ほとんどの組織がゼロ トラストの取り組みを始める前に、IDに対するアプローチがさまざまなIDプロバイダーで断片化されている可能性があります。これには、クラウドとオンプレミスのアプリ間のシングルサインオン (SSO) の不足や、IDリスクの可視性の制限が含まれます。
クラウド アプリケーションとモバイル ワーカーには、セキュリティに関して新しい考え方が必要です。 多くの従業員は、個人所有のデバイスを持ち込み、ハイブリッド方式で作業しています。 データは、従来の企業ネットワーク境界の外部から定期的にアクセスされ、パートナーやベンダーなどの外部コラボレーターと共有されます。 企業の従来のアプリケーションとデータは、オンプレミスからハイブリッド環境やクラウド環境に移行しています。
セキュリティに関する従来のネットワーク制御では、もはや十分ではなくなっています。
ID は、ネットワーク、エンドポイント、アプリケーションの全体で人、サービス、またはデバイスを表します。 ゼロ トラストセキュリティ モデルでは、リソースへのアクセスを制御するための強力で柔軟できめ細かい手段として機能します。
ID によってリソースにアクセスしようとする前に、組織では次のことを行う必要があります。
- 強力な認証を使用して ID を検証します。
- アクセスが準拠していること、およびその ID に対して一般的であることを確認します。
- 最低特権アクセスの原則に従ってください。
ID が検証されると、組織のポリシー、進行中のリスク分析、その他のツールに基づいて、リソースへのアクセスを制御できます。
ID ゼロ トラスト展開の目標
ID 用のエンド ツー エンドのゼロ トラスト フレームワークを実装する場合は、最初に次の初期デプロイ目標に焦点を当てることをお勧めします。
- クラウド ID をオンプレミスの ID システムと連携させる。
- 条件付きアクセス ポリシーによってアクセスを制限し、修復アクティビティを提供する。
- 分析により可視性を向上させる。
前記の領域に対処した後は、次の展開目標に着目します。
- ID とアクセス特権を ID ガバナンスで管理する。
- ユーザー、デバイス、場所、動作が、リアルタイムで分析されます。
- 他のセキュリティ ソリューションからの脅威シグナルを統合します。
I. クラウド ID をオンプレミスの ID システムと連携させる
Microsoft Entra IDでは、強力な認証、エンドポイント セキュリティの統合ポイント、ユーザー中心のポリシーの中核を実現し、最小限の特権アクセスを保証できます。 Microsoft Entra条件付きアクセスは、アクセス時に明示的に検証されたユーザー ID、環境、デバイスの正常性、リスクに基づいてリソースへのアクセスを決定するために使用されるポリシー エンジンです。 Microsoft Entra IDを使用して、ゼロ トラスト ID 戦略を実装できます。
展開の初期目的のフェーズ 1 における手順を示す図。
すべてのユーザーをMicrosoft Entra IDに接続し、オンプレミスの ID システムとフェデレーションする
従業員の ID の正常なパイプラインと、必要なセキュリティ アーティファクト (認可のためのグループや、アクセス ポリシー制御のためのエンドポイントなど) を維持すると、クラウドでの一貫した ID とコントロールを最適に使用できます。
次のステップを実行します。
- 認証オプションを選択します。 Microsoft Entra IDは、最高のブルート フォース、DDoS、パスワード スプレー保護を提供しますが、組織とコンプライアンスのニーズに適した判断を下します。
- 絶対に必要な ID のみを持参してください。 クラウドへの移行を、オンプレミスでのみ意味を持つサービス アカウントを破棄する機会として利用します。 オンプレミスの特権ロールはオンプレミスに残しておきます。
- 組織のサイズに基づいて、Microsoft Entra Connect Sync の
hardware 要件を満たしていることを確認します。
Microsoft Entra IDを使用して Identity Foundation を確立する
ゼロ トラスト戦略では、最小限の特権のアクセス原則を使用して、侵害を想定して、明示的に検証する必要があります。 Microsoft Entra IDは、ポリシー決定ポイントとして機能し、ユーザー、エンドポイント、ターゲット リソース、環境に関する分析情報に基づいてアクセス ポリシーを適用できます。
Microsoft Entra IDをすべてのアクセス要求のパスに配置します。 このプロセスは、すべてのユーザー、アプリ、リソースを共通の ID コントロール プレーンを介して接続し、Microsoft Entra IDにシグナルを提供して、認証/承認のリスクに関して可能な限り最善の決定を行います。 さらに、シングル サインオン (SSO) と一貫性のあるポリシー ガードレールにより、ユーザー エクスペリエンスが向上し、生産性の向上に寄与します。
すべてのアプリケーションをMicrosoft Entra IDと統合する
