DoD ゼロ トラスト戦略とロードマップは、国防総省の各部署と国防産業基盤 (DIB) パートナーによる、ゼロ トラストの原則に基づく新しいサイバーセキュリティ フレームワークを導入するための大まかな道筋を示しています。 ゼロ トラストは、従来の境界や信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。
このガイドには、DoD ゼロ トラスト機能遂行ロードマップでの、152 種のゼロ トラスト アクティビティに関する推奨事項が記載されています。 各セクションは、DoD ゼロ トラスト モデルの 7 つの柱に対応します。
ガイドの各セクションに移動するには次のリンクを使用してください。
2 デバイス
このセクションでは、デバイスの柱に含まれる DoD ゼロ トラスト アクティビティに関する Microsoft のガイダンスと推奨事項について説明します。 詳しくは、ゼロ トラストによるエンドポイントのセキュリティ保護に関する記事を参照してください。
2.1 デバイス インベントリ
Microsoft Intune と Microsoft Defender for Endpoint を使って、デバイスの構成、正常性の評価、ソフトウェアの脆弱性の検出を行います。 Microsoft Entra ID と Microsoft Intune の統合を使って、コンプライアンスに準拠したデバイス ポリシーをリソースへのアクセスに適用します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target 2.1.1 デバイスの正常性ツールのギャップ分析DoD 組織は、環境内のデバイスの手動インベントリを作成します。 インベントリで追跡するデバイス属性によって、ZTA のターゲット レベルに定められている機能を実現します。 結果: - 組織ごとに所有者とともにデバイスの手動インベントリを作成します |
Microsoft Entra ID エンド ユーザー デバイスを Microsoft Entra ID に登録し、Microsoft Entra 管理センターからデバイス ID を管理します。 デバイスの概要ページで、デバイス資産、管理状態、オペレーティング システム、参加の種類、所有者を追跡します。 - 登録済みデバイス - ハイブリッド参加済みデバイス - デバイスを一覧表示 - デバイス ID の管理 Microsoft Entra Connect 同期 Connect 同期を使って Active Directory マネージド デバイスを Microsoft Entra ID と同期します。 - ハイブリッド参加済みデバイス Microsoft Intune Microsoft Intune 管理センターからマネージド デバイスに関するデバイス情報を表示します。 [診断の収集] リモート アクションを使って Windows デバイスから診断を取得します。 - デバイスの詳細 - Windows デバイスの診断 Microsoft Endpoint Configuration Manager 共同管理を使って Configuration Manager の展開を Microsoft 365 クラウドにアタッチします。 - 共同管理 Microsoft Defender for Endpoint Microsoft Defender ポータルで Defender for Endpoint によって保護されているデバイスを表示します。 - デバイス インベントリ |
Target 2.1.2 NPE/PKI、管理下のデバイスDoD 組織は、DoD エンタープライズ PKI のソリューションとサービスを利用して、サポートされているすべてのマネージド デバイスに x509 証明書を展開します。 PKI システムや IdP システムで x509 証明書をサポートするその他の非個人エンティティ (NPE) を追加で割り当てます。 結果: - 組織の PKI と組織の IDP によって非個人エンティティを管理します |
Microsoft Intune エンドポイントへの証明書プロビジョニング用に Intune Certificate Connector を追加します。 - 証明書コネクタ - 認証用の証明書 Intune ネットワーク プロファイルを使って、ネットワークに対するマネージド デバイスの認証を構成します。 Simple Certificate Enrollment Protocol (SCEP) 証明書を追加します。 - デバイスの Wi-Fi 設定 - Windows デバイスの有線ネットワーク設定 Intune をネットワーク アクセス制御 (NAC) パートナーと統合して、デバイスがオンプレミスのリソースにアクセスするときにデータをセキュリティで保護します。 - NAC 統合 アプリケーション管理ポリシー テナント アプリ管理ポリシーを構成して、アプリケーション資格情報をエンタープライズ PKI によって発行された証明書に制限します。 ユーザーの Microsoft ガイダンス 1.9.1 を参照してください。 Azure IoT Hub X.509 認証を使って適用するように Azure IoT Hub を構成します。 - x509 証明書を使って ID を認証する Microsoft Defender for Identity 組織が Active Directory 証明書サービス (AD CS) で PKI をホストしている場合は、Defender for Identity センサーをデプロイし、AD CS の監査を構成します。 - AD CS センサー - AD CS の監査を構成する |
