注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
Privileged Access では、Azure テナントとリソースへの特権アクセスを保護するための制御について説明します。 これには、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的で不注意なリスクから保護するためのさまざまな制御が含まれます。
該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: 特権アクセスの詳細」を参照してください。
PA-1: 高い特権を持つユーザーを保護および制限する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
高い特権を持つユーザー アカウントの数を制限し、昇格されたレベルでこれらのアカウントを保護します。 Azure AD で最も重要な組み込みロールはグローバル管理者と特権ロール管理者です。これら 2 つのロールに割り当てられたユーザーは管理者ロールを委任できるためです。 これらの特権を使用すると、ユーザーは Azure 環境内のすべてのリソースを直接または間接的に読み取り、変更できます。
グローバル管理者: このロールを持つユーザーは、Azure AD のすべての管理機能と、Azure AD ID を使用するサービスにアクセスできます。
特権ロール管理者: このロールを持つユーザーは、Azure AD および Azure AD Privileged Identity Management (PIM) 内でロールの割り当てを管理できます。 さらに、このロールにより、PIM と管理単位のすべての側面を管理できます。
注: 特定の特権アクセス許可が割り当てられたカスタム ロールを使用する場合は、その他の重要なロールを管理する必要がある場合があります。 また、重要なビジネス資産の管理者アカウントに同様の制御を適用することもできます。
Azure AD Privileged Identity Management (PIM) を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) 特権アクセスを有効にすることができます。 JIT は、ユーザーが必要な場合にのみ、特権タスクを実行する一時的なアクセス許可を付与します。 PIM は、Azure AD 組織で疑わしいアクティビティや安全でないアクティビティがある場合にも、セキュリティ アラートを生成できます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
PA-2: ビジネス クリティカルなシステムへの管理アクセスを制限する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2、SC-3、SC-7 |
サブスクリプションと管理グループへの特権アクセスが付与されているアカウントを制限することで、ビジネス クリティカルなシステムへのアクセスを分離します。 また、Active Directory ドメイン コントローラー (DC)、セキュリティ ツール、ビジネス クリティカル なシステムにエージェントをインストールしたシステム管理ツールなど、ビジネス クリティカルな資産への管理アクセス権を持つ管理システム、ID システム、およびセキュリティ システムへのアクセスも制限します。 これらの管理システムとセキュリティ システムを侵害する攻撃者は、ビジネス上重要な資産を侵害するためにすぐにそれらを武器化できます。
すべての種類のアクセス制御をエンタープライズセグメント化戦略に合わせて調整し、一貫性のあるアクセス制御を確保する必要があります。
電子メール、閲覧、生産性のタスクに使用される標準ユーザー アカウントとは異なる個別の特権アカウントを割り当てられるようにします。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
PA-3: ユーザー アクセスを定期的に確認して調整する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
ユーザー アカウントとアクセス割り当てを定期的に確認して、アカウントとそのアクセス レベルが有効であることを確認します。 Azure AD アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを確認できます。 Azure AD レポートでは、古いアカウントの検出に役立つログを提供できます。 また、Azure AD Privileged Identity Management を使用して、レビュー プロセスを容易にするアクセス レビュー レポート ワークフローを作成することもできます。 さらに、Azure Privileged Identity Management は、過剰な数の管理者アカウントが作成されたときにアラートを生成し、古いまたは不適切に構成された管理者アカウントを識別するように構成できます。
注: 一部の Azure サービスでは、Azure AD を介して管理されていないローカル ユーザーとロールがサポートされています。 これらのユーザーは個別に管理する必要があります。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
PA-4: Azure AD で緊急アクセスを設定する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-4 | 16 | AC-2、CP-2 |
Azure AD 組織から誤ってロックアウトされるのを防ぐために、通常の管理アカウントを使用できない場合は、アクセス用の緊急アクセス アカウントを設定します。 緊急アクセスアカウントは通常、高い特権を持ち、特定の個人に割り当ててはなりません。 緊急アクセス アカウントは、通常の管理アカウントを使用できない緊急または「ブレークグラス」のシナリオに限定されます。 緊急アクセス アカウントの資格情報 (パスワード、証明書、スマート カードなど) は、緊急時にのみ使用する権限を持つ個人に対してのみ、セキュリティで保護され、認識されるようにする必要があります。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
PA-5: エンタイトルメント管理を自動化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-5 | 16 | AC-2、AC-5、PM-10 |
Azure AD エンタイトルメント管理機能を使用して、アクセスの割り当て、レビュー、有効期限などのアクセス要求ワークフローを自動化します。 デュアルまたはマルチステージの承認もサポートされています。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
PA-6: 特権アクセス ワークステーションを使用する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-6(ポリアミド6) | 4.6, 11.6, 12.12 | AC-2、SC-3、SC-7 |
セキュリティで保護された分離ワークステーションは、管理者、開発者、重要なサービス オペレーターなどの機密性の高いロールのセキュリティにとって非常に重要です。 管理タスクには、高度にセキュリティで保護されたユーザー ワークステーションや Azure Bastion を使用します。 Azure Active Directory、Microsoft Defender for Identity、Microsoft Intune を使用して、管理タスク用のセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。 セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスやネットワーク アクセスなど、セキュリティで保護された構成を適用できます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
PA-7: 十分な管理 (最小特権原則) に従う
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-7 | 14.6 | AC-2、AC-3、SC-3 |
Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、ロールの割り当てを使用して Azure リソース アクセスを管理できます。 これらのロールは、ユーザー、グループ サービス プリンシパル、およびマネージド ID に割り当てることができます。 特定のリソースには定義済みの組み込みロールがあり、これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたはクエリを実行できます。 Azure RBAC を使用してリソースに割り当てる特権は、常にロールに必要なものに制限する必要があります。 制限付き特権は、Azure AD Privileged Identity Management (PIM) の Just-In-Time (JIT) アプローチを補完し、それらの特権を定期的に確認する必要があります。
組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
PA-8: Microsoft サポートの承認プロセスを選択する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| PA-8 | 16 | AC-2、AC-3、AC-4 |
Microsoft が顧客データにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスには、各顧客データ アクセス要求を明示的に確認して承認または拒否する機能が用意されています。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):