セキュリティ運用における Microsoft Entra IDaaS

このアーキテクチャでは、セキュリティ オペレーション センター (SOC) のチームが、Microsoft Entra の ID とアクセス機能を、階層化された統合 "ゼロトラスト" セキュリティ戦略全体に組み込む方法について説明します。

すべてのサービスとデバイスが組織のマネージド ネットワークに含まれていたとき、SOC オペレーションを支配していたのがネットワーク セキュリティです。 しかし、Gartner の予測では、2022 年まで、クラウド サービスの市場規模は、IT サービス全体の市場規模の約 3 倍のスピードで拡大します。 クラウド コンピューティングを採用する企業が増えるにつれ、ユーザー ID を主要なセキュリティ境界として扱う動きが進みます。

クラウドで ID を保護することは最優先事項です。

• Verizon の 2020 年データ侵害調査レポートは、データ侵害の 37% が窃取された資格情報の使用に関係し、22% がフィッシングに関係していることを示しています。

• 2019 年に実施された IBM のデータ侵害インシデントの調査では、データ侵害の世界的な平均コストは 390 万ドルであり、米国の平均コストは 820 万ドル近くに上ります。

• Microsoft 2019 セキュリティ インテリジェンス レポートでは、フィッシング攻撃が 2018 年 1 月から 12 月の間に 250% 増加したことが報告されています。

ゼロトラスト セキュリティ モデルでは、すべてのホストがインターネットに接続されているように処理され、ネットワーク全体が潜在的にセキュリティ侵害を受け、危険にさらされていると見なされます。 このアプローチは、強力な認証、承認、および暗号化の構築に重点を置きながら、区分アクセスと優れた運用上の機敏性も提供します。

Gartner が推進するのはアダプティブ セキュリティ アーキテクチャです。これにより、インシデント対応ベースの戦略が "防止、検出、対応、予測" モデルに置き換えられます。 アダプティブ セキュリティでは、継続的監視と分析により、検出アクセスの制御、行動の監視、使用状況の管理、および検出が組み合わされます。

Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA) では、Microsoft のサイバーセキュリティ機能と、その機能が既存のセキュリティ アーキテクチャ (Microsoft Entra ID をIdentity-as-a-Service (IDaaS) に使用するクラウド環境やハイブリッド環境など) とどのように統合されているかが説明されています。

この記事では、Microsoft Entra プラットフォームで使用できるコンポーネントに焦点を当てながら、IDaaS へのゼロトラスト アダプティブ セキュリティ アプローチを進めていきます。

考えられるユース ケース

• セキュリティ ソリューションの設計
• 既存の実装の強化または統合
• SOC チームの教育

アーキテクチャ

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

1. "資格情報の管理" によって認証を管理します。
2. "プロビジョニング" と "エンタイトルメント管理" によってアクセス パッケージを定義し、ユーザーをリソースに割り当て、"構成証明" のためにデータをプッシュします。
3. "承認エンジン" によって "アクセス ポリシー" が評価され、アクセスが決定されます。 このエンジンは、"ユーザー/エンティティ行動分析 (UEBA) " データを含む "リスク検出" の評価、および "エンドポイント管理" のデバイス コンプライアンス チェックも行います。
4. 承認された場合、ユーザーまたはデバイスは、"条件付きアクセス ポリシーと制御" に従ってアクセス権を取得します。
5. 承認に失敗した場合、ユーザーは "リアルタイム修復" を実行して、自身のブロックを解除できます。
6. すべてのセッション データが、分析とレポートのために "ログに記録" されます。
7. SOC チームの "セキュリティ情報とイベント管理システム (SIEM) " が、クラウドおよびオンプレミスの ID からすべてのログ、リスク検出、および UEBA データを受信します。

コンポーネント

この Microsoft Entra IDaaS アーキテクチャでは、次のセキュリティ プロセスとコンポーネントが利用されます。

資格情報の管理

資格情報の管理には、リソースまたはサービスへのアクセスを発行、追跡、および更新するサービス、ポリシー、慣例が含まれています。 Microsoft Entra の資格情報の管理に含まれる機能を次に示します。

• セルフサービス パスワード リセット (SSPR) を使用すると、紛失した、忘れた、またはセキュリティ侵害を受けたパスワードをユーザーが自分でリセットきます。 SSPR により、ヘルプデスクへの問い合わせ件数が減るだけでなく、ユーザーの柔軟性とセキュリティが向上します。