Target 2.1.3 エンタープライズ IDP (パート 1)一元化されたテクノロジまたはフェデレーション組織テクノロジを使用する DoD エンタープライズ ID プロバイダー (IdP) は、デバイスやサービス アカウントなどの非個人エンティティ (NPE) を統合します。 統合できる場合は、統合をエンタープライズ デバイス管理ソリューションで追跡します。 IdP と統合できない NPE は、廃止としてマークするか、リスクベースの系統的アプローチを使って除外します。 結果: - デバイスを含む NPE をエンタープライズ IdP と統合します |
Microsoft Entra 参加済みデバイスの登録 新規および再イメージ化する Windows クライアント デバイスに、Microsoft Entra 参加済みデバイスを使用します。 Microsoft Entra 参加済みデバイスでは、Microsoft 365 などのクラウド アプリにサインインするユーザー エクスペリエンスが向上します。 ユーザーは、Microsoft Entra 参加済みデバイスを使ってオンプレミスのリソースにアクセスします。 - 参加済みデバイス - 参加済みデバイスでのオンプレミス リソースへの SSO Microsoft Intune Microsoft Entra テナントに参加している Windows 10 または 11 デバイスの自動登録を設定します。 - 自動登録 Microsoft Entra Connect 同期 組織が Connect 同期を使って Active Directory と Microsoft Entra ID を同期する場合。デバイスを Microsoft Entra ID に自動的に登録するには、ハイブリッド参加済みデバイスを構成します。 - ハイブリッド参加済みデバイス Microsoft Entra アプリケーション アプリケーションを Microsoft Entra に登録し、サービス プリンシパルを使ってプログラムで Microsoft Entra や Microsoft Graph などの保護された API にアクセスします。 アプリ管理ポリシーを構成してアプリケーションの資格情報の種類を制限します。 Microsoft ガイダンス 2.1.2 を参照してください。 Microsoft Entra ワークロード ID ワークロード ID フェデレーションを使って、GitHub Actions やその他のサポートされているシナリオで Microsoft Entra で保護されたリソースにアクセスします。 - ワークロード ID フェデレーション マネージド ID サポートされている Azure リソースや Azure Arc 対応 VM にマネージド ID を使用します。 - Azure リソース用マネージド ID - Azure Arc 対応サーバー Azure IoT Hub Microsoft Entra ID を使って Azure IoT Hub サービス API への要求を認証します。 - IoT Hub へのアクセスを制御する |
Advanced 2.1.4 エンタープライズ IDP (パート 2)一元化されたテクノロジまたはフェデレーション組織テクノロジを使用している DoD エンタープライズ ID プロバイダー (IdP) は、場所、使用パターンなどの NPE の動的属性を追加します。 結果: - 条件付きデバイス属性を IdP プロファイルに含めます |
Microsoft Defender for Endpoint エンド ユーザーのデスクトップ デバイス、マネージド モバイル デバイス、サーバーに Defender for Endpoint を展開します。 - デバイスのオンボード - Intune でのデバイスに対する Defender for Endpoint - Windows サーバーのオンボード Microsoft Intune Intune でエンド ユーザー デバイスを管理します。 マネージド デバイスの Intune コンプライアンス ポリシーを構成します。 Intune コンプライアンス ポリシーに Microsoft Defender for Endpoint マシン リスク スコアを含めます。 - コンプライアンス ポリシーを計画する - デバイス リスク レベルのコンプライアンス ポリシー - カスタム コンプライアンス ポリシー - Intune で Windows デバイスを構成する - Android Enterprise セキュリティ構成 - Intuneでの iOS デバイスと iPadOS デバイス 組織でサードパーティの Mobile Threat Defense (MTD) ソリューションを使用している場合は、Intune コネクタを構成します。 - MTD 構成 モバイル アプリ管理 登録されていないデバイスに Intune MAM を使って、Bring Your Own Devices (BYOD) 用にアプリを構成してセキュリティで保護します。 - アプリ管理 |
2.2 デバイスの検出とコンプライアンス
Microsoft Intune コンプライアンス ポリシーを使って、デバイスが組織の標準に準拠していることを保証します。 コンプライアンス ポリシーにより、デバイス構成をセキュリティ ベースラインに対して評価できます。 ポリシーでは、Microsoft Defender for Endpoint の保護の状態とマシン リスク スコアを使ってコンプライアンスを判断します。 条件付きアクセスでは、デバイスのコンプライアンス状態を使ってユーザーとデバイスのアクセスを動的に決定します (Bring Your Own Devices (BYOD) を含む)。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target 2.2.1 C2C/コンプライアンス ベースのネットワーク認可の実装 (パート 1)各組織と連携する DoD エンタープライズは、Comply to Connect のポリシー、標準、要件を策定します。 合意に達したら、ソリューションの調達を開始し、ベンダーを選び、ZT のターゲット環境 (低リスク) で基本レベルの機能で実装を開始します。 新しい Comply to Connect ソリューションで基本レベルのチェックを実装し、ZTA のターゲット機能を満たす機能を実現します。 結果: - エンタープライズ レベルで低リスク環境とテスト環境に C2C を適用します - C2C を使って基本的なデバイス チェックを実装します |
