Azure AD でのハイブリッドおよびクラウド デプロイ用の特権アクセスをセキュリティで保護するSecuring privileged access for hybrid and cloud deployments in Azure AD

現代の組織内のほとんどまたはすべてのビジネス資産のセキュリティは、IT システムを管理する特権アカウントの整合性に依存します。The security of most or all business assets in the modern organization depends on the integrity of the privileged accounts that administer and manage IT systems. 多くの場合、サイバー攻撃者を含む悪意のあるアクターは、管理者アカウントやその他の特権アクセスの要素をターゲットとして、資格情報盗用攻撃を使用して機密データやシステムにすばやくアクセスしようとします。Malicious actors including cyber-attackers often target admin accounts and other elements of privileged access to attempt to rapidly gain access to sensitive data and systems using credential theft attacks. クラウド サービスの場合、防止と対応は、クラウド サービス プロバイダーと顧客の共同責任です。For cloud services, prevention and response are the joint responsibilities of the cloud service provider and the customer. エンドポイントとクラウドに対する最新の脅威について詳しくは、Microsoft セキュリティ インテリジェンス レポートのページをご覧ください。For more information about the latest threats to endpoints and the cloud, see the Microsoft Security Intelligence Report. この記事は、現在のプランとここで説明しているガイダンス間のギャップを埋めるためのロードマップの作成に役立ちます。This article can help you develop a roadmap toward closing the gaps between your current plans and the guidance described here.

注意

Microsoft は、最高レベルの信頼、透過性、標準への準拠、規制コンプライアンスに努めています。Microsoft is committed to the highest levels of trust, transparency, standards conformance, and regulatory compliance. Microsoft のグローバルのインシデント対応チームがクラウド サービスへの攻撃の影響をどのように軽減するか、また Microsoft のビジネス製品とクラウド サービスにセキュリティがどのように組み込まれているかについて詳しくは、「Microsoft Trust Center - セキュリティ」をご覧ください。Microsoft コンプライアンス ターゲットについては、「Microsoft Trust Center - コンプライアンス」をご覧ください。Learn more about how the Microsoft global incident response team mitigates the effects of attacks against cloud services, and how security is built into Microsoft business products and cloud services at Microsoft Trust Center - Security and Microsoft compliance targets at Microsoft Trust Center - Compliance.

ほとんどの組織では、ビジネス資産のセキュリティは、IT システムを管理する特権アカウントの整合性に依存します。For most organizations, the security of business assets depends on the integrity of the privileged accounts that administer and manage IT systems. サイバー攻撃者は、組織の機密データにアクセスするために、インフラストラクチャ システム (Active Directory や Azure Active Directory) への特権アクセスに注目します。Cyber-attackers focus on privileged access to infrastructure systems (such as Active Directory and Azure Active Directory) to gain access to an organization’s sensitive data.

インターネット上での SaaS アプリや個人用デバイスの使用が増加しているため、プライマリ セキュリティの境界としてネットワークの入口と出口の保護に焦点を当てた従来のアプローチは効果が低くなっています。Traditional approaches that focus on securing the entrance and exit points of a network as the primary security perimeter are less effective due to the rise in the use of SaaS apps and personal devices on the Internet. 複雑な現代の企業内のネットワーク セキュリティ境界を自然に置き換えるものは、組織の ID 層での認証と認可のコントロールです。The natural replacement for the network security perimeter in a complex modern enterprise is the authentication and authorization controls in an organization's identity layer.

特権管理者アカウントは、この新しい "セキュリティ境界" のコントロールに効果的です。Privileged administrative accounts are effectively in control of this new "security perimeter." 環境がオンプレミス、クラウド、またはオンプレミスとクラウド ホステッド サービスのハイブリッドのいずれであるかに関係なく、特権アクセスを保護することが重要です。It's critical to protect privileged access, regardless of whether the environment is on-premises, cloud, or hybrid on-premises and cloud hosted services. 断固たる敵対者から管理アクセスを保護するには、組織のシステムをリスクから分離する完全かつ熟慮されたアプローチをとる必要があります。Protecting administrative access against determined adversaries requires you to take a complete and thoughtful approach to isolating your organization’s systems from risks.

特権アクセスをセキュリティで保護するには、以下に対する変更が必要ですSecuring privileged access requires changes to

  • プロセス、管理作業、ナレッジ管理Processes, administrative practices, and knowledge management
  • ホスト防御、アカウントの保護、ID 管理などの技術的なコンポーネントTechnical components such as host defenses, account protections, and identity management

このドキュメントでは主に、Azure AD、Microsoft Azure、Office 365、その他のクラウド サービスで管理またはレポートされる ID およびアクセスをセキュリティで保護するためのロードマップの作成に焦点を当てています。This document focuses primarily on creating a roadmap to secure identities and access that are managed or reported in Azure AD, Microsoft Azure, Office 365, and other cloud services. オンプレミスの管理者アカウントがある組織の場合は、「Securing Privileged Access (特権アクセスのセキュリティ保護)」で、Active Directory から管理されるオンプレミスおよびハイブリッドの特権アクセスに関するガイダンスをご覧ください。For organizations that have on-premises administrative accounts, see the guidance for on-premises and hybrid privileged access managed from Active Directory at Securing Privileged Access.

注意

この記事のガイダンスでは、Azure Active Directory Premium プラン P1 と P2 に含まれている Azure Active Directory の主な機能を参照します。The guidance in this article refers primarily to features of Azure Active Directory that are included in Azure Active Directory Premium plans P1 and P2. Azure Active Directory Premium P2 は、EMS E5 スイートおよび Microsoft 365 E5 スイートに含まれています。Azure Active Directory Premium P2 is included in the EMS E5 suite and Microsoft 365 E5 suite. このガイダンスでは、組織がユーザー用に Azure AD Premium P2 ライセンスを既に購入していることを想定しています。This guidance assumes your organization already has Azure AD Premium P2 licenses purchased for your users. これらのライセンスがない場合、ガイダンスの一部は組織に適用されないことがあります。If you do not have these licenses, some of the guidance might not apply to your organization. また、この記事全体で、グローバル管理者 (または全体管理者) という用語は "会社の管理者" または "テナント管理者" と同義です。Also, throughout this article, the term global administrator (or global admin) is synonymous with “company administrator” or “tenant administrator.”

ロードマップの作成Develop a roadmap

マイクロソフトでは、サイバー攻撃者から特権アクセスを保護するためのロードマップを作成して従うことをお勧めします。Microsoft recommends that you develop and follow a roadmap to secure privileged access against cyber attackers. 既存の機能と組織内の特定の要件に合わせてロードマップをいつでも調整できます。You can always adjust your roadmap to accommodate your existing capabilities and specific requirements within your organization. ロードマップの各ステージで、敵対者がオンプレミス、クラウド、ハイブリッドの資産の特権アクセスを攻撃するコストと難易度を上げます。Each stage of the roadmap should raise the cost and difficulty for adversaries to attack privileged access for your on-premises, cloud, and hybrid assets. 次の 4 つのロードマップ ステージをお勧めします。この推奨ロードマップは、サイバー攻撃のインシデントと対応の実装に関する Microsoft の経験に基づいて、最も効果的で迅速な実装をスケジュールします。Microsoft recommends the following four roadmap stages: This recommended roadmap schedules the most effective and the quickest implementations first, based on Microsoft's experiences with cyber-attack incident and response implementation. このロードマップのタイムラインは、おおよそのものです。The timelines for this roadmap are approximate.

