Microsoft Entra ID Protection の概要
Microsoft Entra ID Protection は、組織の ID ベースのリスクを自動的に検出、修復、調査するのに役立ちます。
勤務先の小売業を営む会社が自社の評判を意識しています。 以前 ID が侵害されたことで、悪意のあるユーザーが顧客情報を不正に取得しました。 そうした攻撃が組織の評判に影響し、最終的にはその収益にも影響しました。 解決策として Identity Protection について調べるようにマネージャーから依頼されました。 そのサービスの内容や使用方法について報告するように依頼されました。
このユニットでは、Identity Protection の概要とその使用に伴うリスクについて学習します。 ID を保護するために Identity Protection で使用できるさまざまなワークフローについて見ていきます。
Microsoft Entra ID Protection とは
ID Protection は Microsoft Entra に組み込まれているソリューションの 1 つであり、3 部からなるプロセスで ID を保護するように設計されています。
あなたが勤める会社は小売業が専門であり、ID の保護ではありません。 自社が強い分野に引き続き集中的に取り組むことを望んでいますが、ID リスクから守られることも望みます。 あなたが属する組織では、Identity Protection を利用することで、報酬の高いセキュリティの専門家を雇わなくても、ユーザーの ID に関連するリスクの検出、調査、修復を自動化できます。
リスクとは
リスクは、"ユーザー リスク" と "サインイン リスク" の 2 つに分類されます。 ユーザー リスクはユーザーがサインイン後行うアクションとして、サインイン リスクはユーザーがサインインするときのユーザーによる疑わしいアクティビティやアクションとして説明できます。
ユーザー リスク
ユーザー リスクは、ユーザーの ID またはアカウントが侵害されたときに発生します。 ユーザー リスクには以下があります。
| リスク | 説明 |
|---|---|
| 異常な動作 | アカウントで異常な動作が見られたか、Microsoft のシステムや専門家が攻撃であると識別しているパターンに使用パターンが似ています。 |
| 漏洩した資格情報 | ユーザーの資格情報が漏洩している可能性があります。 たとえば、Microsoft が、ユーザー アカウントに影響する可能性がある、ダーク ウェブで流出している資格情報のリストを見つけた可能性があります。 |
サインイン リスク
ここでは、ID の所有者が承認したかどうかを判断するために、Identity Protection によって各認証要求が精査されます。 次のようなサインイン リスクがあります。
| リスク | 説明 |
|---|---|
| 見慣れないサインイン プロパティ | Identity Protection では、特定のユーザーのサインイン履歴が記憶され、学習されます。 たとえば、そのユーザーが普通は使わない場所からサインインがあると、リスク検出がトリガーされます。 |
| 通常とは異なる移動 | たとえば、2 回以上のサインインが離れた場所から行われたとき、そのサインイン間の時間が現実ではあり得ないほど短い場合、リスク検出が起動します。 |
| マルウェアにリンクした IP アドレス | たとえば、サインインが発生した IP アドレスがアクティブなボット サーバーと接触したことが確認されている場合、リスク検出が起動します。 |
| 匿名 IP アドレス | たとえば、匿名の IP アドレスからサインインが発生します。 本当の IP アドレスや位置情報を隠す目的で攻撃者がこれらの詳細情報を利用する可能性があるため、リスク検出が起動します。 |
Microsoft Entra ID Protection のワークフロー
ID のリスクを検出して処理するには、自己修復ワークフローと管理者修復ワークフローという 2 つの方法があります。
自己修復ワークフロー
Identity Protection では、リスク ポリシーを使用し、検出後の脅威に自動対処します。 リスク ポリシーを構成して、ID 保護で特定の種類のリスクにどのように対処するかを決定できます。 次に、ユーザーが完了するように求められるアクションを選択します。 アクションには、セルフサービス パスワード リセットや多要素認証の適用などがあります。 ポリシーをこのように使用することで時間が節約され、安心感が得られます。
このワークフローでは、管理者はまずリスク ポリシーを構成し、それから ID リスクを監視します。 リスクが検出されると、ポリシーにより、それを修復するための措置が適用されます。 たとえば、ポリシーにより、検出されたリスクに対処するために、ユーザーに対してパスワードのリセットが要求されるとしましょう。 この場合、ユーザーがパスワードをリセットすると、リスクは修復されます。
管理者修復ワークフロー
リスク ポリシーによってリスクが検出された場合の修復方法を管理者に決めてもらうこともできます。 この種類の修復ワークフローでは、より適した意思決定を行うことができます。 リスクが検出されたコンテキストを管理者は理解します。
このワークフローでは、管理者がリスク ポリシーを構成します。 その後、ポリシーによって ID リスクが監視されます。 管理者には、レポートでリスクが通知されます。 管理者は詳細レポートを見て、リスクを修復するための適切なアクションを行います。 たとえば、管理者はサインインが安全であると判断し、リスクを受け入れることがあります。