Microsoft Intune Intune でデバイスを管理し、デバイス コンプライアンス ポリシーを構成します。 Intune モバイル アプリケーション管理 (MAM) を使って、登録されていない BYOD でアプリをセキュリティで保護します。 2.1.4 の Microsoft ガイダンスを参照してください。 条件付きアクセス 条件付きアクセス ポリシーで Intune 準拠のデバイス シグナル、場所、サインイン リスク シグナルを使います。 デバイス属性に基づいて、条件付きアクセス ポリシーでデバイス フィルターを使います。 - コンプライアンス デバイスを要求する - 条件 - デバイスのフィルター - Intune での条件付きアクセス Microsoft Entra ワークロード ID リスクと場所の制御を使って、ワークロード ID の条件付きアクセス ポリシーを作成します。 - ワークロード ID の条件付きアクセス - ワークロード ID のセキュリティ保護 |
Advanced 2.2.2 C2C/コンプライアンス ベースのネットワーク認可の実装 (パート 2)DoD 組織は、ZT の高度な機能を満たすために必要なサポートされるすべての環境に、Comply to Connect のデプロイと使用を拡大します。 Comply to Connect チームは、ソリューションをエンタープライズ IdP および認可ゲートウェイと統合して、リソースへのアクセスと認可をより適切に管理します。 結果: - サポートされるすべての環境に C2C を適用します - 高度なデバイス チェックを完成させ、動的アクセス、エンタープライズ IdP、ZTNA と統合します。 |
Microsoft Entra アプリケーション アプリケーションを統合し、Microsoft Entra ID を使ってユーザー アクセスを管理します。 ユーザーの Microsoft ガイダンス 1.2.4 を参照してください。 Microsoft Intune と Microsoft Defender for Endpoint Intune でデバイスを管理し、Defender for Endpoint をデプロイし、Defender for Endpoint マシン リスク スコアを使ってデバイス コンプライアンス ポリシーを構成します。 このセクションの Microsoft ガイダンス 2.1.4 を参照してください。 条件付きアクセス アプリケーション アクセスに準拠しているデバイスを要求する条件付きアクセス ポリシーを作成します。 2.2.1 の Microsoft ガイダンスを参照してください。 Microsoft Entra アプリケーション プロキシ アプリケーション プロキシまたは安全なハイブリッド アクセス (SHA) パートナー ソリューションをデプロイし、ゼロ トラスト ネットワーク アクセス (ZTNA) によりオンプレミスおよびレガシ アプリケーションの条件付きアクセスを有効にします。 - Microsoft Entra 統合による SHA Microsoft Tunnel Tunnel は、Intune で管理されるデバイスと Intune で管理されるアプリを使用した登録されていないデバイス用の仮想プライベート ネットワーク (VPN) ゲートウェイ ソリューションです。 Tunnel では、認証に Microsoft Entra ID を、オンプレミスのアプリケーションへのモバイル デバイス アクセスに条件付きアクセス ポリシーを使います。 - Intune の Tunnel |
2.3 リアルタイム検査によるデバイス認可
条件付きアクセスは、Microsoft クラウド製品およびサービス用のゼロ トラスト ポリシー エンジンです。 IdP でゼロ トラスト ポリシーを評価すると、リソース アクセスの前にアダプティブ コントロールを適用することで、Comply to Connect (C2C) モデルを強化できます。 条件付きアクセス ポリシーでは、Microsoft Entra ID、Microsoft Defender XDR、Microsoft Intune からのセキュリティ シグナルを使います。
Microsoft Defender XDR コンポーネントは、機械学習 (ML) 検出を使ってデバイスと ID のリスク レベルを評価し、動的なリスクベースの決定を有効にしてデータ、アプリケーション、資産、サービス (DAAS) へのアクセスを許可、ブロック、または制御します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Advanced 2.3.1 エンティティ アクティビティの監視 (パート 1)DoD 組織は、策定したユーザーとデバイスのベースラインを使い、実装したユーザーとエンティティの行動アクティビティ (UEBA) ソリューションを利用してベースラインを統合します。 UEBA デバイス属性とベースラインを使って、デバイス認可を検出できます。 結果: - UEBA 属性をデバイス ベースラインに統合します - UEBA 属性をデバイス アクセスで使用できます |