ロードマップのステージとタイム ライン

  • ステージ 1 (24-48 時間): すぐに実施することをお勧めする重要な項目Stage 1 (24-48 hours): Critical items that we recommend you do right away

  • ステージ 2 (2-4 週間): 最もよく使用される攻撃手法の緩和Stage 2 (2-4 weeks): Mitigate the most frequently used attack techniques

  • ステージ 3 (1-3 か月): 可視性の構築と管理者アクティビティのフル コントロールの構築Stage 3 (1-3 months): Build visibility and build full control of admin activity

  • ステージ 4 (6 か月以降): セキュリティ プラットフォームをさらに強化するための防御の継続的な構築Stage 4 (six months and beyond): Continue building defenses to further harden your security platform

このロードマップ フレームワークは、既にデプロイしている Microsoft テクノロジの使用を最大化するように設計されています。This roadmap framework is designed to maximize the use of Microsoft technologies that you may have already deployed. 現在および今後の主要なセキュリティ テクノロジを活用したり、既に展開しているか、展開を検討している他のベンダーのセキュリティ ツールを統合したりすることもできます。You can also take advantage of key current and upcoming security technologies and integrate security tools from other vendors that you have already deployed or are considering deploying.

ステージ 1: すぐに実施することをお勧めする重要な項目Stage 1: Critical items that we recommend you do right away

ステージ 1 すぐに実施する重要な項目

ロードマップのステージ 1 では、迅速かつ簡単に実装できる重要なタスクに重点を置きます。Stage 1 of the roadmap is focused on critical tasks that are fast and easy to implement. 最初の 24 ~ 48 時間以内にこれらの少数の項目をすぐに実施して、セキュリティで保護された特権アクセスの基本的なレベルを確保することをお勧めします。We recommend that you do these few items right away within the first 24-48 hours to ensure a basic level of secure privileged access. セキュリティで保護された特権アクセスのロードマップのこのステージには、次のアクションが含まれます。This stage of the Secured Privileged Access roadmap includes the following actions:

一般的な準備General preparation

Azure AD Privileged Identity Management を有効にするTurn on Azure AD Privileged Identity Management

Azure AD Privileged Identity Management (PIM) をまだ有効にしていない場合は、運用環境のテナントで有効にします。If you have not already turned on Azure AD Privileged Identity Management (PIM), do so in your production tenant. Privileged Identity Management を有効にすると、特権アクセス ロールが変更されたという電子メール通知を受け取ります。After you turn on Privileged Identity Management, you’ll receive notification email messages for privileged access role changes. これらの通知は、ディレクトリ内の高度な特権ロールに他のユーザーが追加された場合に早期警告を提供します。These notifications provide early warning when additional users are added to highly privileged roles in your directory.

Azure AD Privileged Identity Management は、Azure AD Premium P2 または EMS E5 に含まれています。Azure AD Privileged Identity Management is included in Azure AD Premium P2 or EMS E5. これらのソリューションでは、オンプレミスの環境のアプリケーションとリソースやクラウドへのアクセスを保護できます。These solutions help you protect access to applications and resources across the on-premises environment and into the cloud. Azure AD Premium P2 または EMS E5 がまだなく、このロードマップで参照されている機能をさらに評価したい場合は、Enterprise Mobility + Security の 90 日間無料試用版にサインアップしてください。If you don't already have Azure AD Premium P2 or EMS E5 and wish to evaluate more of the features referenced in this roadmap, sign up for the Enterprise Mobility + Security free 90-day trial. これらのライセンスの試用版を使用して、Azure AD Privileged Identity Management と Azure AD Identity Protection を試し、Azure AD の高度なセキュリティ レポート、監査、アラートを使用してアクティビティを監視してください。Use these license trials to try Azure AD Privileged Identity Management and Azure AD Identity Protection, to monitor activity using Azure AD advanced security reporting, auditing, and alerts.

Azure AD Privileged Identity Management を有効にした後で:After you have turned on Azure AD Privileged Identity Management:

  1. 運用環境のテナントのグローバル管理者であるアカウントで Azure Portal にサインインします。Sign in to the Azure portal with an account that is a global admin of your production tenant.

  2. Privileged Identity Management を使用するテナントを選択するには、Azure Portal の右上隅でユーザー名を選択します。To select the tenant where you want to use Privileged Identity Management, select your user name in the upper right-hand corner of the Azure portal.

  3. [すべてのサービス] を選択し、Azure AD Privileged Identity Management の一覧をフィルターします。Select All services and filter the list for Azure AD Privileged Identity Management.

  4. [すべてのサービス] の一覧から Privileged Identity Management を開き、ダッシュ ボードにピン留めします。Open Privileged Identity Management from the All services list and pin it to your dashboard.

テナント内で Azure AD Privileged Identity Management を使用する最初のユーザーには、そのテナントの [セキュリティ管理者] ロールと [特権ロール管理者] ロールが自動的に割り当てられます。The first person to use Azure AD Privileged Identity Management in your tenant is automatically assigned the Security administrator and Privileged role administrator roles in the tenant. ユーザーの Azure AD ディレクトリ ロールの割り当てを管理できるのは特権ロール管理者だけです。Only privileged role administrators can manage the Azure AD directory role assignments of users. また、Azure AD Privileged Identity Management を追加すると、初期の検出と割り当てを体験できるセキュリティ ウィザードが表示されます。Also, after adding Azure AD Privileged Identity Management, you are shown the security wizard that walks you through the initial discovery and assignment experience. この時点でさらに変更を加えずに、ウィザードを終了することができます。You can exit the wizard without making any additional changes at this time.

高度な特権ロールに属するアカウントを識別および分類するIdentify and categorize accounts that are in highly privileged roles

Azure AD Privileged Identity Management を有効にした後、グローバル管理者、特権ロール管理者、Exchange Online 管理者、SharePoint Online 管理者のディレクトリ ロールに属するユーザーを表示します。After turning on Azure AD Privileged Identity Management, view the users who are in the directory roles Global administrator, Privileged role administrator, Exchange Online administrator, and SharePoint Online administrator. テナントに Azure AD PIM がない場合は、PowerShell API を使用できます。If you do not have Azure AD PIM in your tenant, you can use the PowerShell API. グローバル管理者ロールは汎用的であるため、このロールから開始します。Microsoft 365 管理センターと Azure portal のどちらで割り当てられたか、あるいは Microsoft PowerShell 用 Azure AD モジュールを使用して割り当てられたかに関係なく、この管理者ロールが割り当てられたユーザーは、組織がサブスクライブしているすべてのクラウド サービスで同じ権限を持つことになります。Start with the global admin role as this role is generic: a user who is assigned this admin role has the same permissions across all cloud services for which your organization has subscribed, regardless of whether they’ve been assigned this role in the Microsoft 365 admin center, the Azure portal, or by using the Azure AD module for Microsoft PowerShell.

このようなロールの不要になったアカウントがあれば削除します。Remove any accounts that are no longer needed in those roles. 次に、管理者ロールに割り当てられている残りのアカウントを分類します。Then, categorize the remaining accounts that are assigned to admin roles:

  • 管理ユーザーに個別に割り当てられ、管理以外の目的 (たとえば、個人用電子メール) にも使用できるIndividually assigned to administrative users, and can also be used for non-administrative purposes (for example, personal email)
  • 管理ユーザーに個別に割り当てられ、管理目的にのみ指定されているIndividually assigned to administrative users and designated for administrative purposes only
  • 複数のユーザー間で共有されるShared across multiple users
  • 非常時の緊急アクセス シナリオ用For break-glass emergency access scenarios
  • 自動スクリプト用For automated scripts
  • 外部ユーザー用For external users

少なくとも 2 つの緊急アクセス用アカウントを定義するDefine at least two emergency access accounts

管理者として既存の個別ユーザーのアカウントへのサインインやアクティブ化ができないために Azure AD テナントの管理から誤ってロックアウトされる可能性がある状況になっていないことを確認します。Make sure that you don't get into a situation where they could be inadvertently locked out of the administration of your Azure AD tenant due to an inability to sign in or activate an existing individual user's account as an administrator. たとえば、組織がオンプレミスの ID プロバイダーにフェデレーションされており、その ID プロバイダーが利用不可であるためユーザーがオンプレミスにサインインできない場合などです。For example, if the organization is federated to an on-premises identity provider, that identity provider may be unavailable so users cannot sign in on-premises. 複数の緊急アクセス用アカウントをテナントに保持すると、誤って管理アクセスが不可能になることによる影響を軽減できます。You can mitigate the impact of accidental lack of administrative access by storing two or more emergency access accounts in your tenant.