シングル サインオンは、ユーザーが資格情報のコピーをさまざまなアプリに残すのを防ぎ、フィッシング攻撃や過剰な入力要求による MFA 疲労を回避するのに役立ちます。
環境内に複数の ID およびアクセス管理 (IAM) ソリューションがないことを確認します。 この重複により、Microsoft Entra IDが認識するシグナルが減少し、2 つの IAM エンジン間の影で悪いアクターが生き、ユーザー エクスペリエンスが低下します。 この複雑さが原因で、ビジネス パートナーがゼロ トラスト戦略に疑問を持つ可能性があります。
次のステップを実行します。
- OAuth 2.0 または SAML を使用する最新のエンタープライズ アプリケーションを統合します。
- Kerberos およびフォーム ベースの認証アプリケーションの場合、Microsoft Entra アプリケーション プロキシを使用してそれらを組み込みます。
- アプリケーション配信ネットワーク/コントローラーを使用してレガシアプリケーションを発行する場合は、Citrix、Akamai、F5など主要なものの大部分と統合するためにMicrosoft Entra IDを使用します。
- ADFS および既存または古い IAM エンジンからアプリを検出して移行するには、Resources を確認して、アプリケーションを Microsoft Entra ID に移行します。
- ユーザー プロビジョニングを自動化します。
強力な認証を使用して明示的に検証する
次のステップを実行します。
- Microsoft Entra の多要素認証を展開します。 この作業は、ユーザー セッションのリスクを減らすための基本的な要素です。 ユーザーが新しいデバイスや新しい場所からログインしたときに、MFA チャレンジに応答できることは、ユーザーが世界中を移動する場合に、これらが使い慣れたデバイスまたは場所であることを (管理者が個々のシグナルを解析することなく) 通知できる最も直接的な方法の 1 つになります。
- レガシ認証をブロックします。 悪意のあるアクターにとって最も一般的な攻撃ベクトルの 1 つは、最新のセキュリティ チャレンジを実行できない SMTP などの従来のプロトコルに対して、盗難または再生された資格情報を使用することです。
II. 条件付きアクセス ポリシーによってアクセスを制限し、修復アクティビティを提供する
Microsoft Entra条件付きアクセスは、ユーザー、デバイス、場所などのシグナルを分析して決定を自動化し、リソースに対して組織のアクセス ポリシーを適用します。 条件付きアクセス ポリシーを使用して、多要素認証 (MFA) などのアクセス制御を適用することができます。 条件付きアクセス ポリシーを使うと、セキュリティのために必要な場合はユーザーに MFA を求め、不要な場合はユーザーに対して何も行わないようにすることができます。
Microsoft は、基本レベルのセキュリティを保証するセキュリティの既定値群と呼ばれる標準の条件付きポリシーを提供しています。 ただし、組織では、セキュリティの既定値群が提供する柔軟性よりも高い柔軟性が必要になる場合があります。 条件付きアクセスを使用すると、セキュリティの既定値群をより詳細にカスタマイズしたり、要件を満たす新しいポリシーを構成したりすることができます。
条件付きアクセス ポリシーを事前に計画し、一連のアクティブポリシーとフォールバック ポリシーを用意することは、ゼロ トラスト展開におけるアクセス ポリシーの適用の基本柱です。 時間をかけて、環境内に既知のネットワークの場所を構成してください。 条件付きアクセス ポリシーでこれらのネットワークの場所を使用しない場合でも、これらの IP を構成すると、Microsoft Entra ID 保護のリスクが通知されます。
次の手順を実行します。
- 回復力のある条件付きアクセス ポリシーのデプロイ ガイダンスとベスト プラクティスを確認してください。
Microsoft Entra IDにデバイスを登録して、脆弱なデバイスや侵害されたデバイスからのアクセスを制限する
次のステップを実行します。
- ハイブリッド結合またはMicrosoft Entra結合を有効にする。 ユーザーのノート PC/コンピューターを管理している場合は、その情報をMicrosoft Entra IDに取り込み、より適切な意思決定を行うために使用します。 たとえば、コンピューター上にオフライン コピーがあるリッチ クライアントは、組織が制御および管理するコンピューターからユーザーがアクセスしていることがわかっている場合は、データにアクセスできます。
- Microsoft エンドポイント マネージャー (EMS) 内で Intune サービスを有効にして、ユーザーのモバイル デバイスと 登録デバイスを管理します。 ユーザーのモバイル デバイスについても、ラップトップと同じことが言えます。これら (パッチレベル、脱獄、ルート化など) について多く知るほど、アクセスをブロックまたは許可する根拠をいっそう提供できます。
III. 分析により可視性を向上させる