Microsoft Intune と Microsoft Defender for Endpoint Intune でデバイスを管理し、Defender for Endpoint をデプロイし、Defender for Endpoint マシン リスク スコアを使ってデバイス コンプライアンス ポリシーを構成します。 2.1.4 の Microsoft ガイダンスを参照してください。 条件付きアクセス アプリケーション アクセスに準拠しているデバイスを要求する条件付きアクセス ポリシーを作成します。 2.2.1 の Microsoft ガイダンスを参照してください。 Microsoft Entra ID 保護 Microsoft Entra ID Protection で ID リスク レベルの条件付きアクセス ポリシーを構成します。 ユーザーの Microsoft ガイダンス 1.6.1 を参照してください。 |
Advanced 2.3.2 エンティティ アクティビティの監視 (パート 2)DoD 組織は、ユーザーとエンティティの行動アクティビティ (UEBA) ソリューションとネットワーク アクセス ソリューションを利用して、環境とリソースへのアクセスに UEBA 属性 (デバイスの正常性、ログオン パターンなど) を要求します。 結果: - デバイス アクセスに UEBA 属性を要求します |
条件付きアクセス 条件付きアクセス ポリシーで Intune 準拠デバイスの状態、場所、ID リスク シグナルを使用します。 デバイス フィルターを使って、デバイスの属性に基づく条件付きアクセス ポリシーを対象にします。 2.2.1 と 2.3.1 の Microsoft ガイダンスを参照してください。 |
Target 2.3.3 アプリケーション制御ツールとファイルの整合性の監視 (FIM) ツールの実装DoD 組織は、ファイルの整合性の監視 (FIM) ソリューションとアプリケーション制御ソリューションを調達して実装します。 FIM は、データの柱で監視の開発と拡張を続けます。 リスクの低い環境に監視のみモードでアプリケーション制御をデプロイし、ベースラインの許可を確立します。 エンタープライズおよび組織の PKI 環境と統合しているアプリケーション制御チームは、アプリケーションの許可に証明書を利用します。 NextGen AV で考えられるすべてのサービスとアプリケーションを保護します 結果: - すべての重要なサービス/アプリケーションにアプリ制御と FIM のツールを実装します - EDR ツールで考えられるすべてのサービスとアプリケーションを保護します - アプリ制御と FIM のデータを必要に応じて C2C に送信します |
Microsoft Defender for Endpoint Defender for Endpoint は、マシン リスク スコアのためにファイルの整合性の監視 (FIM)、アプリケーション制御、次世代ウイルス対策 (NGAV) などからシグナルを集計します。 - 次世代の保護 - マネージド デバイスのウイルス対策 - フォルダー アクセスの制御 Microsoft Intune Microsoft Intune でアプリ制御エンドポイントのセキュリティ ポリシーを構成します。 - App Control for Business で承認されたアプリ - Windows Defender のアプリ制御ポリシーとファイルの規則 条件付きアクセス Comply to Connect (C2C) モデルを実現するには、アプリケーションを Microsoft Entra ID と統合し、条件付きアクセスで準拠しているデバイスの許可の制御を要求します。 2.2.2 の Microsoft ガイダンスを参照してください。 |
Advanced 2.3.4 NextGen AV ツールと C2C の統合DoD 組織は、必要に応じて次世代のウイルス対策およびマルウェア対策ソリューションを調達して実装します。 これらのソリューションを Comply to Connect の初期デプロイと統合し、シグネチャ、更新などのベースライン状態チェックを実行します。 結果: - 重要な NextGen AV データを C2C に送信してチェックします - すべての重要なサービス/アプリケーションに NextGen AV ツールを実装します |
Microsoft Intune ウイルス対策と Microsoft Defender for Endpoint マシン リスク スコアのためにデバイス コンプライアンス ポリシーを作成します。 - エンドポイント セキュリティのウイルス対策ポリシー 2.2.2 の Microsoft ガイダンスを参照してください。 |
Advanced 2.3.5 必要に応じてデバイス セキュリティ スタックを C2C と完全に統合するDoD 組織は、すべての環境に防止モードでアプリケーション制御のデプロイを継続します。 ファイルの整合性の監視 (FIM) とアプリケーション制御の分析を Comply to Connect に統合して、アクセスに関する意思決定を行うデータ ポイントを拡張します。 さらなるデバイス/エンドポイントのセキュリティ スタック データ ポイントのために Comply to Connect の分析を評価し (UEDM など)、必要に応じて統合します。 結果: - アプリ制御と FIM のデプロイを、必要なすべてのサービス/アプリケーションに拡張します - デバイス セキュリティ ツールからの残りのデータを C2C で実装します |
アクティビティ 2.3.4 を完了します。 Microsoft Defender for Cloud Apps Defender for Cloud Apps ポリシーを使って、危険なクラウド アプリケーションを特定して制御します。 - ポリシーでクラウド アプリを制御する |
