注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
Identity Management では、Azure Active Directory を使用してセキュリティで保護された ID とアクセス制御を確立するための制御について説明します。 これには、シングル サインオン、強力な認証、アプリケーションのマネージド ID (およびサービス プリンシパル)、条件付きアクセス、アカウントの異常監視の使用が含まれます。
該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: Identity Management」の詳細を参照してください。
IM-1: Azure Active Directory を中央 ID および認証システムとして標準化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2、IA-8、AC-2、AC-3 |
Azure Active Directory (Azure AD) は、Azure の既定の ID およびアクセス管理サービスです。 Azure AD を標準化して、組織の ID とアクセスの管理を以下で管理する必要があります。
Azure portal、Azure Storage、Azure Virtual Machines (Linux および Windows)、Azure Key Vault、PaaS、SaaS アプリケーションなどの Microsoft クラウド リソース。
Azure 上のアプリケーションや企業ネットワーク リソースなど、組織のリソース。
Azure AD のセキュリティ保護は、組織のクラウド セキュリティプラクティスにおいて最優先事項である必要があります。 Azure AD には、Microsoft のベスト プラクティスの推奨事項に対する ID セキュリティ体制の評価に役立つ ID セキュリティ スコアが用意されています。 このスコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を改善します。
注: Azure AD では外部 ID プロバイダーがサポートされています。これにより、Microsoft アカウントを持たないユーザーは、外部 ID を使用してアプリケーションとリソースにサインインできます。
アプリケーション に外部 ID プロバイダーを使用する
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IM-2: アプリケーション ID を安全かつ自動的に管理する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-2 | なし | AC-2、AC-3、IA-2、IA-4、IA-9 |
サービスや自動化などの人間以外のアカウントの場合は、リソースにアクセスしたりコードを実行したりするためのより強力なヒューマン アカウントを作成するのではなく、Azure マネージド ID を使用します。 Azure マネージド ID は、Azure AD 認証をサポートする Azure サービスとリソースに対して認証できます。 認証は、事前に定義されたアクセス許可規則を使用して有効にされるため、ソース コードまたは構成ファイルでハードコーディングされた資格情報を回避できます。
マネージド ID をサポートしていないサービスの場合は、Azure AD を使用して、リソース レベルでアクセス許可が制限されたサービス プリンシパルを作成します。 証明書資格情報を使用してサービス プリンシパルを構成し、クライアント シークレットにフォールバックすることをお勧めします。 どちらの場合も、Azure Key Vault を Azure マネージド ID と組み合わせて使用して、ランタイム環境 (Azure 関数など) がキー コンテナーから資格情報を取得できるようにします。
Azure マネージドアイデンティティ
Azure Key Vault を使ってセキュリティ プリンシパルを登録する: authentication#authorize-a-security-principal-to-access-key-vault
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IM-3: アプリケーション アクセスに Azure AD シングル サインオン (SSO) を使用する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-3 | 4.4. | IA-2、IA-4 |
Azure AD は、Azure リソース、クラウド アプリケーション、およびオンプレミス アプリケーションに対する ID とアクセス管理を提供します。 ID とアクセスの管理は、従業員などのエンタープライズ ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID にも適用されます。
Azure AD シングル サインオン (SSO) を使用して、オンプレミスおよびクラウド内の組織のデータとリソースへのアクセスを管理およびセキュリティで保護します。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続して、シームレスで安全なアクセスを実現し、可視性と制御を強化します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IM-4: すべての Azure Active Directory ベースのアクセスに強力な認証制御を使用する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2、AC-3、IA-2、IA-4 |
Azure AD では、多要素認証 (MFA) と強力なパスワードレス方法による強力な認証制御がサポートされています。
多要素認証: Azure AD MFA を有効にし、Azure Security Center の "MFA を有効にする" セキュリティ制御の推奨事項に従います。 MFA は、サインイン条件とリスク要因に基づいて、すべてのユーザー、ユーザーの選択、またはユーザーごとのレベルで適用できます。
パスワードレス認証: Windows Hello for Business、Microsoft Authenticator アプリ、スマート カードなどのオンプレミス認証方法の 3 つのパスワードレス認証オプションを使用できます。