• パスワード ライトバックは、クラウドで変更されたパスワードを、オンプレミスのディレクトリとリアルタイムで同期します。

• 禁止されたパスワードは、一般的に使用されている弱いパスワードやセキュリティ侵害を受けたパスワードを公開しているテレメトリ データを分析し、その使用を Microsoft Entra ID 全体で禁止します。 この機能をご自身の環境に合わせてカスタマイズし、カスタム パスワードの一覧を追加して、その一覧のパスワードを組織内で禁止できます。

• スマート ロックアウトは、正当な認証試行と、不正アクセスを試みるブルートフォース攻撃を比較します。 既定のスマート ロックアウト ポリシーでは、サインイン試行に 10 回失敗すると、アカウントが 1 分間ロックアウトされます。 サインイン試行が失敗し続けると、アカウントのロックアウト時間が長くなります。 ポリシーを使用すると、セキュリティと使いやすさの適切な組み合わせの設定を、ご自身の組織に合わせて調整できます。

• 多要素認証 (MFA) では、保護されたリソースにユーザーがアクセスしようとするときに、複数の形式の認証が必要です。 ユーザーのほとんどが、パスワードのように、何か自分が知っているものを使ってリソースにアクセスすることに慣れています。 MFA では、ユーザーは、自分が所有しているもの (信頼できるデバイスへのアクセスなど) と、自分自身を示すもの (生体認証識別子など) を提示するように求められます。 MFA で使用できるのは、認証アプリを介した通知、テキスト メッセージ、電話など、複数の種類の認証方法です。

• パスワードレス認証では、認証ワークフローのパスワードが、スマートフォンやハードウェアのトークン、生体認証識別子、または PIN に置き換えられます。 Microsoft パスワードレス認証は、Windows Hello for Business などの Azure リソース、およびモバイル デバイスの Microsoft Authenticator アプリと連携します。 WebAuthn および FIDO Alliance の Client-to-Authenticator (CTAP) プロトコルが使用される FIDO2 対応セキュリティ キーでパスワードレス認証を有効にすることもできます。

アプリのプロビジョニングとエンタイトルメント

• エンタイトルメント管理は、組織が ID とアクセスのライフサイクルを大規模に管理できるようにする Microsoft Entra の ID ガバナンス機能です。 エンタイトルメント管理により、アクセス要求ワークフロー、アクセス割り当て、レビュー、および有効期限が自動的に管理されます。

• Microsoft Entra のプロビジョニングを使用すると、ユーザーがアクセスする必要のあるアプリケーションのユーザー ID とロールを、自動的に作成できます。 SuccessFactors、Workday など、その他にも多くのサードパーティ製 "サービスとしてのソフトウェア (SaaS)" アプリに対して、Microsoft Entra プロビジョニングを構成できます。

• シームレスなシングル サインオン (SSO) では、ユーザーが会社のデバイスにサインインした時点で、クラウド ベースのアプリケーションに対して自動的に認証されます。 Microsoft Entra シームレス SSO は、パスワード ハッシュ同期またはパススルー認証のいずれかで使用できます。

• Microsoft Entra アクセス レビューを使用した構成証明は、監視と監査の要件を満たすうえで役立ちます。 アクセス レビューを使用すると、管理者ユーザーの数をすばやく特定する、必要なリソースに新しい従業員が確実にアクセスできるようにする、ユーザーのアクティビティを確認して、まだアクセスが必要かどうかを判断する、といった作業を行うことができます。

条件付きアクセス ポリシーと制御

条件付きアクセス ポリシーとは、割り当てとアクセス制御の if then ステートメントです。 ポリシーをトリガーする理由 ("if this") に対して応答 ("do this") を定義することで、"承認エンジン" が組織のポリシーを適用することを決定できるようにします。 Microsoft Entra の条件付きアクセスを使用すると、ご自身のアプリに対する承認済みユーザーのアクセス方法を制御できます。 Microsoft Entra ID の What If ツールは、条件付きアクセス ポリシーが適用された理由や適用されなかった理由、または、あるポリシーが特定の状況でユーザーに適用されるかどうかを把握するうえで役立ちます。

条件付きアクセス制御は、条件付きアクセス ポリシーと連携して、組織のポリシーを適用するのをサポートします。 Microsoft Entra の条件付きアクセス制御を使用すると、汎用的なアプローチではなく、アクセス要求時に検出された要因に基づいてセキュリティを実装できます。 条件付きアクセス制御とアクセス条件を組み合わせることで、追加のセキュリティ制御を作成する必要性が減ります。 一般的な例としては、たとえば、ドメインに参加しているデバイスのユーザーには SSO を使ってリソースにアクセスできるようにして、ネットワークに接続されていないユーザーや自分のデバイスを使っているユーザーには MFA を要求することができます。