Advanced 2.3.6 エンタープライズ PKI (パート 1)DoD エンタープライズの公開キー基盤 (PKI) を拡張して、NPE とデバイスの証明書の追加を含めます。 PKI 証明書をサポートしていない NPE とデバイスは廃止としてマークし、使用停止処理を開始します。 結果: - 証明書を持つことができないデバイスは段階的に廃止したり、最小限のアクセス環境に移動したりします - すべてのデバイスと NPE に証明書をインストールし、エンタープライズ PKI で認証します |
Microsoft Intune Microsoft Intune を使って DoD PKI 証明書をデバイスに展開します。 2.1.2 の Microsoft ガイダンスを参照してください。 アプリケーション管理ポリシー テナント アプリ管理ポリシーを構成して、アプリケーションの資格情報をエンタープライズ PKI によって発行された証明書に制限します。 ユーザーの Microsoft ガイダンス 1.5.3 を参照してください。 Microsoft Defender for Cloud Apps アプリケーション アクセスにクライアント証明書を要求し、承認されていないデバイス アクセスをブロックするようにアクセス ポリシーを構成します。 - アクセス ポリシー |
Advanced 2.3.7 エンタープライズ PKI (パート 2)DoD 組織は、デバイスの認証とマシン間の通信に証明書を使います。 サポートされないデバイスの廃止を完了し、リスクベースの系統的アプローチを使って例外を承認します。 結果: - デバイスが他のサービスやデバイスと通信するためには、認証する必要があります |
Microsoft Intune と条件付きアクセス アプリケーションを Microsoft Entra ID と統合し、Intune でデバイスを管理し、Microsoft Defender for Endpoint でデバイスを保護し、コンプライアンス ポリシーを構成します。 Defender for Endpoint マシン リスク スコアのコンプライアンス ポリシーを含めます。 条件付きアクセス ポリシーで準拠の許可の制御を要求します。 2.2.2 の Microsoft ガイダンスを参照してください。 |
2.4 リモート アクセス
Microsoft Entra ID は、"既定で拒否" の ID プロバイダー (IdP) です。 アプリケーションのサインインに Microsoft Entra を使う場合、ユーザーが認証して条件付きアクセス ポリシーのチェックに合格すると、Microsoft Entra がアクセスを承認します。 Microsoft Entra ID を使って、クラウドまたはオンプレミスでホストされているアプリケーションを保護できます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target 2.4.1 既定でデバイスを拒否するDoD 組織は、リモートおよびローカルのアンマネージド デバイスのリソースへのアクセスをすべてブロックします。 準拠しているマネージド デバイスには、ZTA のターゲット レベルの概念に従って、リスクベースの方法によるアクセス権を提供します。 結果: - コンポーネントは、既定でリソース (アプリ/データ) へのデバイス アクセスをブロックし、ポリシーごとに準拠しているデバイスを明示的に許可できます - "既定でデバイスを拒否するポリシー" のアプローチに従ってリモート アクセスを有効にします |
Microsoft Entra ID アプリケーション Microsoft Entra ID によって保護されているアプリケーションとリソースへのアクセスを既定で拒否します。 リソースへのアクセスには、条件付きアクセス ポリシーによって認証、アクティブな権利、認可を要求します。 - アプリを統合する - アプリの統合 Microsoft Intune Intune でデバイスを管理します。 デバイス コンプライアンス ポリシーを構成します。 すべてのユーザーとアプリケーションに対して条件付きアクセス ポリシーで準拠しているデバイスを要求します。 2.2.1 の Microsoft ガイダンスを参照してください。 |
Target 2.4.2 マネージドおよび制限付き BYOD および IOT のサポートDoD 組織は、統合エンドポイントおよびデバイス管理 (UEDM) や同様のソリューションを利用して、マネージド Bring Your Own Device (BYOD) デバイスとモノのインターネット (IoT) デバイスをエンタープライズ IdP と完全に統合し、ユーザーとデバイス ベースの認可をサポートします。 すべてのアプリケーションに対して、デバイス アクセスに動的アクセス ポリシーを要求します。 結果: - すべてのアプリケーションで、デバイスの動的アクセス許可を要求します - BYOD デバイスと IOT デバイスのアクセス許可をベースライン化し、エンタープライズ IDP と統合します |
アクティビティ 2.4.1 を完了します。 Microsoft Intune Intune デバイス管理とモバイル アプリケーション管理を使って、Bring Your Own Device (BYOD) を実現します。 - 登録されていないデバイスのモバイル アプリ管理 - アプリ保護ポリシー 条件付きアクセス すべてのユーザーとアプリケーションに対して条件付きアクセスで準拠しているデバイスやアプリ保護ポリシーを要求します。 - 承認されたクライアント アプリまたはアプリ保護ポリシー - Windows デバイスに対するアプリ保護ポリシー Microsoft Entra 外部 ID 信頼されたパートナーからの準拠しているデバイス制御を信頼するようにテナント間アクセス設定を構成します。 - B2B コラボレーションのテナント間アクセス設定 Microsoft Defender for IoT Defender for IoT センサーを展開して可視性を確保し、IoT および運用テクノロジ (OT) デバイスを監視して保護します。 デバイスのソフトウェアを最新の状態に維持し、ローカル パスワードを変更します。 既定のパスワードは使用しないでください。 - Defender for IoT - ゼロ トラストによる IoT と OT のセキュリティ - IoT をセキュリティで保護するための米国国家サイバーセキュリティ戦略 |