緊急アクセス用アカウントは、組織において既存の Azure Active Directory 環境内での特権アクセスを制限するのに役立ちます。Emergency access accounts help organizations restrict privileged access within an existing Azure Active Directory environment. このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。These accounts are highly privileged and are not assigned to specific individuals. 緊急アクセス用アカウントは、通常の管理者アカウントを使うことができない '緊急事態' に制限されます。Emergency access accounts are limited to emergency for 'break glass' scenarios where normal administrative accounts cannot be used. 組織は、緊急用アカウントの使用をコントロールおよび低減し、必要なときにだけ使うという目的を守る必要があります。Organizations must ensure the aim of controlling and reducing the emergency account's usage to only that time for which it is necessary.

グローバル管理者ロールが割り当てられているか、その対象であるアカウントを評価します。Evaluate the accounts that are assigned or eligible for the global admin role. *.onmicrosoft.com ドメイン ("非常時" の緊急アクセスが目的) を使用しているクラウド専用アカウントが見当たらない場合は、それらを作成します。If you did not see any cloud-only accounts using the *.onmicrosoft.com domain (intended for "break glass" emergency access), create them. 詳しくは、「Azure AD で緊急アクセス用管理者アカウントを管理する」をご覧ください。For more information, see Managing emergency access administrative accounts in Azure AD.

多要素認証を有効にし、その他のすべての高度な特権を持つシングル ユーザー非フェデレーション管理者アカウントを登録するTurn on multi-factor authentication and register all other highly-privileged single-user non-federated admin accounts

1 つまたは複数の Azure AD 管理者ロール (グローバル管理者、特権ロール管理者、Exchange Online 管理者、SharePoint Online 管理者) に永続的に割り当てられているすべての個々のユーザーのサインイン時に Azure Multi-factor Authentication (MFA) が必要です。Require Azure Multi-Factor Authentication (MFA) at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global administrator, Privileged Role administrator, Exchange Online administrator, and SharePoint Online administrator. ガイドを使用して管理者アカウントの Multi-Factor Authentication (MFA) を有効にし、https://aka.ms/mfasetup でそれらすべてのユーザーが登録されていることを確認しします。Use the guide to enable Multi-factor Authentication (MFA) for your admin accounts and ensure that all those users have registered at https://aka.ms/mfasetup. 詳しくは、「Office 365 でデータやサービスへのアクセスを保護する」の手順 2. と手順 3. をご覧ください。More information can be found under step 2 and step 3 of the guide Protect access to data and services in Office 365.

ステージ 2: 最もよく使用される攻撃手法の緩和Stage 2: Mitigate the most frequently used attack techniques

ステージ 2 よく使用される攻撃の緩和

ロードマップのステージ 2 は、資格情報の盗用や誤用に最もよく使われる攻撃手法の緩和に重点を置き、約 2 ~ 4 週間で実装することができます。Stage 2 of the roadmap focuses on mitigating the most frequently used attack techniques of credential theft and abuse and can be implemented in approximately 2-4 weeks. セキュリティで保護された特権アクセスのロードマップのこのステージには、次のアクションが含まれます。This stage of the Secured Privileged Access roadmap includes the following actions.

一般的な準備General preparation

サービス、所有者、管理者のインベントリを実施するConduct an inventory of services, owners, and admins

個人所有機器の持ち込み (BYOD) と自宅からの作業のポリシーの増加や、ビジネスにおけるワイヤレス接続の拡大に伴い、ネットワークに接続するユーザーを監視することが重要です。With the increase in bring-your-own-device (BYOD) and work-from-home policies and the growth of wireless connectivity in businesses, it is critical that you monitor who is connecting to your network. 多くの場合、効果的なセキュリティ監査は、IT でサポートされていないため安全ではない可能性のあるネットワーク上で実行されているデバイス、アプリケーション、プログラムを明らかにします。An effective security audit often reveals devices, applications, and programs running on your network that are not supported by IT, and therefore potentially not secure. 詳しくは、「Azure セキュリティの管理と監視の概要」をご覧ください。For more information, see Azure security management and monitoring overview. インベントリ プロセスには、次のすべてのタスクを含めてください。Ensure that you include all of the following tasks in your inventory process.

  • 管理者ロールを持つユーザーと、それらのユーザーが管理できるサービスを識別します。Identify the users who have administrative roles and the services where they can manage.
  • Azure AD PIM を使用して、ステージ 1 に示されているロール以外の追加ロールなど、Azure AD への管理者アクセス権を持つ組織内のユーザーを確認します。Use Azure AD PIM to find out which users in your organization have admin access to Azure AD, including additional roles beyond those listed in Stage 1.
  • Azure AD で定義されているロール以外に、Office 365 には、組織内のユーザーに割り当てることができる管理者ロールのセットが付属します。Beyond the roles defined in Azure AD, Office 365 comes with a set of admin roles that you can assign to users in your organization. 各管理者ロールは、共通のビジネス機能にマップされ、Microsoft 365 管理センターで特定のタスクを行うためのアクセス許可を組織のユーザーに付与します。Each admin role maps to common business functions, and gives people in your organization permissions to do specific tasks in the Microsoft 365 admin center. Microsoft 365 管理センターを使用して、Azure AD で管理されていないロール経由を含め、Office 365 への管理者アクセス権を持つ組織内のユーザーを確認します。Use the Microsoft 365 admin center to find out which users in your organization have admin access to Office 365, including via roles not managed in Azure AD. 詳しくは、「Office 365 の管理者ロールについて」」と「Office 365 のセキュリティのベスト プラクティス」をご覧ください。For more information, see About Office 365 admin roles and Security best practices for Office 365.
  • Azure、Intune、Dynamics 365 など、組織が利用している他のサービスでインベントリを実行します。Perform the inventory in other services your organization relies on, such as Azure, Intune, or Dynamics 365.
  • 管理者アカウント (ユーザーの日常的なアカウントだけでなく管理目的でも使用されるアカウント) に、仕事用メール アドレスが割り当てられ、Azure MFA に登録されているか MFA をオンプレミスで使用していることを確認します。Ensure that your admin accounts (accounts that are used for administration purposes, not just users’ day-to-day accounts) have working email addresses attached to them and have registered for Azure MFA or use MFA on-premises.
  • ユーザーに管理アクセス権を使用するビジネス上の正当な理由を尋ねます。Ask users for their business justification for administrative access.
  • 管理者アクセス権を必要としない個人ユーザーとサービスの管理者アクセス権を取り消します。Remove admin access for those individuals and services that don’t need it.

職場または学校アカウントに切り替える必要がある管理者ロールの Microsoft アカウントを特定するIdentify Microsoft accounts in administrative roles that need to be switched to work or school accounts

組織の最初のグローバル管理者は、Azure AD の使用を開始するときに既存の Microsoft アカウント資格情報を再利用することがあります。Sometimes, the initial global administrators for an organization reuse their existing Microsoft account credentials when they began using Azure AD. これらの Microsoft アカウントは、個々のクラウドベースのアカウントまたは同期アカウントで置き換える必要があります。Those Microsoft accounts should be replaced by individual cloud-based or synchronized accounts.