Microsoft Entra ID では、次の条件付きアクセス制御を、条件付きアクセス ポリシーと合わせて使用できます。

• Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、Azure リソースを使用して管理タスクまたは特別なタスクを実行する必要があるユーザーに、適切なロールを構成して割り当てることができます。 Azure RBAC を使用することで、管理者専用アカウントを個別に作成または管理する、設定したロールに対するアクセス範囲を設定する、アクセス時間を制限する、承認ワークフローを介してアクセスを許可する、といった操作が可能になります。

• Privileged Identity Management (PIM) を使用すると、管理者アカウントに監視と保護を追加できます。これは、組織に対する攻撃ベクトルを減らすうえで役立ちます。 Microsoft Entra PIM により、Azure、Microsoft Entra ID、およびその他の Microsoft 365 サービス内のリソースへのアクセスを、Just-In-Time (JIT) アクセスと Just-Enough-Administration (JEA) を使って管理および制御できます。 PIM は、管理アクティビティの履歴と変更ログを提供し、ご自身で定義したロールのユーザーが追加または削除されときにアラートを表示します。

  PIM を使用すると、管理者ロールをアクティブにする理由または承認を要求できます。 ほとんどの場合、ユーザーは通常の特権を維持し、管理タスクまたは特別なタスクを完了するために必要なロールへのアクセスを要求および受信できます。 ユーザーが作業を完了してサインアウトするか、アクセスの期限が切れると、標準のユーザー権限で再認証できます。

• Microsoft Defender for Cloud Apps は、トラフィック ログを分析して、組織で使用されているアプリケーションとサービスを検出および監視するクラウド アプリ セキュリティ ブローカー (CAS-B) です。 Defender for Cloud Apps では、次のことができます。

  • ポリシーを作成して、アプリおよびサービスとのやり取りを管理する
  • アプリケーションを、"承認された" または "承認されていない" アプリケーションとして特定する
  • データへのアクセスを制御および制限する
  • 情報の保護を適用して情報の損失を防ぐ

  Defender for Cloud Apps をアクセス ポリシーおよびセッション ポリシーと共に使用して、SaaS アプリへのユーザー アクセスを制御することもできます。 たとえば、次のように操作できます。

  • アプリにアクセスできる IP 範囲を制限する
  • アプリ アクセスに MFA を要求する
  • 承認済みアプリ内からのみアクティビティを許可する

• SharePoint 管理センターのアクセス制御ページには、SharePoint および OneDrive コンテンツへのアクセスを制御する方法がいくつか用意されています。 たとえば、アクセスをブロックしたり、アンマネージド デバイスからの制限付き Web 専用アクセスを許可したり、ネットワークの場所に基づいてアクセスを制御したりできます。

• アプリケーションのアクセス許可の範囲を特定の Exchange Online メールボックスに限定するには、Microsoft Graph API の ApplicationAccessPolicy を使用します。

• 利用条件 (TOU) は、保護されたリソースへのアクセスを要求するエンドユーザーが事前に同意しなければならない情報を、どのように提示するかを示します。 TOU ドキュメントを PDF ファイルとして Azure にアップロードすると、そのファイルが、条件付きアクセス ポリシーのコントロールとして使用できるようになります。 サインイン時に TOU に同意することをユーザーに求める条件付きアクセス ポリシーを作成することで、TOU を受け入れたユーザーを簡単に監査できます。

• エンドポイント管理によって、承認済みユーザーによる、モバイル デバイスや個人デバイスなどのさまざまなデバイスからクラウド アプリへのアクセス方法を制御します。 条件付きアクセスポリシーを使用すると、特定のセキュリティおよびコンプライアンス基準を満たすデバイスにアクセスを制限できます。 これらの "マネージド デバイス" には デバイス ID が必要です。

リスク検出

Azure Identity Protection には、組織が不審なユーザー アクションへの応答を管理する際に利用できるポリシーがいくつか含まれています。 "ユーザー リスク" は、ユーザー ID がセキュリティ侵害を受けている確率です。 "サインイン リスク" は、ユーザーからサインイン要求が送信されない確率です。 Microsoft Entra ID では、行動分析に基づいて、実際のユーザーからサインイン要求の確率に基づくサインイン リスク スコアが計算されます。

• Microsoft Entra のリスク検出は、アダプティブ機械学習アルゴリズムとヒューリスティックを使用して、ユーザー アカウントに関連する不審なアクションを検出します。 検出された疑わしいアクションはそれぞれ、リスク検出と呼ばれるレコードに格納されます。 Microsoft Entra ID は、このデータを使用してユーザー リスクとサインイン リスクの確率を計算します。これは、Microsoft の内部および外部の脅威インテリジェンス ソースとシグナルによって強化されます。