Advanced 2.4.3 マネージドおよびフル BYOD と IOT のサポート (パート 1)DoD 組織は、統合エンドポイントおよびデバイス管理 (UEDM) や同様のソリューションを利用し、動的アクセス ポリシーを使って、ミッションや運用にとって重要なサービス/アプリケーションへのマネージド デバイスや承認されたデバイスのアクセスを有効にします。 BYOD デバイスとモノのインターネット (IoT) デバイスは、認可の前に標準のベースライン チェックに合格する必要があります。 結果: - 必須の構成標準を満たす BYOD デバイスと IOT デバイスにのみリソースへのアクセスを許可します - 重要なサービスでは、デバイスの動的アクセスが必要です |
アクティビティ 2.4.2 を完了します。 Microsoft Defender for Cloud Apps アプリケーション アクセスにクライアント証明書を要求するようにアクセス ポリシーを構成します。 承認されていないデバイスからのアクセスをブロックします。 2.3.6 の Microsoft ガイダンスを参照してください。 |
Advanced 2.4.4 マネージドおよびフル BYOD と IOT のサポート (パート 2)DoD 組織は、統合エンドポイントおよびデバイス管理 (UEDM) や同様のソリューションを利用して、デバイス チェックと標準ベースラインを満たすアンマネージド デバイスのアクセスを有効にします。 可能なすべてのサービス/アプリケーションを統合して、マネージド デバイスのアクセスを許可します。 リスク駆動型の系統的認可アプローチに基づいて、アンマネージド デバイスをサービス/アプリケーションと統合します。 結果: - 可能なすべてのサービスでデバイスの動的アクセスを要求します |
Azure Virtual Desktop Azure Virtual Desktop (AVD) をデプロイして、アンマネージド デバイスからのリモート アクセスをサポートします。 AVD セッション ホスト VM を Microsoft Entra に参加させ、Microsoft Intune でコンプライアンスを管理します。 アンマネージド デバイスからのパスワードレスまたはフィッシングに強いパスワードレス認証子を使って AVD へのサインインを許可します。 - AVD の Microsoft Entra 参加済み VM - 認証強度 Microsoft Defender for Cloud Apps Defender for Cloud Apps セッション制御を使って、アンマネージド デバイスからの Web セッションを監視して制限します。 - セッション ポリシー |
2.5 資産、脆弱性、パッチの管理の部分的な自動化と完全な自動化
Microsoft Endpoint Manager では、デバイス管理のためのクラウドベースとハイブリッド (共同管理) のソリューションがサポートされています。 構成ポリシーとコンプライアンス ポリシーにより、デバイスが組織のパッチ レベルとセキュリティ構成の要件を満たしていることを保証します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target 2.5.1 資産、脆弱性、パッチの管理ツールを実装するDoD 組織は、資産/デバイスの構成、脆弱性、パッチを管理するためのソリューションを実装します。 チームは、最小限のコンプライアンス標準 (たとえば STIG など) を使って、マネージド デバイスのコンプライアンスを確認または拒否できます。 ソリューションを調達および実装するプロセスの一環として、将来の自動化と統合のレベルに向けて API やその他のプログラマティック インターフェイスをスコープに含めます。 結果: - コンポーネントで、デバイスが最小限のコンプライアンス標準を満たしているかどうかを確認できます - コンポーネントに資産管理、脆弱性、パッチのシステムがあり、API を使ってシステム間の統合を実現します |
Microsoft Intune Intune でデバイスを管理します。 2.1.4 の Microsoft ガイダンスを参照してください。 レガシ エンドポイント デバイスに Microsoft Endpoint Manager 共同管理を使用します。 - エンドポイント管理 - 共同管理 Intune で管理されるデバイス プラットフォームのポリシーを構成および更新します。 - iOS と iPadOS のソフトウェア更新ポリシー - macOS のソフトウェア更新ポリシー - Android FOTA 更新 - Windows 10 および 11 の更新 Microsoft Defender for Endpoint Microsoft Defender for Endpoint を Microsoft Intune と統合します。 Microsoft Intune 構成ポリシーを使用してエンドポイントの脆弱性を修復します。 - Microsoft Defender 脆弱性管理 - Microsoft Intune と、Microsoft Defender for Endpoint によって識別された脆弱性を使用します |
2.6 統合エンドポイント管理とモバイル デバイス管理
Microsoft Intune の構成ポリシーとコンプライアンス ポリシーにより、デバイスが組織のセキュリティ構成の要件を満たしていることを保証します。 Intune はコンプライアンス ポリシーを評価し、デバイスを準拠または非準拠としてマークします。 条件付きアクセス ポリシーでデバイスのコンプライアンス状態を使用し、準拠していないデバイスのユーザーが Microsoft Entra ID で保護されているリソースにアクセスできないようにすることができます。