グローバル管理者アカウントのユーザー アカウントとメール転送を分離するEnsure separate user accounts and mail forwarding for global administrator accounts

個人用電子メール アカウントはサイバー攻撃者によって定期的にフィッシングされるため、グローバル管理者アカウントでは個人用電子メール アドレスを使用しないでください。Global administrator accounts should not have personal email addresses, as personal email accounts are regularly phished by cyber attackers. インターネット上のリスク (フィッシング攻撃、意図しない Web サイトの参照) を管理者特権から分離するために、管理者特権を持つユーザーごとに専用のアカウントを作成します。To help separate internet risks (phishing attacks, unintentional web browsing) from administrative privileges, create dedicated accounts for each user with administrative privileges.

まだ行っていない場合は、ユーザーがグローバル管理者のタスクを実行するための別のアカウントを作成して、誤って電子メールを開いたり、管理者アカウントに関連付けられているプログラムを実行したりしないようにします。If you have not already done so, create separate accounts for users to perform global admin tasks, to make sure they do not inadvertently open emails or run programs associated with their admin accounts. これらのアカウントが電子メールを作業用のメールボックスに転送することを確認します。Be sure those accounts have their email forwarded to a working mailbox.

管理者アカウントのパスワードが最近変更されたことを確認するEnsure the passwords of administrative accounts have recently changed

すべてのユーザーが過去 90 日間に少なくとも 1 回管理者アカウントにサインインし、パスワードを変更したことを確認します。Ensure that all users have signed into their administrative accounts and changed their passwords at least once in the last 90 days. また、複数のユーザーがパスワードを知っている共有アカウントのパスワードが最近変更されたことを確認します。Also, ensure that any shared accounts in which multiple users know the password have had their passwords changed recently.

パスワード ハッシュ同期をオンにするTurn on password hash synchronization

パスワード ハッシュ同期は、オンプレミスの Active Directory インスタンスからクラウドベースの Azure Active Directory インスタンスにユーザー パスワード ハッシュのハッシュを同期するときに使用する機能です。Password hash synchronization is a feature used to synchronize hashes of user password hashes from an on-premises Active Directory instance to a cloud-based Azure AD instance. Active Directory フェデレーション サービス (AD FS) または他の ID プロバイダーでフェデレーションを使用する場合でも、AD サーバーや ADFS サーバーなどのオンプレミスのインフラストラクチャがエラーになるか一時的に利用不可になった場合のバックアップとしてパスワード ハッシュ同期を設定することもできます。Even if you decide to use federation with Active Directory Federation Services (AD FS) or other identity providers, you can optionally set up password hash synchronization as a backup in case your on-premises infrastructure such as AD or ADFS servers fail or becomes temporarily unavailable. これにより、ユーザーは、オンプレミスの Active Directory インスタンスにサインインするときに使うものと同じパスワードを使用してサービスにサインインできます。This enables users to sign in to the service by using the same password that they use to sign in to their on-premises AD instance. また、ユーザーが Azure AD に接続されていない他のサービスと同じ電子メール アドレスおよびパスワードを利用している場合に、Identity Protection では、これらのパスワード ハッシュを侵害が検知されたパスワードと比較して、侵害された資格情報を検出できます。Also, it allows Identity Protection to detect compromised credentials by comparing those password hashes with passwords known to be compromised, if a user has leveraged their same email address and password on other services not connected to Azure AD. 詳細については、「Azure AD Connect 同期を使用したパスワード ハッシュ同期の実装」をご覧ください。For more information, see Implement password hash synchronization with Azure AD Connect sync.

すべての特権ロールに属するユーザーおよび露出しているユーザーに多要素認証 (MFA) を要求するRequire multi-factor authentication (MFA) for users in all privileged roles as well as exposed users

Azure AD では、管理者や、アカウントが侵害された場合に大きな影響を及ぼす他のすべてユーザー (たとえば、財務責任者) を含め、すべてのユーザーに多要素認証 (MFA) を要求することをお勧めします。Azure AD recommends that you require multi-factor authentication (MFA) for all your users, including administrators and all other users who would have a significant impact if their account was compromised (for example, financial officers). これにより、パスワードの漏洩による攻撃のリスクが軽減されます。This reduces the risk of an attack due to a compromised password.

以下を有効にします。Turn on:

Windows Hello for Business を使用する場合は、Windows Hello サインイン エクスペリエンスを使用して MFA 要件を満たすことができます。If you use Windows Hello for Business, the MFA requirement can be met using the Windows Hello sign in experience. 詳しくは、「Windows Hello」をご覧ください。For more information, see Windows Hello.

Identity Protection を構成するConfigure Identity Protection

Azure AD Identity Protection は、アルゴリズムベースの監視およびレポート ツールで、組織の ID に影響する潜在的な脆弱性を検出するために使用できます。Azure AD Identity Protection is an algorithm-based monitoring and reporting tool that you can use to detect potential vulnerabilities affecting your organization’s identities. 検出された不審なアクティビティへの自動対応を構成し、それらを解決するのに適切なアクションを実行できます。You can configure automated responses to those detected suspicious activities, and take appropriate action to resolve them. 詳細については、「Azure Active Directory Identity Protection」をご覧ください。For more information, see Azure Active Directory Identity Protection.

Office 365 セキュリティ スコアを取得する (Office 365 を使用している場合)Obtain your Office 365 Secure Score (if using Office 365)

セキュリティ スコアは、使用している Office 365 サービス (OneDrive、SharePoint、Exchange など) を検出し、設定とアクティビティを参照して、Microsoft によって確立されたベースラインと比較します。Secure Score figures out what Office 365 services you’re using (like OneDrive, SharePoint, and Exchange) then looks at your settings and activities and compares them to a baseline established by Microsoft. セキュリティに関するベスト プラクティスにどの程度従っているかに基づいてスコアが算出されます。You’ll get a score based on how aligned you are with best security practices. Office 365 Business Premium または Enterprise サブスクリプションの管理者アクセス許可を持つユーザー (グローバル管理者またはカスタムの管理者ロール) は、https://securescore.office.com でセキュリティ スコアにアクセスできます。Anyone who has admin permissions (global admin or a custom administrator role) for an Office 365 Business Premium or Enterprise subscription can access the Secure Score at https://securescore.office.com.

Office 365 セキュリティおよびコンプライアンス ガイダンスを確認する (Office 365 を使用している場合)Review the Office 365 security and compliance guidance (if using Office 365)

セキュリティとコンプライアンスの計画に関するページでは、Office 365 のお客様が Office 365 を構成する方法とその他の EMS 機能を活用する方法のアプローチについて概説しています。The plan for security and compliance outlines the approach for how an Office 365 customer should configure Office 365 and leverage other EMS capabilities. 次に、「Office 365 でデータやサービスへのアクセスを保護する」の手順 3. ~ 6. と「Office 365 でセキュリティとコンプライアンスを監視する」のガイドを確認します。Then, review steps 3-6 of how to Protect access to data and services in Office 365 and the guide for how to monitor security and compliance in Office 365.

Office 365 アクティビティの監視を構成する (Office 365 を使用している場合)Configure Office 365 Activity Monitoring (if using Office 365)

組織内のユーザーが Office 365 サービスをどのように使用しているかを監視できるため、管理者アカウントを持つユーザーや、ポータルにサインインしていないため Office 365 へのアクセスが必要のないユーザーを識別できます。You can monitor how people in your organization are using Office 365 services, enabling you to identify users who have an administrative account and who may not need Office 365 access due to not signing into those portals. 詳細については、「Microsoft 365 管理センターのアクティビティ レポート」を参照してください。For more information, see Activity reports in the Microsoft 365 admin center.

