次の方法で共有

セキュリティの強化された管理環境

セキュリティ強化管理環境 (ESAE) アーキテクチャ (赤いフォレスト、管理フォレスト、または強化されたフォレストとも呼ばれます) は、Windows Server Active Directory (AD) 管理者 ID にセキュリティで保護された環境を提供するための従来のアプローチです。

このアーキテクチャ パターンを使用する Microsoft の推奨事項は、特権ユーザーをセキュリティで保護するための既定の推奨アプローチとして、最新の 特権アクセス戦略迅速モダン化計画 (RAMP) ガイダンスに置き換えられました。 このガイダンスは、ゼロ トラスト アーキテクチャに向けて、より広範な戦略を適応させることを目的としています。 これらの最新化された戦略を考えると、ESAE で強化された管理フォレスト アーキテクチャ (オンプレミスまたはクラウドベース) は、例外ケースにのみ適したカスタム構成と見なされるようになりました。

引き続き使用するシナリオ

推奨されるアーキテクチャではなくなりましたが、限られた一連の除外されたシナリオでは、ESAE (またはその中の個々のコンポーネント) を有効にすることができます。 通常、これらのオンプレミス環境は、クラウド サービスが利用できない可能性がある場所で分離されます。 このシナリオには、重要なインフラストラクチャまたはその他の切断された運用テクノロジ (OT) 環境が含まれる場合があります。 ただし、環境のエアギャップ産業制御システム/監督制御およびデータ取得 (ICS/SCADA) セグメントでは、通常、独自の Active Directory 展開を利用しないことに注意してください。

組織がこれらのシナリオの 1 つである場合、現在展開されている ESAE アーキテクチャ全体を維持することは引き続き有効です。 ただし、ESAE の維持に伴う技術的な複雑さと運用コストの増加により、組織に追加のリスクが発生することを理解する必要があります。 Microsoft では、すべての組織で引き続き ESAE またはその他のレガシ ID セキュリティ制御を使用し、関連するリスクを監視、特定、軽減するための追加の厳格性を適用することをお勧めします。

手記

Microsoft では、ほとんどの組織のほとんどのシナリオで分離強化されたフォレスト モデルを推奨しなくなりましたが、Microsoft は、世界中の組織に信頼できるクラウド サービスを提供するための極端なセキュリティ要件があるため、同様のアーキテクチャ (および関連するサポート プロセスと担当者) を内部で運用しています。

既存のデプロイのガイダンス

セキュリティを強化したり、マルチフォレスト管理を簡素化したりするためにこのアーキテクチャを既に展開しているお客様にとって、設計および意図したとおりに運用されている場合、ESAE 実装を廃止したり置き換えたりする緊急性はありません。 他のエンタープライズ システムと同様に、セキュリティ更新プログラムを適用し、ソフトウェアがサポート ライフサイクル 内に含まれるようにすることで、ソフトウェアを維持する必要があります。

また、MICROSOFT では、ESAE/強化されたフォレストを持つ組織に、迅速モダン化計画 (RAMP) ガイダンスを使用して、最新の 特権アクセス戦略 を採用することも推奨しています。 このガイダンスは、既存の ESAE 実装を補完し、Microsoft Entra 管理者、機密性の高いビジネス ユーザー、標準のエンタープライズ ユーザーなど、ESAE によってまだ保護されていないロールに適切なセキュリティを提供します。 詳細については、「特権アクセス セキュリティ レベルのセキュリティ保護 記事を参照してください。

ESAE が当初 10 年以上前に設計されたとき、焦点は Active Directory (AD) がローカル ID プロバイダーとして機能するオンプレミス環境でした。 この従来のアプローチは、最小限の特権を実現するためのマクロセグメント化手法に基づいており、ハイブリッドまたはクラウドベースの環境を適切に考慮していません。 さらに、ESAE と強化されたフォレストの実装では、オンプレミスの Windows Server Active Directory 管理者 (ID) の保護のみに焦点が当てられ、最新の Zero-Trust アーキテクチャの残りの柱に含まれるきめ細かな ID 制御やその他の手法は考慮されません。 Microsoft は、クラウドベースのソリューションに対する推奨事項を更新しました。これは、管理上およびビジネス上の機密性の高い役割とシステムのより広範な範囲を保護するために、より迅速にデプロイできるためです。 さらに、複雑で拡張性が低く、維持するために必要な設備投資も少なくなります。

手記

ESAE は完全には推奨されなくなりましたが、Microsoft は、そこに含まれる多くの個々のコンポーネントが、優れたサイバー検疫 (専用の特権アクセス ワークステーションなど) として定義されていることを認識しています。 ESAE の廃止は、組織が優れたサイバー検疫プラクティスを放棄することを目的としたものではなく、特権 ID を保護するための最新のアーキテクチャ戦略を強化することのみを目的としています。

ほとんどの組織に適用できる ESAE の優れたサイバー衛生プラクティスの例

  • すべての管理アクティビティに特権アクセス ワークステーション (PAW) を使用する
  • 環境全体で広く使用されていない場合でも、管理者資格情報にトークン ベースまたは多要素認証 (MFA) を適用する
  • グループ/ロール メンバーシップの定期的な評価による最小特権管理モデルの適用 (強力な組織ポリシーによって適用)

