セキュリティ ロードマップ - 最初の 30 日間、90 日間、およびそれ以降の最優先事項

注意

Microsoft 365 Defender を体験してみませんか? Microsoft 365 Defenderを評価してパイロットする方法の詳細については、こちらを参照してください。

この記事には、Microsoft 365環境を保護するためのセキュリティ機能を実装するための Microsoft のサイバーセキュリティ チームからの最高の推奨事項が含まれています。 この記事は、Microsoft Ignite セッション (サイバーセキュリティ担当者のようなセキュリティで保護されたMicrosoft 365: 最初の 30 日間、90 日間、およびそれ以降の最優先事項) から調整されています。 このセッションは、Mark Simos と Matt Kemelhar (Enterprise Cybersecurity Architects) によって開発され、発表されました。

この記事の内容:

• ロードマップの成果
• 30 日間 — 強力なクイック 勝利
• 90 日間 — 強化された保護
• を超えて

ロードマップの成果

これらのロードマップの推奨事項は、次の目標を持つ論理的な順序で 3 つのフェーズにわたってステージングされます。

時間枠	結果
30 日間	迅速な構成: 基本的な管理者保護。 ログ記録と分析。 基本的な ID 保護。 テナントの構成。 関係者を準備する。
90 日間	高度な保護: 管理者アカウント。 データとユーザー アカウント。 コンプライアンス、脅威、ユーザーのニーズを可視化します。 既定のポリシーと保護を調整して実装します。
を超えて	キー ポリシーとコントロールを調整および調整します。 保護をオンプレミスの依存関係に拡張します。 ビジネスおよびセキュリティ プロセス (法的、インサイダーの脅威など) と統合します。

30 日間 — 強力なクイック 勝利

タスクはすぐに実行できますので、ユーザーへの影響は少なくて済みます。

分野	タスク
セキュリティ管理	セキュア スコアを確認し、現在のスコア (https://security.microsoft.com/securescore) をメモします。 Office 365の監査ログを有効にします。 「監査ログを検索する」を参照してください。 セキュリティを強化するためにMicrosoft 365を構成します。 Microsoft 365 Defender ポータルとDefender for Cloud アプリでダッシュボードとレポートを定期的に確認します。
脅威に対する保護	異常な動作に既定の脅威検出ポリシーを使用して監視を開始するMicrosoft Defender for Cloud AppsをConnect Microsoft 365します。 異常検出のベースラインを構築するには、7 日間かかります。 管理者アカウントの保護を実装する: 管理者アクティビティには専用の管理者アカウントを使用します。 管理者アカウントに多要素認証 (MFA) を適用します。 管理者アクティビティには、セキュリティの高いWindows デバイスを使用します。
ID およびアクセス管理	Azure Active Directory Identity Protection を有効にします。 フェデレーション ID 環境の場合は、アカウントのセキュリティ (パスワードの長さ、年齢、複雑さなど) を適用します。
情報保護	情報保護に関する推奨事項の例を確認します。 情報保護には、組織全体の調整が必要です。 次のリソースの使用を開始する: GDPR のための Office 365 の情報保護 3 層の保護 (共有、分類、Microsoft Purview データ損失防止、Azure Information Protectionを含む) でTeamsを構成する

90 日間 — 強化された保護

タスクの計画と実装に少し時間がかかりますが、セキュリティ体制は大幅に向上します。

分野	タスク
セキュリティ管理	お使いの環境に推奨されるアクションについては、セキュア スコアを確認してください (https://security.microsoft.com/securescore)。 Microsoft 365 Defender ポータル、Defender for Cloud アプリ、SIEM ツールでダッシュボードとレポートを定期的に確認し続けます。 ソフトウェア更新プログラムを探して実装します。 攻撃シミュレーション トレーニング (Office 365脅威インテリジェンスに付属) を使用して、スピア フィッシング、パスワード スプレー、ブルートフォース パスワード攻撃の攻撃シミュレーションを実行します。 Defender for Cloud Apps の組み込みレポート ([調査] タブ) を確認して、リスクの共有を探します。 コンプライアンス マネージャーを確認して、組織に適用される規制 (GDPR、NIST 800-171 など) の状態を確認します。
脅威に対する保護	管理者アカウントの強化された保護を実装します。 管理者アクティビティ 用に Privileged Access Workstations (PAW) を構成します。 Azure AD Privileged Identity Managementを構成します。 Office 365、Defender for Cloud Apps、および AD FS を含むその他のサービスからログ データを収集するためのセキュリティ情報とイベント管理 (SIEM) ツールを構成します。 監査ログには、90 日間だけデータが格納されます。 SIEM ツールでこのデータをキャプチャすると、より長い期間データを格納できます。
ID およびアクセス管理	すべてのユーザーに対して MFA を有効にして適用します。 条件付きアクセスと関連するポリシーのセットを実装します。
情報保護	情報保護ポリシーを調整して実装する。 これらのリソースには、次の例があります。 GDPR のための Office 365 の情報保護 3 層の保護を使って Teams を構成する Microsoft 365に格納されたデータ (Defender for Cloud アプリの代わりに) に Microsoft Purview でデータ損失防止ポリシーと監視ツールを使用します。 高度なアラート機能 (データ損失防止以外) には、Defender for Cloud アプリとMicrosoft 365を使用します。

を超えて

これらは、前の作業に基づいて構築された重要なセキュリティ対策です。

分野	タスク
セキュリティ管理	セキュア スコア (https://security.microsoft.com/securescore) を使用して、次のアクションの計画を続行します。 Microsoft 365 Defender ポータル、Defender for Cloud アプリ、SIEM ツールでダッシュボードとレポートを定期的に確認し続けます。 ソフトウェア更新プログラムを引き続き検索して実装します。 電子情報開示を法的および脅威対応プロセスに統合します。
脅威に対する保護	オンプレミスの ID コンポーネント (AD、AD FS) に セキュリティで保護された特権アクセス (SPA) を実装します。 Defender for Cloud アプリを使用して、インサイダーの脅威を監視します。 Defender for Cloud アプリを使用してシャドウ IT SaaS の使用状況を検出します。
ID およびアクセス管理	ポリシーと運用プロセスを絞り込みます。 Azure AD Identity Protection を使用してインサイダーの脅威を特定します。
情報保護	情報保護ポリシーを絞り込む: 機密ラベルとデータ損失防止 (DLP)、または Azure Information ProtectionをMicrosoft 365してOffice 365します。 Defender for Cloud アプリのポリシーとアラート。

「 Petya や WannaCrypt などの迅速なサイバー攻撃を軽減する方法」も参照してください。