インシデント/緊急時対応計画の所有者を設定するEstablish incident/emergency response plan owners

インシデント対応の効果的な実行は複雑な作業です。Performing incident response effectively is a complex undertaking. そのため、成功するインシデント対応機能を確立するには、多大な計画とリソースが必要です。Therefore, establishing a successful incident response capability requires substantial planning and resources. サイバー攻撃を継続的に監視し、インシデントの処理の優先順位付けの手順を確立することが重要です。It is essential that you continually monitor for cyber-attacks and establish procedures for prioritizing the handling of incidents. データを効果的に収集、分析、レポートする方法は、他の内部グループや計画所有者とのリレーションシップを構築し、コミュニケーションを確立するために不可欠です。Effective methods of collecting, analyzing, and reporting data are vital to build relationships and to establish communication with other internal groups and plan owners. 詳しくは、「Microsoft Security Response Center」をご覧ください。For more information, see Microsoft Security Response Center.

まだ行っていない場合は、オンプレミスの特権管理者アカウントをセキュリティで保護するSecure on-premises privileged administrative accounts, if not already done

Azure Active Directory テナントがオンプレミスの Active Directory と同期されている場合は、特権アクセスのセキュリティ保護のロードマップ: ステージ 1 のガイダンスに従います。If your Azure Active Directory tenant is synchronized with on-premises Active Directory, then follow the guidance in Security Privileged Access Roadmap: Stage 1. これには、オンプレミスの管理タスクを実行する必要があるユーザー用の別の管理者アカウントの作成、Active Directory 管理者の Privileged Access Workstations のデプロイ、ワークステーションとサーバーの一意のローカル管理者パスワードの作成が含まれます。This includes creating separate admin accounts for users who need to conduct on-premises administrative tasks, deploying Privileged Access Workstations for Active Directory administrators, and creating unique local admin passwords for workstations and servers.

Azure へのアクセスを管理する組織における追加の手順Additional steps for organizations managing access to Azure

サブスクリプションのインベントリを完了するComplete an inventory of subscriptions

エンタープライズ ポータルと Azure Portal を使用して、運用アプリケーションをホストする組織内のサブスクリプションを識別します。Use the Enterprise portal and the Azure portal to identify the subscriptions in your organization that host production applications.

Microsoft アカウントを管理者ロールから削除するRemove Microsoft accounts from admin roles

Xbox、Live、Outlook などの他のプログラムの Microsoft アカウントは、組織のサブスクリプションの管理者アカウントとして使用しないでください。Microsoft accounts from other programs, such as Xbox, Live, and Outlook should not be used as administrator accounts for organizational subscriptions. すべての Microsoft アカウントから管理状態を除去し、Azure Active Directory (たとえば、chris@contoso.com) の職場または学校アカウントで置き換えます。Remove admin status from all Microsoft accounts, and replace with Azure Active Directory (for example, chris@contoso.com) work or school accounts.

Azure のアクティビティを監視するMonitor Azure activity

Azure アクティビティ ログは、Azure でのサブスクリプション レベルのイベント履歴を提供します。The Azure Activity Log provides a history of subscription-level events in Azure. このログは、だれがどのリソースをいつ作成、更新、または削除したかについての情報を提供します。It offers information about who created, updated, and deleted what resources, and when these events occurred. 詳しくは、「Azure サブスクリプションの重要なアクションを監査して通知を受信する」をご覧ください。For more information, see Audit and receive notifications about important actions in your Azure subscription.

Azure AD を介して他のクラウド アプリへのアクセスを管理する組織における追加の手順Additional steps for organizations managing access to other cloud apps via Azure AD

条件付きアクセス ポリシーを構成するConfigure Conditional Access policies

オンプレミスのアプリケーションとクラウドでホストされるアプリケーションの条件付きアクセス ポリシーを準備します。Prepare Conditional Access policies for on-premises and cloud-hosted applications. ユーザーがワークプレースに参加しているデバイスを持っている場合、詳しくは「Azure Active Directory デバイス登録を使用したオンプレミスの条件付きアクセスの設定」をご覧ください。If you have users workplace joined devices, get more information from Setting up on-premises Conditional Access by using Azure Active Directory device registration.

ステージ 3:可視性の構築と管理者アクティビティのフル コントロールの実施Stage 3: Build visibility and take full control of admin activity

ステージ 3 管理者アクティビティの制御

ステージ 3 は、ステージ 2 のリスク軽減の上に構築され、約 1 ~ 3 か月以内に実装するように設計されています。Stage 3 builds on the mitigations from Stage 2 and is designed to be implemented in approximately 1-3 months. セキュリティで保護された特権アクセスのロードマップのこのステージには、次のコンポーネントが含まれます。This stage of the Secured Privileged Access roadmap includes the following components.

一般的な準備General preparation

管理者ロールに属するユーザーのアクセス レビューを実行するComplete an access review of users in administrator roles

クラウド サービス経由で特権アクセス権を得る企業ユーザーの増加は、管理されないプラットフォームの増加につながります。More corporate users are gaining privileged access through cloud services, which can lead to an increasing unmanaged platform. Office 365 のグローバル管理者になるユーザー、Azure サブスクリプション管理者、VM や SaaS アプリの管理者アクセス権を持つユーザーなどがこれにあたります。This includes users becoming global admins for Office 365, Azure subscription administrators, and users who have admin access to VMs or via SaaS apps. 代わりに、組織のすべての従業員、特に管理者は、日常的なビジネス トランザクションを特権のないユーザーとして処理し、必要な場合にのみ管理者権限で実行する必要があります。Instead, organizations should have all employees, especially admins, handle day-to-day business transactions as unprivileged users, and only take on admin rights as needed. 初期導入後に管理者ロールに属するユーザー数が拡大する可能性があるため、アクセス レビューを実行し、管理者特権をアクティブにする資格を持つすべてのユーザーを確認してください。Since the number of users in admin roles may have grown since initial adoption, complete access reviews to identify and confirm every user who is eligible to activate admin privileges.

以下の手順を実行します。Do the following:

  • Azure AD 管理者であるユーザーを確認し、オンデマンドの Just-In-Time 管理者アクセス権とロール ベースのセキュリティ制御を有効にします。Determine which users are Azure AD admins, enable on-demand, just-in-time admin access, and role-based security controls.
  • 管理特権でアクセスする明確な正当性を持たないユーザーを別のロールに変換します (資格のあるロールがない場合は、ユーザーを削除します)。Convert users who have no clear justification for admin privileged access to a different role (if no eligible role, remove them).

すべてのユーザーについて、より強力な認証のロールアウトを継続するContinue rollout of stronger authentication for all users

経営幹部、上位管理者、クリティカルな IT およびセキュリティ担当者、露出度の高いその他のユーザーには、Azure MFA や Windows Hello などの最新の強力な認証を要求します。Require C-suite executives, high-level managers, critical IT and security personnel, and other highly-exposed users to have modern, strong authentication, such as Azure MFA or Windows Hello.

Azure AD の管理に専用のワークステーションを使用するUse dedicated workstations for administration for Azure AD

攻撃者は、特権アカウントをターゲットとして組織のデータやシステムにアクセスして、プログラム ロジックを変更したり、資格情報を入力する管理者の情報を探ってデータの整合性と信頼性を破壊しようとする場合があります。Attackers may attempt to target privileged accounts to gain access to an organization’s data and systems so they can disrupt the integrity and authenticity of data, through malicious code that alters the program logic or snoops the admin entering a credential. Privileged Access Workstation (PAW) には、機密性の高いタスクに専用のオペレーティング システムが用意されており、インターネット上の攻撃や脅威ベクトルから保護されます。Privileged Access Workstations (PAWs) provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors. このような機密性の高いタスクとアカウントを日常的に使用するワークステーションやデバイスから切り離すことで、フィッシング攻撃、アプリケーションと OS の脆弱性、さまざまな偽装攻撃、資格情報の盗難 (キーロガー、pass-the-hash、pass-the-ticket など) から強力に保護されます。Separating these sensitive tasks and accounts from the daily use workstations and devices provides very strong protection from phishing attacks, application and OS vulnerabilities, various impersonation attacks, and credential theft attacks such as keystroke logging, Pass-the-Hash, and Pass-The-Ticket. Privileged Access Workstations をデプロイすることで、管理者が強化されたデスクトップ環境以外で管理者の資格情報を入力するリスクを軽減できます。By deploying privileged access workstations, you can reduce the risk that admins enter admin credentials except on a desktop environment that has been hardened. 詳しくは、Privileged Access Workstations に関するページをご覧ください。For more information, see Privileged Access Workstations.

