特権アクセス: アカウント

アカウント セキュリティは、 特権アクセスをセキュリティで保護するための重要なコンポーネントです。 セッションに対するゼロ トラストのエンドツーエンドのセキュリティでは、セッションで使用されているアカウントが実際には人間の所有者の管理下にあり、攻撃者が偽装しないことを強く確立する必要があります。

強力なアカウント セキュリティは、セキュリティで保護されたプロビジョニングと完全なライフサイクル管理から始まり、プロビジョニング解除まで、各セッションで、履歴の動作パターン、使用可能な脅威インテリジェンス、現在のセッションでの使用状況など、使用可能なすべてのデータに基づいてアカウントが現在侵害されていないことを強く保証する必要があります。

アカウントのセキュリティ

このガイダンスでは、異なる秘密度レベルの資産に使用できるアカウント セキュリティの 3 つのセキュリティ レベルを定義します。

これらのレベルは、ロールを割り当てて迅速にスケールアウトできる各秘密度レベルに適した明確で実装可能なセキュリティ プロファイルを確立します。 これらのアカウント セキュリティ レベルはすべて、ユーザーと管理者のワークフローの中断を制限または排除することで、ユーザーの生産性を維持または改善するように設計されています。

アカウントのセキュリティの計画

このガイダンスでは、各レベルを満たすために必要な技術コントロールの概要を説明します。 実装のガイダンスは、 特権アクセスのロードマップにあります。

アカウントのセキュリティ制御

インターフェイスのセキュリティを実現するには、アカウントを保護し、ゼロ トラスト ポリシーの決定で使用するシグナルを提供する技術コントロールの組み合わせが必要です (ポリシー構成リファレンスのインターフェイスのセキュリティ保護を参照)。

これらのプロファイルで使用されるコントロールは次のとおりです。

• 多要素認証 - さまざまな証明ソースを提供します (ユーザーにとって可能な限り簡単に設計されていますが、敵対者が模倣するのは困難です)。
• アカウント リスク - 脅威と異常の監視 - UEBA と脅威インテリジェンスを使用して危険なシナリオを特定する
• カスタム監視 - より機密性の高いアカウントの場合は、許可/受け入れ可能な動作/パターンを明示的に定義することで、異常なアクティビティを早期に検出できます。 これらのアカウントにはロールの柔軟性が必要であるため、この制御はエンタープライズの汎用アカウントには適していません。

また、コントロールを組み合わせることで、セキュリティと使いやすさの両方を向上させることができます。たとえば、通常のパターン内にとどまっているユーザー (毎日同じ場所で同じデバイスを使用する) は、認証のたびに外部 MFA を求める必要はありません。

エンタープライズ セキュリティ アカウント

エンタープライズ アカウントのセキュリティ制御は、すべてのユーザーに対してセキュリティで保護されたベースラインを作成し、特殊で特権のあるセキュリティのためのセキュリティで保護された基盤を提供するように設計されています。

• 強力な多要素認証 (MFA) を適用する - エンタープライズマネージド ID システムによって提供される強力な MFA でユーザーが認証されていることを確認します (下の図を参照)。 多要素認証の詳細については、 Azure セキュリティのベスト プラクティス 6 を参照してください。

  注

  組織では移行期間中に既存の弱い形式の MFA を使用することを選択できますが、攻撃者はますます弱い MFA 保護を回避しているため、MFA への新しい投資はすべて最も強力な形式である必要があります。

• アカウント/セッション リスクを適用する - 低 (または中) のリスク レベルでない限り、アカウントが認証できないことを確認します。 条件付きエンタープライズ アカウントのセキュリティの詳細については、「インターフェイスセキュリティレベル」を参照してください。

• アラートの監視と対応 - セキュリティ運用では、アカウントセキュリティアラートを統合し、これらのプロトコルとシステムがどのように機能するかについての十分なトレーニングを受け、アラートの意味を迅速に把握し、それに応じて対応できるようにする必要があります。

  • Microsoft Entra ID Protection を有効にする
  • Microsoft Entra ID Protection のリスクを調査する
  • 条件付きアクセスサインインエラーのトラブルシューティング/調査

次の図は、さまざまな形式の MFA とパスワードレス認証との比較を示しています。 ボックスベストの各オプションは、高いセキュリティと高い使いやすさの両方です。 それぞれ異なるハードウェア要件があるため、異なるロールまたは個人に適用されるハードウェア要件を混在させ、一致させることができます。 すべての Microsoft パスワードレス ソリューションは、条件付きアクセスによって多要素認証として認識されます。これは、ユーザーが持っているものと生体認証、知っているもの、またはその両方を組み合わせる必要があるためです。

特殊なアカウント

特殊化されたアカウントは、機密性の高いユーザーに適したより高い保護レベルを提供します。 ビジネスへの影響が大きいため、特殊化されたアカウントでは、セキュリティ アラート、インシデント調査、脅威ハンティング中に追加の監視と優先順位付けが必要になります。

特殊なセキュリティは、最も機密性の高いアカウントを識別し、アラートと応答プロセスが優先されるようにすることで、エンタープライズ セキュリティの強力な MFA に基づいて構築されます。

1. 機密性の高いアカウントを識別する - これらのアカウントを識別するための特殊なセキュリティ レベルのガイダンスを参照してください。
2. 特殊なアカウントにタグを付ける - 各機密性の高いアカウントにタグが付けられるようにする
   1. これらの機密性の高いアカウントを識別するように Microsoft Sentinel ウォッチリストを構成する
   2. Microsoft Defender for Office 365 で優先度アカウント保護を構成 し、特殊な特権アカウントを優先度アカウントとして指定する -
3. セキュリティ運用プロセスを更新して、これらのアラートを最も高い優先度に設定する
4. ガバナンスを設定する - ガバナンスのプロセスを更新または作成して、
   1. すべての新しいロールは、作成または変更された特殊な分類または特権分類について評価されます
   2. すべての新しいアカウントは、作成時にタグ付けされます
   3. ロールとアカウントが通常のガバナンス プロセスで見逃されないようにするための継続的または定期的な帯域外チェック。

特権アカウント

特権アカウントは、侵害された場合に組織の運用に重大または重大な影響を及ぼす可能性があるため、最高レベルの保護を備えています。

特権アカウントには、ほとんどのエンタープライズ システムまたはすべてのエンタープライズ システム (ほとんどのまたはすべてのビジネス クリティカルなシステムを含む) にアクセスできる IT 管理者が常に含まれます。 ビジネスへの影響が大きい他のアカウントでも、この追加レベルの保護が保証される場合があります。 どのロールとアカウントをどのレベルで保護する必要があるかの詳細については、 Privileged Security の記事を参照してください。

特権アカウントのセキュリティでは、特殊なセキュリティに加えて、次の両方が強化されます。

• 防止 - これらのアカウントの使用を、指定されたデバイス、ワークステーション、および中継局に制限するコントロールを追加します。
• 対応 - これらのアカウントの異常なアクティビティを注意深く監視し、リスクを迅速に調査して修復します。

特権アカウントのセキュリティの構成

セキュリティの迅速な最新化計画のガイダンスに従って、特権アカウントのセキュリティを強化し、管理するコストを削減します。

次のステップ

• 特権アクセスのセキュリティ保護の概要
• 特権アクセス戦略
• 成功の測定
• セキュリティ レベル
• 仲介
• インターフェイス
• 特権アクセス デバイス
• エンタープライズ アクセス モデル