認証、承認、プロビジョニングを使用してMicrosoft Entra IDで資産を構築するときは、ディレクトリ内で何が起こっているかについての強力な運用上の洞察を得る必要があります。
ログとレポートを構成して可視性を向上させる
次の手順を実行します。
IV. ID とアクセス特権を ID ガバナンスで管理する
最初の目標を達成したら、より堅牢な ID ガバナンスなどの他の目標に焦点を当てます。
追加の展開の目的のフェーズ 4 における手順を示す図。
Privileged Identity Managementを使用して特権アクセスをセキュリティで保護する
ユーザーが特権操作やロールにアクセスするために使用する、エンドポイント、条件、および資格情報を制御します。
次のステップを実行します。
- 特権アカウントを制御します。 特権アクセスは、管理アクセスだけではなく、ミッション クリティカルなアプリの実行とデータの処理方法を変更することができる、アプリケーションまたは開発者アクセスでもあります。
- Privileged Identity Managementを使用して特権 ID をセキュリティで保護します。
アプリケーションに対するユーザーの同意を制限する
アプリケーションに対するユーザーの同意は、最新のアプリケーションが組織のリソースにアクセスできるようにするための一般的な方法ですが、注意すべきベスト プラクティスがいくつかあります。
次のステップを実行します。
- ユーザーの同意を制限し、同意要求を管理して、組織のデータがアプリに対して不必要に公開されないようにします。
- 組織内の以前または既存の同意を確認して、過剰または悪意のある同意がないか調べます。
機密情報にアクセスするための戦術から保護するツールの詳細については、
エンタイトルメントを管理する
アプリケーションを一元的に認証し、Microsoft Entra IDから駆動することで、アクセス要求、承認、再認定のプロセスを合理化して、適切なユーザーが適切なアクセス権を持ち、組織内のユーザーがアクセス権を持っている理由の証跡を確実に得ることができます。
次のステップを実行します。
- エンタイトルメント管理を使用して、ユーザーが異なるチームやプロジェクトに参加するときにリクエストできるアクセス パッケージを作成します。これにより、アプリケーション、SharePoint サイト、グループメンバーシップなど、関連するリソースへのアクセス権が割り当てられます。
- 組織において、現時点ではエンタイトルメント管理をデプロイできない場合、セルフサービス グループ管理とアプリケーションのセルフサービス アクセスをデプロイして、少なくとも組織内のセルフサービス パラダイムを有効にします。
パスワードレス認証を使用して、フィッシングおよびパスワード攻撃のリスクを軽減する
FIDO 2.0 とパスワードなしの電話によるサインインをサポートするMicrosoft Entra IDでは、ユーザー (特に機密性の高い、特権のあるユーザー) が日常的に使用している資格情報に針を移動できます。 これらの資格情報は、リスクを軽減することも可能な強力な認証要素です。
次の手順を実行します。
- 組織内でパスワードレスの資格情報のロールアウトを開始します。
V. リスクを判断して継続的な保護を提供するために、ユーザー、デバイス、場所、行動をリアルタイムで分析する
リアルタイム分析は、リスクと保護の決定に不可欠です。
フェーズ 5 の追加展開目標内の手順の図。
Microsoft Entra パスワード保護を展開する
ユーザーを明示的に検証するための他の方法を有効にするのと同時に、脆弱なパスワード、パスワード スプレー、および侵害のリプレイによる攻撃を忘れてはいけません。 また、従来の複雑なパスワード ポリシーでは、最も一般的なパスワード攻撃を防ぐことができません。
次の手順を実行します。
- クラウドおよび
オンプレミス でユーザーのMicrosoft Entraパスワード保護を有効にします。
Microsoft Entra ID 保護を有効にする
Microsoft Entra ID 保護を使用して、より詳細なセッション/ユーザー リスクシグナルを取得します。 組織の進化するセキュリティ ニーズに基づいて、リスクの調査と修復のオプションを有効にできます。
次の手順を実行します。
Microsoft Defender for Cloud Appsの統合をMicrosoft Entra ID 保護で有効にする
Microsoft Defender for Cloud Appsは、SaaS および最新のアプリケーション内のユーザーの動作を監視します。 このシグナルは、ユーザーがトークンを認証して受け取った後にユーザーに何が起こったかについてMicrosoft Entra IDに通知します。 ユーザーパターンが疑わしいものになり始めた場合、シグナルがMicrosoft Entra ID 保護および条件付きアクセスに送信され、ユーザーが侵害されたかリスクが高いと通知されます。 このユーザーからの次のアクセス要求で、Microsoft Entra IDはユーザーを確認したりブロックしたりするアクションを正しく実行できます。