インシデントの処理に関する米国国立標準技術研究所の推奨事項を確認するReview National Institute of Standards and Technology recommendations for handling incidents

米国国立標準技術研究所 (NIST) は、特にインシデント関連のデータの分析と各インシデントへの適切な対応の決定について、インシデント処理のガイドラインを提供しています。The National Institute of Standards and Technology’s (NIST) provides guidelines for incident handling, particularly for analyzing incident-related data and determining the appropriate response to each incident. 詳細については、「The (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2)」((NIST) コンピューター セキュリティ インシデント対応ガイド (SP 800 61、リビジョン 2)) を参照してください。For more information, see The (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2).

JIT に Privileged Identity Management (PIM) を実装して管理者ロールを追加するImplement Privileged Identity Management (PIM) for JIT to additional administrative roles

Azure Active Directory の場合は、Azure AD Privileged Identity Management 機能を使用します。For Azure Active Directory, use Azure AD Privileged Identity Management capability. 特権ロールの期間限定アクティブ化は以下を有効にすることで動作します。Time-limited activation of privileged roles works by enabling you to:

  • 特定のタスクを実行するために管理特権をアクティブにするActivate admin privileges to perform a specific task
  • アクティブ化プロセス中に MFA を適用するEnforce MFA during the activation process
  • アラートを使用して帯域外の変更について管理者に通知するUse alerts to inform admins about out-of-band changes
  • ユーザーが特定の特権をあらかじめ構成された時間保持できるようにするEnable users to retain certain privileges for a pre-configured amount of time
  • セキュリティ管理者に、すべての特権 ID の検出、監査レポートの表示、管理者特権をアクティブにする資格を持つすべてのユーザーを識別するためのアクセス レビューの作成を許可するAllow security admins to discover all privileged identities, view audit reports, and create access reviews to identify every user who is eligible to activate admin privileges

既に Azure AD Privileged Identity Management を使用している場合は、必要に応じて期限付きの特権の期間 (たとえば、メンテナンス期間) を調整します。If you’re already using Azure AD Privileged Identity Management, adjust timeframes for time-bound privileges as necessary (for example, maintenance windows).

パスワードベースのサインイン プロトコルへの露出を確認する (Exchange Online を使用している場合)Determine exposure to password-based sign-in protocols (if using Exchange Online)

以前は、プロトコルでは、ユーザー名/パスワードの組み合わせはデバイス、電子メール アカウント、携帯電話などに埋め込まれていると見なされていました。In the past, protocols assumed that username/password combinations were embedded in devices, email accounts, phones, and so on. しかし現在は、クラウドにサイバー攻撃のリスクがあるため、資格情報が侵害された場合に組織に致命的な影響を与える可能性のあるユーザーをすべて特定し、強力な認証要件と条件付きアクセスを実装することで、それらのユーザーがユーザー名/パスワードを介して自分の電子メールにサインインできないようにすることをお勧めします。But now with the risk for cyber-attacks in the cloud, we recommend you identify every potential user who, if their credentials were compromised, could be catastrophic to the organization, and exclude them from being able to sign in to their email via username/password by implementing strong authentication requirements and Conditional Access. 条件付きアクセス ポリシーを使用してレガシ認証をブロックできます。You can block legacy authentication using Conditional Access. Exchnage Online での基本認証の無効化の詳細をご確認ください。Please check the details on how to block basic authentication through Exchnage online.

Office 365 ロールのロール レビュー アセスメントを実行する (Office 365 を使用している場合)Complete a roles review assessment for Office 365 roles (if using Office 365)

すべての管理者ユーザーが適切なロールに属しているどうかを評価します (このアセスメントに基づいて削除または再割り当てします)。Assess whether all admins users are in the correct roles (delete and reassign according to this assessment).

Office 365 で使用されているセキュリティ インシデント管理アプローチを確認し、自分の組織と比較するReview the security incident management approach used in Office 365 and compare with your own organization

このレポートは、「Security Incident Management in Microsoft Office 365 (Microsoft Office 365 でのセキュリティ インシデント管理)」からダウンロードできます。You can download this report from Security Incident Management in Microsoft Office 365.

オンプレミスの特権管理者アカウントのセキュリティ保護に進むContinue to secure on-premises privileged administrative accounts

Azure Active Directory がオンプレミスの Active Directory に接続されている場合は、特権アクセスのセキュリティ保護のロードマップ: ステージ 2 のガイダンスに従います。If your Azure Active Directory is connected to on-premises Active Directory, then follow the guidance in the Security Privileged Access Roadmap: Stage 2. これには、すべての管理者に対する Privileged Access Workstations のデプロイ、MFA の要求、DC メンテナンスでの Just Enough Admin の使用、ドメインの攻撃対象領域の縮小、攻撃検出用の ATA のデプロイが含まれます。This includes deploying Privileged Access Workstations for all administrators, requiring MFA, using Just Enough Admin for DC maintenance, lowering the attack surface of domains, deploying ATA for attack detection.

Azure へのアクセスを管理する組織における追加の手順Additional steps for organizations managing access to Azure

統合型の監視を確立するEstablish integrated monitoring

Azure Security Center は、Azure サブスクリプション全体に統合されたセキュリティの監視とポリシーの管理を提供し、気づかれなかった可能性がある脅威を検出できるよう支援し、セキュリティ ソリューションの広範なエコシステムと連動します。The Azure Security Center provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that may otherwise go unnoticed, and works with a broad ecosystem of security solutions.

ホストされる仮想マシン内で、特権アカウントのインベントリを行うInventory your privileged accounts within hosted Virtual Machines

ほとんどの場合、すべての Azure サブスクリプションまたはリソースへの無制限のアクセス許可をユーザーに付与する必要はありません。In most cases, you don’t need to give users unrestricted permissions to all your Azure subscriptions or resources. Azure AD 管理者ロールを使用して、組織内の職務を分離し、特定のジョブを実行する必要のあるユーザーに必要なアクセス権のみを付与します。You can use Azure AD admin roles to segregate duties within your organization and grant only the amount of access to users who need to perform specific jobs. たとえば、Azure AD 管理者ロールを使用して、ある管理者がサブスクリプションで VM のみを管理できるようにし、他の管理者が同じサブスクリプション内で SQL データベースを管理できるようにします。For example, use Azure AD administrator roles to let one admin manage only VMs in a subscription, while another can manage SQL databases within the same subscription. 詳細については、「Azure Portal でのロールベースの Access Control の基礎を確認する」を参照してください。For more information, see Get started with Role-Based Access Control in the Azure portal.

Azure AD 管理者ロールに対して PIM を実装するImplement PIM for Azure AD administrator roles

Azure AD 管理者ロールと共に Privileged Identity Management を使用して、Azure リソースへのアクセスを管理、制御、監視します。Use Privileged identity Management with Azure AD administrator roles to manage, control, and monitor access to Azure resources. PIM を使用して、特権の露出時間を短縮し、レポートとアラートを通じて使用状況の可視性を高めることで、特権アカウントをサイバー攻撃から保護します。Using PIM protects privileged accounts from cyber-attacks by lowering the exposure time of privileges and increasing your visibility into their use through reports and alerts. 詳しくは、Privileged Identity Management での Azure リソースへの RBAC アクセスの管理に関する記事をご覧ください。For more information, see Manage RBAC access to Azure resources with Privileged Identity Management.