管理者および特権ユーザーの場合は、最も高いレベルの強力な認証方法が使用されていることを確認し、次に適切な強力な認証ポリシーを他のユーザーにロールアウトします。
従来のパスワードベースの認証が引き続き Azure AD 認証に使用されている場合は、クラウド専用アカウント (Azure で直接作成されたユーザー アカウント) に既定のベースライン パスワード ポリシーがあることに注意してください。 また、ハイブリッド アカウント (オンプレミスの Active Directory から取得したユーザー アカウント) は、オンプレミスのパスワード ポリシーに従います。 パスワード ベースの認証を使用する場合、Azure AD には、ユーザーが推測しやすいパスワードを設定できないようにするパスワード保護機能が用意されています。 Microsoft は、テレメトリに基づいて更新される禁止パスワードのグローバル リストを提供し、顧客はニーズ (ブランド化、カルチャ参照など) に基づいてリストを拡張できます。 このパスワード保護は、クラウド専用アカウントとハイブリッド アカウントに使用できます。
注: パスワード資格情報だけに基づく認証は、一般的な攻撃方法の影響を受けやすくなります。 セキュリティを強化するには、MFA や強力なパスワード ポリシーなどの強力な認証を使用します。 既定のパスワードを持つ可能性があるサード パーティ製のアプリケーションとマーケットプレース サービスの場合は、初期サービスのセットアップ時に変更する必要があります。
Azure で MFA を有効にする方法
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IM-5: アカウントの異常を監視およびアラートする
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2、AC-3、AC-7、AU-6 |
Azure AD には、次のデータ ソースが用意されています。
サインイン – サインイン レポートには、マネージド アプリケーションとユーザー サインイン アクティビティの使用状況に関する情報が表示されます。
監査ログ - Azure AD のさまざまな機能によって行われたすべての変更について、ログを通じて追跡可能性を提供します。 ログに記録された変更監査ログの例には、ユーザー、アプリ、グループ、ロール、ポリシーの追加または削除が含まれます。
危険なサインイン - 危険なサインインは、ユーザー アカウントの正当な所有者ではないユーザーによって実行された可能性のあるサインイン試行のインジケーターです。
リスクのフラグが設定されたユーザー - 危険なユーザーは、侵害された可能性のあるユーザー アカウントのインジケーターです。
これらのデータ ソースは、Azure Monitor、Azure Sentinel、またはサードパーティの SIEM システムと統合できます。
Azure Security Center では、認証試行の失敗回数が多すぎる、サブスクリプション内の非推奨のアカウントなど、特定の疑わしいアクティビティに対してアラートを生成することもできます。
Microsoft Defender for Identity は、オンプレミスの Active Directory シグナルを使用して、高度な脅威、侵害された ID、悪意のあるインサイダー アクションを特定、検出、調査できるセキュリティ ソリューションです。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IM-6: 条件に基づいて Azure リソースのアクセスを制限する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-6 | なし | AC-2、AC-3 |
特定の IP 範囲からのユーザー ログインに MFA の使用を要求するなど、ユーザー定義の条件に基づいてより詳細なアクセス制御を行うには、Azure AD 条件付きアクセスを使用します。 詳細な認証セッション管理は、さまざまなユース ケースで Azure AD 条件付きアクセス ポリシーを使用して使用することもできます。
条件付きアクセス を使用して認証セッション管理を構成する
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IM-7: 意図しない資格情報の公開を排除する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Azure DevOps Credential Scanner を実装して、コード内の資格情報を識別します。 資格情報スキャナーでは、検出された資格情報を Azure Key Vault などのより安全な場所に移動することも推奨されます。
GitHub では、ネイティブ シークレット スキャン機能を使用して、コード内の資格情報またはその他の形式のシークレットを識別できます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
IM-8: レガシ アプリケーションへのユーザー アクセスをセキュリティで保護する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| IM-8 | 14.6 | AC-2、AC-3、SC-11 |
レガシ アプリケーションと、それらが格納および処理するデータに対する最新のアクセス制御とセッション監視があることを確認します。 VPN はレガシ アプリケーションへのアクセスに一般的に使用されますが、多くの場合、基本的なアクセス制御と制限付きセッション監視のみが使用されます。
Azure AD アプリケーション プロキシを使用すると、シングル サインオン (SSO) を使用して従来のオンプレミス アプリケーションをリモート ユーザーに発行すると同時に、Azure AD 条件付きアクセスを使用してリモート ユーザーとデバイスの両方の信頼性を明示的に検証できます。
または、Microsoft Defender for Cloud Apps はクラウド アクセス セキュリティ ブローカー (CASB) サービスであり、ユーザーのアプリケーション セッションを監視し、アクションをブロックするための制御を提供できます (従来のオンプレミス アプリケーションとサービスとしてのクラウド ソフトウェア (SaaS) アプリケーションの両方)。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):