• Microsoft Graph の Identity Protection Risk Detection API を使用すると、危険なユーザーとサインインに関する情報を公開できます。

• リアルタイム修復を使用すると、ユーザーが SSPR と MFA を使用して自身のブロックを解除し、一部のリスク検出を自己修復できます。

考慮事項

このソリューションを使用する場合は、次の点に注意してください。

ログ機能

Microsoft Entra の監査レポートは、監査ログ、サインイン ログ、危険なサインインおよび危険なユーザーのレポートによって Azure アクティビティの追跡可能性を提供します。 ログ データは、サービス、カテゴリ、アクティビティ、状態など、複数のパラメーターに基づいてフィルター処理および検索できます。

Microsoft Entra ID ログ データは、次のようなエンドポイントにルーティングできます。

• Azure Storage アカウント
• Azure Monitor ログ
• Azure Event Hubs
• Microsoft Sentinel、ArcSight、Splunk、SumoLogic、その他の外部 SIEM ツール、または独自のソリューション。

Microsoft Graph Reporting API を使用して、独自のスクリプト内で Microsoft Entra ID ログ データを取得し、使用することもできます。

オンプレミスとハイブリッドの考慮事項

ハイブリッド シナリオで組織の ID を保護する鍵となるのが認証方法です。 Microsoft は、Microsoft Entra ID でのハイブリッド認証方法の選択に関する固有のガイダンスを提供しています。

Microsoft Defender for Identity は、オンプレミスの Active Directory シグナルを使用して、高度な脅威、セキュリティ侵害された ID、および悪意のある内部関係者による操作を特定、検出、調査できます。 Defender for Identity は、UEBA を使用して内部関係者による脅威を特定し、リスクにフラグを設定します。 ID がセキュリティ侵害を受けても、Defender for Identity を使用すれば、異常なユーザーの行動に基づいてセキュリティ侵害を特定できます。

Defender for Identity は、保護をクラウド アプリに拡張するために、Defender for Cloud Apps と統合されています。 Defender for Cloud Apps を使用すると、ダウンロード時にファイルを保護するセッション ポリシーを作成できます。 たとえば、特定の種類のユーザーがダウンロードするすべてのファイルに、表示限定のアクセス許可を自動的に設定できます。

Microsoft Defender for Cloud Apps を使用してリアルタイムで監視を行うように、オンプレミス アプリケーションを Microsoft Entra ID で構成できます。 Defender for Cloud Apps は、アプリの条件付きアクセス制御を使用して、条件付きアクセス ポリシーに基づいてセッションをリアルタイムで監視および制御します。 これらのポリシーは、Microsoft Entra ID でアプリケーション プロキシが使用されているオンプレミス アプリケーションに適用できます。

Microsoft Entra アプリケーション プロキシを使用すると、ユーザーがリモート クライアントからオンプレミス Web アプリケーションにアクセスできます。 アプリケーション プロキシにより、アプリケーションのすべてのサインイン アクティビティを 1 か所で監視できます。

Defender for Identity を Microsoft Entra ID Protection と共に使用すると、Microsoft Entra Connect によって Azure と同期されているユーザー ID の保護に役立ちます。

一部のアプリが既に既存の配信コントローラーまたはネットワーク コントローラーを使用して、オフネットワークアクセスを提供している場合は、それを Microsoft Entra ID と統合できます。 Akamai、Citrix、F5 Networks、Zscaler などの複数のパートナーが、Microsoft Entra ID との統合のソリューションとガイダンスを提供しています。

コストの最適化

Microsoft Entra の価格は、Free (SSO、MFA などの機能) から Premium P2 (PIM、エンタイトルメント管理などの機能) までさまざまです。 価格の詳細については、Microsoft Entra の価格に関するページを参照してください。

次のステップ

• ゼロ トラスト セキュリティ
• Microsoft Entra ID のゼロ トラスト展開ガイド
• セキュリティの重要な要素の概要
• Microsoft Entra デモ テナント (Microsoft Partner Network アカウントが必要)、または Enterprise Mobility + Security 無料試用版
• Microsoft Entra 展開プラン

関連リソース

• Azure IoT 参照アーキテクチャ
• IoT Edge の監視と警告機能を備えた COVID-19 対応の安全な環境
• Azure における機密性の高い IaaS アプリのセキュリティに関する考慮事項