を有効にして構成し、統合されたセキュリティ情報登録エクスペリエンスを有効にします。
• 理由: ユーザーは、登録後に自分のパスワードをリセットできます。 統合されたセキュリティ情報登録エクスペリエンスにより、多要素認証とセルフサービス パスワード リセットMicrosoft Entra登録を可能にする、より優れたユーザー エクスペリエンスが提供されます。 これらのツールを一緒に使用すると、ヘルプデスクのコストが削減され、ユーザーの満足度が高くなります。
• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。
  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します
    • 中央 IT 運用 ヘルプデスク プロセスが更新され、担当者に対してトレーニングが行われています
• 方法: SSPR を有効にして展開するには、Microsoft Entraセルフサービス パスワード リセットの展開を計画するに関する記事を参照してください。
• 主要な結果を測定する: セルフサービス パスワード リセットが完全に構成され、組織で使用できる

管理者アカウントを保護する - Microsoft Entra ID特権ユーザーに対して MFA/パスワードレスを有効にして要求する

• : 強力な多要素認証を使用するには、Microsoft Entra IDのすべての特権アカウントが必要です

• Why: Microsoft 365内のデータとサービスへのアクセスを保護します。

• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。

  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します
    • 中央 IT 運用 ヘルプデスク プロセスが更新され、担当者に対してトレーニングが行われています
    • 中央 IT 運用 サービス所有者プロセスが更新され、担当者に対してトレーニングが行われています

• 方法: Microsoft Entra多要素認証 (MFA) を有効にして、他のすべての高い特権を持つシングル ユーザーの非フェデレーション管理者アカウントを登録します。 1 つ以上の Microsoft Entra 管理者ロールに永続的に割り当てられているすべてのユーザーに対して、サインイン時に多要素認証を要求します。

  管理者は、FIDO2 セキュリティ キーやWindows Hello for Businessなどのパスワードなしのサインイン方法を、一意の長い複雑なパスワードと組み合わせて使用する必要があります。 組織のポリシー ドキュメントを使用して、この変更を適用します。

Microsoft Entra多要素認証のデプロイの計画とMicrosoft Entra ID でのパスワードレス認証のデプロイの計画に関する記事のガイダンスに従ってください。

• 主要な結果を測定する: 100% の特権ユーザーが、すべてのログオンにパスワードレス認証または強力な形式の多要素認証を使用しています。 多要素認証の詳細については、「 特権アクセス アカウント 」を参照してください

特権ユーザー アカウントのレガシ認証プロトコルをブロックする

• 機能: 特権ユーザー アカウントに対するレガシ認証プロトコルの使用をブロックします。

• 理由: 多要素認証を適用できないため、組織はこれらのレガシ認証プロトコルをブロックする必要があります。 レガシ認証プロトコルを有効のままにしておくと、攻撃者のエントリ ポイントが作成される可能性があります。 レガシ アプリケーションによっては、これらのプロトコルに依存する場合があり、組織には特定のアカウントに対して特定の例外を作成するオプションがあります。 これらの例外を追跡し、追加の監視制御を実装する必要があります。

• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。

  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準: 明確な要件を確立する
    • ID とキー管理 、または中央 IT 運用 の中央 IT 運用 でポリシーを実装する
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します

• 方法: 組織内のレガシ認証プロトコルをブロックするには、「方法: 条件付きアクセスでMicrosoft Entra IDするレガシ認証をブロックするに関する記事のガイダンスに従います。

• 主要な結果を測定する:

  • レガシ プロトコルがブロックされました。 すべてのレガシ プロトコルは、承認された例外のみで、すべてのユーザーに対してブロックされます
  • 例外 は 90 日ごとに確認され、1 年以内に完全に期限切れになります。 アプリケーション所有者は、最初の例外承認から 1 年以内にすべての例外を修正する必要があります

アプリケーションの同意プロセス

• What: Microsoft Entra アプリケーションに対するエンドユーザーの同意を無効にします。

• 理由: ユーザーは、悪意を持って組織のデータにアクセスできるアプリに同意することで、組織のリスクを誤って作成する可能性があります。
• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。
  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します
    • 中央 IT 運用 ヘルプデスク プロセスが更新され、担当者に対してトレーニングが行われています
    • 中央 IT 運用 サービス所有者プロセスが更新され、担当者に対してトレーニングが行われています
• 方法: データにアクセスできるアプリケーションの一元的な可視性と制御を維持するために、一元化された同意プロセスを確立します。このプロセスは、記事のガイダンスに従って、 アプリケーションへの同意の管理と同意要求の評価を行います。
• 重要指標の測定: エンド ユーザーは Microsoft Entra アプリケーションへのアクセスに同意することができません

アカウントとサインインのリスクをクリーンアップする

• 作業内容: Microsoft Entra ID 保護を有効にし、検出されたリスクをクリーンアップします。
• 理由: 危険なユーザーとサインインの動作は、組織に対する攻撃の原因になる可能性があります。
• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。
  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します
    • 中央 IT 運用 関連するサポートの呼び出しに関するヘルプデスク プロセスが更新され、担当者に対してトレーニングが行われています
• 方法: ユーザーとサインインのリスクを監視および管理するプロセスを作成します。 多要素認証と SSPR Microsoft Entra使用して修復を自動化するか、管理者の介入をブロックして必要とするかを決定します。 「 方法: リスク ポリシーを構成して有効にする」のガイダンスに従います。
• 主要な結果を測定する: 組織には、未対応のユーザーとサインインのリスクがゼロです。

管理ワークステーションの初期展開

• : Microsoft Entra IDを管理するユーザーなどの特権アカウントには、管理タスクを実行するための専用ワークステーションがあります。
• 理由: 特権管理タスクが完了したデバイスは、攻撃者のターゲットです。 アカウントだけでなく、これらの資産をセキュリティで保護することは、攻撃対象領域を減らす上で重要です。 この分離により、電子メールや Web 閲覧などの生産性関連のタスクに対する一般的な攻撃への露出が制限されます。
• ユーザー: このイニシアチブは、通常、 ID とキーの管理 または セキュリティ アーキテクチャによって主導されます。
  • 後援： このイニシアチブは、通常、CISO、CIO、または ID のディレクターによって後援されます
  • 実行： この取り組みは、以下を含む共同の取り組みです。
    • ポリシーと標準チームは、 明確な要件と標準を文書化します (このガイダンスに基づく)
    • 変更を実装するための ID とキー管理または中央 IT 運用
    • セキュリティコンプライアンス管理は、コンプライアンスの確保を監視します
    • 中央 IT 運用 ヘルプデスク プロセスが更新され、担当者に対してトレーニングが行われています
    • 中央 IT 運用 サービス所有者プロセスが更新され、担当者に対してトレーニングが行われています
• 方法: 初回デプロイは、特権アクセスの展開に関する記事の説明に従ってエンタープライズ レベルにする必要があります
• 主要な結果を測定する: すべての特権アカウントには、機密性の高いタスクを実行するための専用ワークステーションがあります。

次のステップ

• 特権アクセスのセキュリティ保護の概要
• 特権アクセス戦略
• 成功の測定
• セキュリティ レベル
• 特権アクセス アカウント
• 仲介
• インターフェイス
• 特権アクセス デバイス
• エンタープライズ アクセス モデル