オンプレミス AD のセキュリティ保護のベスト プラクティス

継続的な使用のシナリオで説明されているように、さまざまな状況により、クラウドの移行が (部分的に、または完全に) 実現できない状況が存在する可能性があります。 これらの組織では、既存の ESAE アーキテクチャをまだ持っていない場合は、Active Directory と特権 ID のセキュリティの厳格さを高めることによって、オンプレミス AD の攻撃対象領域を減らすことをお勧めします。 完全な一覧ではありませんが、次の優先度の高い推奨事項を検討してください。

  • 最小特権管理モデルを実装する階層化アプローチを使用します。
    • 絶対最小特権を適用します。
    • 特権 ID (組織ポリシーとの強いつながり) を検出、確認、監査します。
      • 過剰な特権付与は、評価された環境で最も特定された問題の 1 つです。
    • 管理アカウントの MFA (環境全体で広く使用されていない場合でも)。
    • 時間ベースの特権ロール (過剰なアカウントの削減、承認プロセスの強化)。
    • 特権 ID に対して使用可能なすべての監査を有効にして構成します (有効化/無効化、パスワード リセット、その他の変更の通知)。
  • 特権アクセス ワークステーション (PAW) を使用します。
    • 信頼されていないホストから PAW を管理しないでください。
    • PAW へのアクセスには MFA を使用します。
    • 物理的なセキュリティを忘れないでください。
    • PAW が最新のオペレーティング システムまたは現在サポートされているオペレーティング システムを常に実行していることを確認します。
  • 攻撃パスとリスクの高いアカウント/アプリケーションについて理解します。
    • リスクが最も高い ID とシステム (機会/影響の大きいターゲット) の監視に優先順位を付けます。
    • オペレーティング システムの境界を越えたパスワードの再利用を根絶します (一般的な横移動手法)。
    • リスクを高めるアクティビティを制限するポリシーを適用します (セキュリティで保護されたワークステーションからのインターネット閲覧、複数のシステムにわたるローカル管理者アカウントなど)。
    • Active Directory/ドメイン コントローラー上のアプリケーションを減らします (追加された各アプリケーションは追加の攻撃対象領域です)。
      • 不要なアプリケーションを排除します。
      • 可能であれば、必要なアプリケーションを他のワークロードに /DC から移動します。
  • Active Directory の不変バックアップ:
    • ランサムウェア感染からの回復に不可欠なコンポーネント。
    • 通常のバックアップ スケジュール。
    • ディザスター リカバリー計画によって決定されるクラウドベースまたはオフサイトの場所に格納されます。
  • Active Directory セキュリティ評価を実施する:
    • 結果 (カスタマイズされた Log Analytics ダッシュボード) を表示するには、Azure サブスクリプションが必要です。
    • オンデマンドまたは Microsoft のエンジニアがサポートするオファリング。
    • 評価のガイダンスを検証/特定します。
    • Microsoft では、毎年評価を実施することをお勧めします。

これらの推奨事項に関する包括的なガイダンスについては、「Active Directory をセキュリティで保護するためのベスト プラクティス」を参照してください。

補足的な推奨事項

Microsoft では、制約が異なるため、一部のエンティティがクラウドベースのゼロトラスト アーキテクチャを完全にデプロイできない可能性があることを認識しています。 これらの制約の一部については、前のセクションで説明しました。 完全な展開の代わりに、組織はリスクに対処し、環境内で従来の機器やアーキテクチャを維持しながら、Zero-Trust に向けて進歩を遂げることができます。 前述のガイダンスに加えて、次の機能は、環境のセキュリティを強化するのに役立ち、Zero-Trust アーキテクチャの導入の開始点として機能する場合があります。

Microsoft Defender for Identity (MDI)

Microsoft Defender for Identity (MDI) (正式には Azure Advanced Threat Protection、または ATP) は、Microsoft Zero-Trust アーキテクチャを支え、ID の柱に焦点を当てています。 このクラウドベースのソリューションでは、オンプレミス AD と Microsoft Entra ID の両方からのシグナルを使用して、ID に関連する脅威を特定、検出、調査します。 MDI はこれらのシグナルを監視して、ユーザーとエンティティからの異常および悪意のある動作を特定します。 特に、MDI は、侵害された場合に特定のアカウントがどのように使用されるかを強調することで、敵対者の横移動のパスを視覚化する機能を容易にします。 MDI の行動分析機能とユーザー ベースライン機能は、AD 環境内の異常なアクティビティを特定するための重要な要素です。

手記

MDI はオンプレミス AD から信号を収集しますが、クラウドベースの接続が必要です。

Microsoft Defender for Internet of Things (D4IoT)

このドキュメントで説明されている他のガイダンスに加えて、上記のいずれかのシナリオで動作する組織は、Microsoft Defender for IoT (D4IoT) 展開できます。 このソリューションは、モノのインターネット (IoT) 環境と運用テクノロジ (OT) 環境の資産検出、在庫管理、リスクベースの行動分析を可能にするパッシブ ネットワーク センサー (仮想または物理) を備えています。 オンプレミスのエアギャップ環境またはクラウド接続環境にデプロイでき、100 を超える ICS/OT 独自のネットワーク プロトコルで詳細なパケット検査を実行できます。

次の手順

次の記事を確認します。

  1. Privileged Access Strategy
  2. セキュリティ迅速モダン化計画 (RAMP)
  3. Active Directory をセキュリティで保護するための のベスト プラクティス
  • Last updated on