このドキュメントでは、 特権アクセス戦略 のセキュリティ レベルについて説明します。この戦略を採用する方法のロードマップについては、 迅速なモダン化計画 (RaMP) を参照してください。 実装ガイダンスについては、特権アクセスのデプロイを参照してください
これらのレベルは主に、組織がこれらの非常に重要な保護を迅速に展開できるように、シンプルで簡単な技術的ガイダンスを提供するように設計されています。 特権アクセス戦略では、組織には固有のニーズがあるだけでなく、カスタム ソリューションによって複雑さが生じ、コストが高くなり、時間の経過と同時にセキュリティが低下することも認識されています。 このニーズのバランスを取るために、この戦略は、各レベルの要件を満たすために各ロールが必要になるタイミングを組織が選択できるようにすることで、各レベルと柔軟性に関するしっかりとした規範的なガイダンスを提供します。
物事をシンプルにすることは、人々がそれを理解するのに役立ち、混乱して間違いを犯すリスクを下げます。 基盤となるテクノロジは、ほぼ常に複雑ですが、サポートが困難なカスタム ソリューションを作成するのではなく、シンプルにしておくことが重要です。 詳細については、「 セキュリティ設計の原則」を参照してください。
管理者とエンド ユーザーのニーズに重点を置いたソリューションを設計すると、シンプルなソリューションを維持できます。 セキュリティと IT 担当者が (可能な限り自動化を使用して) 構築、評価、保守するためのシンプルなソリューションを設計すると、セキュリティミスが減り、セキュリティ保証の信頼性が向上します。
推奨される特権アクセス セキュリティ戦略は、領域をまたいでシンプルな 3 レベルの保証システムを実装し、アカウント、デバイス、中継局、インターフェイスを簡単に展開できるように設計されています。
各レベルで攻撃者のコストが増加し、Defender for Cloud への追加の投資が行われます。 レベルは、セキュリティ投資ごとに最も多くのリターン (攻撃者のコスト増加) を得る "スイート スポット" をターゲットにするように設計されています。
環境内の各ロールは、これらのレベルのいずれかにマップする必要があり、必要に応じて、セキュリティ改善計画の一環として時間の経過と同時に増加します。 各プロファイルは技術的な構成として明確に定義され、可能な限り自動化され、デプロイを容易にし、セキュリティ保護を高速化します。 実装については、 特権アクセスのロードマップを参照してください。
セキュリティ レベル
この戦略全体で使用されるセキュリティ レベルは次のとおりです。
Enterprise
エンタープライズ セキュリティ は、すべてのエンタープライズ ユーザーと生産性のシナリオに適しています。 迅速な最新化計画の進行において、エンタープライズは、エンタープライズ セキュリティのセキュリティ制御に徐々に基づいて構築される特殊な特権アクセスの開始点としても機能します。
注
セキュリティ構成が弱くなっていますが、攻撃者が利用できるスキルとリソースのため、現在のエンタープライズ組織では Microsoft では推奨されていません。 攻撃者が暗い市場で互いに購入できる内容と平均価格については、Azure セキュリティに関するベスト プラクティスのトップ 10 のビデオを参照してください
耑
特殊なセキュリティ により、ビジネスへの影響が高まるロールのセキュリティ制御が強化されます (攻撃者や悪意のある内部関係者によって侵害された場合)。
組織は、特殊な特権アカウントの基準を文書化し (たとえば、ビジネスへの影響が $1000 万米ドルを超える場合など)、その条件を満たすすべてのロールとアカウントを特定する必要があります。 (特殊勘定を含め、この戦略全体で使用されます)
通常、特殊なロールには次のものが含まれます。
- ビジネス クリティカルなシステムの開発者。
- SWIFT ターミナルのユーザー、機密データにアクセスできる研究者、公開前の財務報告にアクセスできる担当者、給与管理者、機密性の高いビジネス プロセスの承認者、その他の影響の大きいロールなど、機密性の高いビジネス ロール。
- 機密情報を 定期的に処理する役員およびパーソナル アシスタント/管理アシスタント。
- 会社の評判を損なう可能性のある影響の大きいソーシャル メディア アカウント。
- 機密性の高い IT 管理者 は、大きな特権と影響を与えますが、企業全体ではありません。 このグループには、通常、個々の影響度の高いワークロードの管理者が含まれます。 (エンタープライズ リソース計画管理者、銀行管理者、ヘルプ デスク/技術サポート ロールなど)
特殊化されたアカウント セキュリティは、特権セキュリティの中間ステップとしても機能し、これらの制御に基づいてさらに構築されます。 推奨される進行順序の詳細については、 特権アクセスロードマップ を参照してください。
特権
特権セキュリティ は、攻撃者や悪意のある内部関係者の手で組織に重大なインシデントや重大な損害を引き起こす可能性がある、ロール用に設計された最高レベルのセキュリティです。 通常、このレベルには、ほとんどのエンタープライズ システムまたはすべてのエンタープライズ システムに対する管理アクセス許可を持つ技術ロールが含まれます (一部のビジネス クリティカルなロールが含まれる場合もあります)。
特権アカウントは最初にセキュリティに重点を置き、生産性は機密性の高いジョブ タスクを安全かつ簡単に実行できる機能として定義されています。 これらのロールには、同じアカウントまたは同じデバイス/ワークステーションを使用して、機密性の高い作業と一般的な生産性タスク (Web を参照し、任意のアプリをインストールして使用する) の両方を実行する機能はありません。 攻撃者のアクティビティを表す可能性のある異常なアクティビティに対するアクションの監視が強化された、高度に制限されたアカウントとワークステーションを持つことになります。
特権アクセス セキュリティ ロールには、通常、次のものが含まれます。
- Microsoft Entra 管理者ロール
- エンタープライズ ディレクトリ、ID 同期システム、フェデレーション ソリューション、仮想ディレクトリ、特権 ID/アクセス管理システムなどに対する管理者権限を持つその他の ID 管理ロール。
- これらのオンプレミス Active Directory グループのメンバーシップを持つロール
- Enterprise Admins
- Domain Admins
- スキーマ管理者
- BUILTIN\Administrators
- アカウントオペレーター
- バックアップ演算子
- 印刷演算子
- サーバーオペレーター
- ドメイン コントローラー
- 読み取り専用ドメイン コントローラー
- グループ ポリシー作成者の所有者
- 暗号化演算子
- 分散 COM ユーザー
- 機密性の高いオンプレミス Exchange グループ (Exchange Windows のアクセス許可や Exchange 信頼されたサブシステムを含む)
- その他の委任されたグループ - ディレクトリ操作を管理するために組織が作成できるカスタム グループ。
- 上記の機能をホストしている、基になるオペレーティング システムまたはクラウド サービス テナントのローカル管理者
- ローカル管理者グループのメンバー
- ルートまたは組み込みの管理者パスワードを知っている担当者
- これらのシステムにエージェントがインストールされている管理またはセキュリティ ツールの管理者