Microsoft Entra 外部 ID のテナント間アクセス設定には、ゲスト コラボレーション用の信頼設定が含まれます。 これらの設定は、パートナー テナントごとにカスタマイズできます。 別のテナントからの準拠しているデバイスを信頼する場合、ホーム テナントで準拠しているデバイスを使用しているゲストは、テナント内の準拠デバイスを必要とする条件付きアクセス ポリシーを満たします。 外部ゲストをブロックしないように条件付きアクセス ポリシーの例外を作成する必要はありません。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target 2.6.1 UEDM または同等のツールを実装するDoD 組織は、「資産、脆弱性、パッチの管理ツールを実装する」のアクティビティと密接に連携して、統合エンドポイントおよびデバイス管理 (UEDM) ソリューションの調達と実装を行い、要件を調達プロセスに統合します。 ソリューションを調達したら、UEDM チームは、最小限のコンプライアンス、資産管理、API サポートなどの重要な ZT のターゲット機能を確実に実装します。 結果: - コンポーネントで、デバイスが最小限のコンプライアンス標準を満たしているかどうかを確認できます - コンポーネントに IT コンプライアンスを維持するユーザー デバイス (スマートフォン、デスクトップ、ノート PC) の資産管理システムがあり、それは DoD エンタープライズまで報告されます - コンポーネントの資産管理システムは、プログラムによって (つまり API によって) デバイスのコンプライアンス状態と、最小限の標準を満たしているかどうかを提供できます |
アクティビティ 2.3.2 を完了します。 Microsoft Intune 条件付きアクセスの Intune コンプライアンス シグナルによって、デバイスのコンプライアンス状態を ID プロバイダー (IdP)、Microsoft Entra ID と統合します。 Microsoft Entra 管理センターで、または Microsoft Graph API を使って、デバイスのコンプライアンス状態を表示します。 - コンプライアンス ポリシー - Intune レポート Microsoft Entra 外部 ID 組織外のユーザーにデバイス コンプライアンス ポリシーを拡大するには、信頼された DoD テナントからの MFA と準拠しているデバイスの要求を信頼するようにテナント間アクセス設定を構成します。 - テナント間アクセス Microsoft Graph API Microsoft Graph API を使ってデバイスのコンプライアンス状態を照会します。 - コンプライアンスとプライバシーに関する API |
Target 2.6.2 エンタープライズ デバイス管理 (パート 1)DoD 組織は、統合エンドポイントおよびデバイス管理ソリューションを使って、手動のデバイス インベントリを自動化されたアプローチに移行します。 承認されたデバイスは、場所に関係なく管理対象にすることができます。 重要なサービスの一部であるデバイスは、自動化をサポートする統合エンドポイントおよびデバイス管理ソリューションによって管理する必要があります。 結果: - 手動のインベントリを、重要なサービス用の自動化された管理ソリューションと統合します - ZT のデバイス管理を有効にします (リモート アクセスの有無にかかわらず任意の場所から) |
Microsoft Intune と条件付きアクセス Microsoft Intune でデバイスを管理します。 デバイス コンプライアンス ポリシーを構成します。 準拠しているデバイスの条件付きアクセス ポリシーを要求します。 2.1.4 の Microsoft ガイダンスを参照してください。 |
Target 2.6.3 Enterprise Device Management (パート 2)DoD 組織は、残りのデバイスを Enterprise Device Management ソリューションに移行します。 EDM ソリューションは、必要に応じてリスクおよびコンプライアンス ソリューションと統合されます。 結果: - 手動インベントリは、すべてのサービスの自動化された管理ソリューションと統合されています |
Microsoft Intune と条件付きアクセス Intune でデバイスを管理します。 デバイス コンプライアンス ポリシーを構成します。 条件付きアクセス ポリシーで準拠デバイスを要求します。 Microsoft ガイダンス 2.1.4 を参照してください。 |
2.7 エンドポイントおよび拡張された検出と対応 (EDR と XDR)
Microsoft Defender XDR 統合防御スイートにより、エンドポイント、ID、メール、アプリケーション全体の検出、防止、調査、対応を調整します。 Microsoft Defender XDR コンポーネントにより、高度な攻撃を検出して防御します。
Microsoft Defender XDR コンポーネントの統合により、デバイスを超えた保護を実現します。 Microsoft Entra ID Protection のユーザー リスク レベルに寄与する検出イベントの例を次に示します。
- Microsoft Defender for Office によって検出された疑わしいメール送信パターン
- Microsoft Defender for Cloud Apps でのあり得ない移動の検出
- Microsoft Defender for Endpoint によって検出されたプライマリ更新トークンへのアクセスの試み