次の手順を実行します。
- Defender for Cloud Apps の監視を有効化して、Microsoft Entra ID 保護 シグナルを強化します。
Microsoft Defender for Cloud Appsとの条件付きアクセス統合を有効にする
認証後に生成されたシグナルを使い、Defender for Cloud Apps で要求をアプリケーションにプロキシすると、SaaS アプリケーションに対するセッションを監視して、制限を適用できます。
次のステップを実行します。
条件付きアクセスの統合を有効にします。
条件付きアクセスをオンプレミス アプリに拡張します。
アクセスの決定に使用する制限付きセッションを有効にする
ユーザーのリスクは低くても、不明なエンドポイントからサインインしている場合は、リソースへのアクセスは許可しても、組織を危険なアクションにさらす操作は許可したくない場合があります。 Exchange Onlineと SharePoint Online を構成して、ユーザーに電子メールの読み取りやファイルの表示を許可する制限付きセッションをユーザーに提供できますが、ダウンロードして信頼されていないデバイスに保存することはできません。
次の手順を実行します。
- SharePoint Online および Exchange Online への制限付きアクセスを有効にします。
VI. 他のセキュリティ ソリューションからの脅威のシグナルを統合して、検出、保護、および対応を改善する
最後に、他のセキュリティ ソリューションを統合して、効果をいっそう高めることができます。
Microsoft Defender for IdentityとMicrosoft Defender for Cloud Appsの統合
Microsoft Defender for Identityとの統合により、Microsoft Entra IDは、オンプレミスの非モダンリソース (ファイル共有など) にアクセスする際に、ユーザーが危険な行動を取ることを認識できます。 このシグナルを全体的なリスクで考慮し、クラウド内でそれ以上アクセスするのをブロックできます。
次のステップを実行します。
- Microsoft Defender for IdentityをMicrosoft Defender for Cloud Appsと連携させて有効にし、オンプレミスのシグナルをユーザーのリスクシグナルに取り込む。
- リスクがある各ユーザーについての合計した調査の優先順位スコアを確認して、SOC で何に注目すべきかを包括的に把握します。
Microsoft Defender for Endpointを有効にする
Microsoft Defender for Endpointを使用すると、Windowsマシンの正常性を証明し、侵害を受けているかどうかを判断できます。 その後、実行時のリスク軽減のために、その情報を提供できます。 ドメイン参加ではコントロール感を得ることができますが、Defender for Endpoint を使用すると、複数のユーザー デバイスが信頼できないサイトにアクセスしたパターンを検出することによってマルウェア攻撃にほぼリアルタイムで対応し、実行時にそれらのデバイスまたはユーザーのリスクを示すことによって対応できます。
次の手順を実行します。
Microsoft Defender for Endpoint 。
サイバーセキュリティに関するエグゼクティブ オーダー 14028 に従ったアイデンティティの保護と OMB 覚書 22-09
14028年国連サイバー・セキュリティの改善に関するエグゼクティブ・オーダーOMB覚書22-09には、ゼロ トラストに関する具体的な措置が含まれています。 ID アクションには、一元化された ID 管理システムの採用、強力なフィッシング耐性のある MFA の使用、認可の決定への少なくとも 1 つのデバイス レベル シグナルの組み込みが含まれます。 Microsoft Entra IDでのこれらのアクションの実装に関する詳細なガイダンスについては、覚書 22-09 と Microsoft Entra ID の ID 要件を参照してください。
このガイドで説明されている製品
- Microsoft Entra ID
- Microsoft Defender for Identity
- Microsoft Intune (Microsoft Intuneを含む)
- Microsoft Defender for Endpoint
- SharePoint Online
- Exchange Online
まとめ
ID は、成功したゼロ トラスト戦略の中心です。 実装に関する詳細情報やヘルプについては、カスタマー サクセス チームに問い合わせるか、このガイドの他の章 (すべてのゼロ トラストの柱にまたがる) を引き続きお読みください。
ゼロ トラスト 展開ガイド シリーズ
紹介のアイコン
ID のアイコン
エンドポイントのアイコン
アプリケーションのアイコン
データのアイコン
インフラストラクチャのアイコン
ネットワークのアイコン
可視性、自動化、オーケストレーションのアイコン