Azure ログ統合を使用して、関連する Azure ログを SIEM システムに送信するUse Azure log integrations to send relevant Azure logs to your SIEM systems

Azure ログ統合を使用すると、未加工のログを、Azure リソースから組織の既存のセキュリティ情報イベント管理 (SIEM) システムに統合できます。Azure log integration enables you to integrate raw logs from your Azure resources to your organization’s existing Security Information and Event Management (SIEM) systems. Azure ログ統合では、Windows イベント ビューアー ログの Windows イベントと、Azure アクティビティ ログの Azure リソース、Azure Security Center アラート、Azure 診断ログを収集します。Azure log integration collects Windows events from Windows Event Viewer logs, and Azure resources from Azure Activity Logs, Azure Security Center alerts, and Azure Diagnostic logs.

Azure AD を介して他のクラウド アプリへのアクセスを管理する組織における追加の手順Additional steps for organizations managing access to other cloud apps via Azure AD

接続されているアプリのユーザー プロビジョニングを実装するImplement user provisioning for connected apps

Azure AD を使用すると、Dropbox、Salesforce、ServiceNow などのクラウド (SaaS) アプリケーションで、ユーザー ID の作成、保守、削除を自動化できます。Azure AD allows you to automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications such as Dropbox, Salesforce, ServiceNow, and so on. 詳しくは、「Azure Active Directory による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」をご覧ください。For more information, see Automate user provisioning and deprovisioning to SaaS applications with Azure AD.

Information Protection を統合するIntegrate information protection

MCAS を使用すると、ファイルを調査し、Azure Information Protection 分類ラベルに基づいてポリシーを設定して、クラウド内のデータの可視性と制御を向上させることができます。MCAS allows you to investigate files and set policies based on Azure Information Protection classification labels, enabling greater visibility and control of your data in the cloud. クラウド内のファイルをスキャンして分類し、Azure Information Protection ラベルを適用します。Scan and classify files in the cloud and apply Azure information protection labels. 詳しくは、「Azure Information Protection の統合」をご覧ください。For more information, see Azure Information Protection integration.

条件付きアクセスを構成するConfigure Conditional Access

グループ、場所、アプリケーションの機密性に基づいて SaaS アプリや Azure AD 接続アプリの条件付きアクセスを構成します。Configure Conditional Access based on a group, location, and application sensitivity for SaaS apps and Azure AD connected apps.

接続されているクラウド アプリのアクティビティを監視するMonitor activity in connected cloud apps

接続されているアプリケーションでもユーザーのアクセスが保護されていることを確認するには、Microsoft Cloud App Security の利用をお勧めします。To ensure users’ access is protected in connected applications as well, we recommend that you leverage Microsoft Cloud App Security. これは、以下を有効にすることで、管理者アカウントを保護するだけでなく、クラウド アプリへのエンタープライズ アクセスも保護します。This secures the enterprise access to cloud apps, in addition to securing your admin accounts, by enabling you to:

  • 可視性と制御をクラウド アプリに拡張するExtend visibility and control to cloud apps
  • アクセス、アクティビティ、データ共有のポリシーを作成するCreate policies for access, activities, and data sharing
  • 危険なアクティビティ、異常な動作、脅威を自動的に識別するAutomatically identify risky activities, abnormal behaviors, and threats
  • データの漏えいを防ぐPrevent data leakage
  • リスクを最小限に抑え、脅威の防止とポリシーの適用を自動化するMinimize risk and automated threat prevention and policy enforcement

Cloud App Security SIEM エージェントは、Cloud App Security を SIEM サーバーと統合して、Office 365 のアラートとアクティビティの一元的な監視を可能にします。The Cloud App Security SIEM agent integrates Cloud App Security with your SIEM server to enable centralized monitoring of Office 365 alerts and activities. サーバー上で稼働し、Cloud App Security からのアラートとアクティビティをプルして、SIEM サーバーにストリーム送信します。It runs on your server and pulls alerts and activities from Cloud App Security and streams them into the SIEM server. 詳しくは、「SIEM の統合」をご覧ください。For more information, see SIEM integration.

ステージ 4: 防御の構築を継続して予防的なセキュリティ対策を強化するStage 4: Continue building defenses to a more proactive security posture

ステージ 4 予防的なセキュリティ対策の採用

ロードマップのステージ 4 はステージ 3 の可視性の上に構築され、6 か月以降に実装するよう設計されています。Stage 4 of the roadmap builds on the visibility from Stage 3 and is designed to be implemented in six months and beyond. ロードマップが完成すると、現在知られていて利用できる潜在的な攻撃からの強力な特権アクセス保護を作成できます。Completing a roadmap helps you develop strong privileged access protections from potential attacks that are currently known and available today. 残念ながら、セキュリティの脅威は常に進化および変化しているため、セキュリティは、環境をターゲットとする敵対者のコストを上げ、成功率を減らすことに重点を置いた継続的なプロセスと考えることをお勧めします。Unfortunately, security threats constantly evolve and shift, so we recommend that you view security as an ongoing process focused on raising the cost and reducing the success rate of adversaries targeting your environment.

特権アクセスの保護は、現代の組織のビジネス資産のセキュリティ保証を確立するための重要な最初の手順ですが、ポリシー、操作、情報セキュリティ、サーバー、アプリケーション、PC、デバイス、クラウド ファブリック、その他の継続的なセキュリティ保証を提供するコンポーネントなどの要素が含まれる完全なセキュリティ プログラムを構成するのはそれだけではありません。Securing privileged access is a critical first step to establishing security assurances for business assets in a modern organization, but it is not the only part of a complete security program that would include elements, such as policy, operations, information security, servers, applications, PCs, devices, cloud fabric, and other components provide ongoing security assurances.

特権アクセス アカウントの管理に加えて、以下のことを継続的に確認することをお勧めします。In addition to managing your privileged access accounts, we recommend you review the following on an ongoing basis:

  • 管理者が日常業務を特権のないユーザーとして行っていることを確認します。Ensure that admins are doing their day-to-day business as unprivileged users.
  • 必要な場合にのみ特権アクセスを付与し、その後削除します (Just-In-Time)。Only grant privileged access when needed, and remove it afterward (just-in-time).
  • 特権アカウントに関連する監査アクティビティを保持および確認します。Retain and review audit activity relating to privileged accounts.

完全なセキュリティ ロードマップの構築について詳しくは、「Microsoft クラウド IT アーキテクチャのリソース」をご覧ください。For more information on building a complete security roadmap, see Microsoft cloud IT architecture resources. Microsoft サービスと連携して、これらのトピックについて支援を受ける方法について詳しくは、Microsoft の担当者にお問い合わせいただくか、「Build critical cyber defenses to protect your enterprise (企業を保護するための重要なサイバー防御を構築する)」をご覧ください。For more information on engaging Microsoft services to assist with any of these topics, contact your Microsoft representative or see Build critical cyber defenses to protect your enterprise.

セキュリティで保護された特権アクセスのロードマップのこの最終的な継続ステージには、次のコンポーネントが含まれます。This final ongoing stage of the Secured Privileged Access roadmap includes the following components.

一般的な準備General preparation

Azure Active Directory の管理者ロールを確認するReview admin roles in Azure Active Directory

現在の組み込み Azure AD 管理者ロールがまだ最新の状態であるかどうかを判断し、ユーザーが対応するアクセス許可に必要なロールと委任にのみ属していることを確認します。Determine if current built-in Azure AD admin roles are still up-to-date and ensure users are only in the roles and delegations that they need for corresponding permissions. Azure AD では、各種役割ごとに別々の管理者を指定することができます。With Azure AD, you can designate separate administrators to serve different functions. 詳しくは、「Azure Active Directory での管理者ロールの割り当て」をご覧ください。For more information, see Assigning administrator roles in Azure Active Directory.