リスクベースの条件付きアクセス ポリシーにより、信頼されたネットワーク上で準拠しているデバイスを使っていても、危険なユーザーによるクラウド サービスへのアクセスをセキュリティで保護、制限、またはブロックできます。
詳しくは、Microsoft Defender XDR コンポーネントの有効化とリスクの概要に関する記事を参照してください。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target 2.7.1 エンドポイントの検出と対応 (EDR) ツールを実装して C2C と統合するDoD 組織は、エンドポイントの検出と対応 (EDR) ソリューションを調達して環境内で実装します。 EDR によって、悪意のあるアクティビティや異常なアクティビティの保護、監視、対応を行い、ZT のターゲット機能を実現します。また、Comply to Connect ソリューションにデータを送信して、デバイスとユーザーのチェックを拡大します。 結果: - エンドポイントの検出と対応ツールを実装します - 重要な EDR データが C2C に送信されてチェックされます - NextGen AV ツールによって考えられるすべてのサービスとアプリケーションを保護します |
Microsoft Defender for Endpoint エンド ユーザー デバイス用に Defender for Endpoint をデプロイします。 このセクションの Microsoft ガイダンス 2.3.1 を参照してください。 Microsoft Intune Intune デバイス コンプライアンス ポリシーを構成します。 ポリシー コンプライアンスの Defender for Endpoint マシン リスク スコアを含めます。 Microsoft ガイダンス2.1.4 を参照してください。 および 2.3.2 の Microsoft ガイダンスを参照してください。 Microsoft Defender for Cloud Azure の仮想マシン (VM) を使用するサブスクリプションに対して Microsoft Defender for Server を有効にします。 Defender for Server プランには、サーバー用 Defender for Cloud が含まれています。 - Defender for Servers Azure Arc 対応サーバーを使って、Azure 外部の Windows および Linux の物理サーバーと VM を管理および保護します。 Azure 外部でホストされるサーバー用の Azure Arc エージェントをデプロイします。 Microsoft Defender for Server で保護されるサブスクリプションに Arc 対応サーバーをオンボードします。 - Azure Arc 対応サーバー - Azure Connected Machine エージェント |
Target 2.7.2 拡張された検出と対応 (XDR) ツールを実装して C2C と統合する (パート 1)DoD 組織は、拡張された検出と対応 (XDR) ソリューションを調達して実装します。 柱にまたがる機能を含む統合ポイントを特定し、リスクに基づいて優先順位を付けます。 これらの統合ポイントのうち最もリスクが高いものを処理し、統合を開始します。 EDR でエンドポイントのカバレッジを継続し、XDR 実装の一部として考えられるすべてのサービスとアプリケーションを含めます。 基本的な分析を、XDR ソリューション スタックから SIEM に送信します。 結果: - 機能ごとに統合ポイントを特定しました - 最もリスクの高い統合ポイントを XDR に統合しました - SIEM やその他のメカニズムを使って基本的なアラートを設定しています |
Microsoft Defender XDR Microsoft Defender XDR のコンポーネントとサービスのパイロットとデプロイを行います。 - Defender XDR - ゼロ トラストのための Sentinel と Defender XDR デプロイした Microsoft Defender XDR コンポーネントの統合を構成します。 - Defender for Endpoint と Defender for Cloud Apps - Defender for Identity と Defender for Cloud Apps - Purview Information Protection と Defender for Cloud Apps Microsoft Sentinel Microsoft Defender XDR 用の Sentinel データ コネクタを構成します。 分析ルールを有効にします。 - Defender XDR のインストール - Defender XDR のデータを Sentinel に接続する |
Advanced 2.7.3 拡張された検出と対応 (XDR) ツールを実装して C2C と統合する (パート 2)XDR ソリューション スタックで統合ポイントの特定を完了し、カバレッジを考えられる最大まで拡大します。 リスクベースの系統的アプローチを使って例外の追跡と管理を行い、運用を継続します。 ZT の高度な機能を実現する拡張された分析を、SIEM およびその他の適切なソリューションに統合します。 結果: - 残りの統合ポイントを適切に統合しました - 他の分析ツールで、少なくとも SIEM を使って拡張されたアラートと対応を実現します |
Microsoft Defender XDR セキュリティ オペレーション戦略で Microsoft Defender XDR を使用します。 - Defender XDR をセキュリティ オペレーションに統合する |
次のステップ
DoD ゼロ トラスト戦略用に Microsoft クラウド サービスを構成します。