Azure AD 参加済みデバイスの管理権を持つユーザーを確認するReview users who have administration of Azure AD joined devices

詳しくは、「ハイブリッド Azure Active Directory 参加済みデバイスの構成方法」をご覧ください。For more information, see How to configure hybrid Azure Active Directory joined devices.

Office 365 の組み込み管理者ロールのメンバーを確認するReview members of built-in Office 365 admin roles

Office 365 を使用している場合。If you are using Office 365.

インシデント対応計画を検証するValidate incident response plan

計画を強化するために、計画が想定どおりに動作していることを定期的に検証することをお勧めします。To improve upon your plan, Microsoft recommends you regularly validate that your plan operates as expected:

  • 既存のロードマップを実行して何が欠落していたかを確認するGo through your existing road map to see what was missed
  • 事後の分析に基づいて、既存のベスト プラクティスを改訂または新しいベスト プラクティスを定義するBased on the postmortem analysis, revise existing or define new best practices
  • 更新したインシデント対応計画とベスト プラクティスが、組織全体に配布されていることを確認するEnsure that your updated incident response plan and best practices are distributed throughout your organization

Azure へのアクセスを管理する組織における追加の手順Additional steps for organizations managing access to Azure

Azure サブスクリプションの所有権を別のアカウントに譲渡する必要があるかどうかを判断します。Determine if you need to transfer ownership of an Azure subscription to another account.

"非常時": 緊急時の対処方法"Break glass": what to do in an emergency

緊急時対処アクセス用のアカウント

  1. 主要な管理者とセキュリティ責任者に、インシデントに関する適切な情報を通知します。Notify key managers and security officers with pertinent information regarding the incident.

  2. 攻撃プレイブックをレビューします。Review your attack playbook.

  3. "非常時" アカウントのユーザー名/パスワードの組み合わせにアクセスして Azure AD にサインインします。Access your "break glass" account username/password combination to sign in to Azure AD.

  4. Azure サポート要求をオープンして、Microsoft の支援を受けます。Get help from Microsoft by opening an Azure support request.

  5. Azure AD サインイン レポートを参照します。Look at the Azure AD sign-in reports. イベントの発生からそのイベントがレポートに含まれるまでの時間差がある可能性があります。There may be a lag between an event occurring and when it is included in the report.

  6. ハイブリッド環境でフェデレーション サーバーと AD FS サーバーを利用できない場合、フェデレーション認証からパスワード ハッシュ同期の使用に一時的に切り替えることが必要な場合があります。これにより、AD FS サーバーが使用可能になるまで、ドメイン フェデレーションは管理された認証に戻ります。For hybrid environments, if federated and your AD FS server isn’t available, you may need to temporarily switch from federated authentication to use password hash sync. This reverts the domain federation back to managed authentication until the AD FS server becomes available.

  7. 特権アカウントの電子メールを監視します。Monitor email for privileged accounts.

  8. 潜在的なフォレンジック調査と法的調査のために関連ログのバックアップを保存してください。Make sure you save backups of relevant logs for potential forensic and legal investigation.

Microsoft Office 365 がセキュリティ インシデントを処理する方法について詳しくは、Microsoft Office 365 でのセキュリティ インシデント管理に関するドキュメントをご覧ください。For more information about how Microsoft Office 365 handles security incidents, see Security Incident Management in Microsoft Office 365.

よくあるご質問: 特権アクセスの保護についてよく寄せられる質問FAQ: Common questions we receive regarding securing privileged access

質問: セキュリティで保護されたアクセス コンポーネントをまだ実装していない場合はどうすればよいですか?Q: What do I do if I haven’t implemented any secure access components yet?

回答: 少なくとも 2 つの非常用アカウントを定義し、特権管理者アカウントに MFA を割り当て、ユーザー アカウントをグローバル管理者アカウントから分離します。Answer: Define at least two break-glass account, assign MFA to your privileged admin accounts, and separate user accounts from Global admin accounts.

質問: セキュリティ侵害の後、最初に対処する必要がある最上位の問題は何ですか?Q: After a breach, what is the top issue that needs to be addressed first?

回答: 露出度の高い個人に対して最も強力な認証を要求していることを確認します。Answer: Be sure you’re requiring the strongest authentication for highly-exposed individuals.

質問: 特権管理者が非アクティブ化されている場合はどうしますか?Q: What happens if our privileged admins have been deactivated?

回答: 常に最新の状態に保たれているグローバル管理者アカウントを作成します。Answer: Create a Global admin account that is always kept up-to-date.

質問: 唯一のグローバル管理者が退職し、アクセスできない場合はどうしますか?Q: What happens if there is only one global admin left and they can’t be reached?

回答: 非常用アカウントの 1 つを使用して、即時特権アクセス権を取得します。Answer: Use one of your break-glass accounts to gain immediate privileged access.

質問: 自分の組織内で管理者を保護するにはどうすればよいですか?Q: How can I protect admins within my organization?

回答: 管理者が日常業務を常に標準の "特権のない" ユーザーとして行うようにします。Answer: Have admins always do their day-to-day business as standard “unprivileged” users.

質問: Azure AD 内で管理者アカウントを作成するためのベスト プラクティスは何ですか?Q: What are the best practices for creating admin accounts within Azure AD?

回答: 特定の管理タスク用の特権アクセスを予約します。Answer: Reserve privileged access for specific admin tasks.

質問: 永続的な管理者アクセス権を縮小するにはどのようなツールが存在しますか?Q: What tools exist for reducing persistent admin access?

回答: Privileged Identity Management (PIM) と Azure AD 管理者ロールです。Answer: Privileged Identity Management (PIM) and Azure AD admin roles.

質問: Azure AD への管理者アカウントの同期について Microsoft はどのような立場にありますか?Q: What is the Microsoft position on synchronizing admin accounts to Azure AD?

回答: 0 層の管理者アカウント (AD フォレスト、ドメイン、またはドメイン コントローラー、およびすべての資産を直接または間接的に管理制御できるアカウント、グループ、その他の資産を含む) は、オンプレミスの AD アカウントに対してのみ利用でき、通常はクラウドの Azure AD と同期されません。Answer: Tier 0 admin accounts (including accounts, groups, and other assets that have direct or indirect administrative control of the AD forest, domains, or domain controllers, and all assets) are utilized only for on-premises AD accounts and are not typically synchronized for Azure AD for the cloud.

質問: ポータルで管理者にランダムな管理者アクセス権が割り当てられないようにするにはどうすればよいですか?Q: How do we keep admins from assigning random admin access in the portal?

回答: すべてのユーザーとほとんどの管理者には特権のないアカウントを使用します。Answer: Use non-privileged accounts for all users and most admins. まず、組織のフットプリントを作成して、どの少数の管理者に特権を与えるかを決定します。Start by developing a footprint of the organization to determine which few admin accounts should be privileged. そして、新しく作成した管理ユーザーを監視します。And monitor for newly-created administrative users.

次の手順Next steps

その他の Microsoft オンライン サービスOther Microsoft Online Services

  • Microsoft Intune のセキュリティ - Intune は、クラウドからのモバイル デバイス管理、モバイル アプリケーション管理、PC 管理機能を提供します。Microsoft Intune Security – Intune provides mobile device management, mobile application management, and PC management capabilities from the cloud.

  • Microsoft Dynamics 365 のセキュリティ - Dynamics 365 は、Microsoft クラウドベースのソリューションで、顧客関係管理 (CRM) とエンタープライズ リソース プランニング (ERP) の機能を統合します。Microsoft Dynamics 365 security – Dynamics 365 is the Microsoft cloud-based solution that unifies customer relationship management (CRM) and enterprise resource planning (ERP) capabilities.