CSP セキュリティのベスト プラクティス

対象ロール: グローバル管理者 | 管理エージェント | ヘルプデスク エージェント

パートナー センターとパートナー センター API にアクセスするクラウド ソリューション プロバイダー (CSP) プログラムのすべてのパートナーは、この記事のセキュリティ ガイダンスに従って、自身と顧客を保護する必要があります。 パートナーは、セキュリティの問題を軽減し、セキュリティのエスカレーションを改善するために、このガイダンスを直ちに実装する必要があります。

• Microsoft のセキュリティのベスト プラクティスについては、「Microsoft セキュリティのベスト プラクティス」を参照してください。

• サービス プリンシパルは、サービスで使用することを目的とし、ロール/アクセス許可を割り当てることができます。 サービス プリンシパルを管理するためのベスト プラクティスについては、Azure Active Directory のサービス プリンシパルのセキュリティ保護に関するページを参照してください。

• パートナーは、CSP テナントのセキュリティ関連の問題があった場合に通知されるセキュリティ連絡先を追加できるようになりました。

• 多要素認証 (MFA) を使用し、条件付きアクセス ポリシーを適用している: すべての Microsoft パートナーは、パートナー センターへのアクセスおよび Microsoft 商用クラウド内でのお客様のテナントへのクロステナント アクセスに MFA を使用する必要があります。 パートナーには、パートナー センターでセキュリティ コンプライアンスを確認すること、および MFA の適用に準拠していないユーザー ログインまたは API 呼び出しを監視することを推奨します。 パートナーは常に準拠を維持する必要があります。 パートナー テナントに多要素認証 (MFA) を義務付けるを参照してください。

• 多要素認証を使用してユーザーを設定します。

• セキュア アプリケーション モデル フレームワークを採用する: パートナー センター API と統合しているすべてのパートナーは、すべてのアプリとユーザー認証モデルのアプリケーションに対してセキュア アプリケーション モデル フレームワークを採用する必要があります。

• 特権ロールをセキュリティで保護する場合は、「特権アクセスの保護」を参照してください。

• 使用していない場合は、代理管理特権 (DAP) 接続を削除します。

  • お客様の DAP の削除- お客様の管理特権を取得します。
  • DAP 監視とパートナーの非アクティブな DAP 接続の削除

• パートナー センター アクティビティ ログを確認してください。パートナーは、パートナー センターの "アクティビティ ログ" を定期的に確認して、高い特権を持つユーザーの作成、高い特権を持つユーザー ロールの割り当てなど、すべてのユーザー アクティビティを監視してください。 パートナーは、パートナー センター アクティビティ ログ API を使用して、パートナー センターの主要なユーザー アクティビティに対するカスタム セキュリティ ダッシュボードを作成し、疑わしいアクティビティを事前に検出することもできます。

• 代理アクセス権のあるマネージド サービス プロバイダー (MSP) 向けの Azure AD Premium プラン 2 を使用してサイバーセキュリティを強化します。 アクセス特権に関するレポートの管理と取得をさらに支援するために、サービス プロバイダーの Azure Active Directory Premium プラン 2 の 2 年間の無料サブスクリプションを提供しています。 登録済みのパートナーは、このプランを利用するために、パートナー センターにサインインできます。 Azure AD Premium プラン 2 では、サインイン ログへの拡張アクセスと、Azure AD Privileged Identity Management (PIM) などの Premium 機能と、セキュリティ制御を強化するリスクベースの条件付きアクセス機能が提供されます。

• パスワードレス サインインでゼロ トラストを使用した新しい方法を採用する: Microsoft Authenticator アプリによるパスワードレス サインイン。 詳細については、Microsoft アカウントのパスワードレスの将来に関するページを参照してください。

• ゼロ トラストの基本原則 - ゼロ トラスト ガイダンス センター。

• Privileged Identity Management (PIM) を使用して Just-In-Time (JIT) アクセスと二重管理を適用し、アクセスを確認および承認する: Privileged Identity Management とは。

• すべてのコントロール パネル ベンダーは、セキュリティで保護されたアプリケーション モデルを有効にし、すべてのユーザー アクティビティのログ記録をオンにする必要があります。

• コントロール パネル ベンダーは、アプリケーションにログインしているすべてのパートナー エージェントと実行されたすべてのアクションの監査を有効にする必要があります。

• CSP ベンダーは、アカウントの ID を定期的に確認し、必要に応じて未使用の ID をクリーンアップする必要があります。

• 管理エージェント グループを確認し、アクセスが不要なユーザーを削除します。

• ユーザー アクセスを定期的に確認し、必要ない場合はクリーンアップします。

• 会社を退職したユーザー、または会社内で役割が変わったユーザーは、パートナー センターへのアクセスを削除する必要があります。

• Azure Active Directory P2 ライセンス パートナーは、監査とサインインのログ データを最大 30 日間保持する資格を自動的に得ることができます。 代理管理者アカウントが使用される場合に監査ログが設定され、サービスによって提供される最大レベルの詳細がログにキャプチャされ、異常なアクティビティの検出を可能にする許容可能な期間 (最大 30 日間) ログが保持されることを確認します。 詳細な監査ログでは、より多くのサービスの購入が必要な場合があります。 「Azure AD にレポート データが保存される期間」を参照してください。

• 監査ログのベスト プラクティスを実装し、代理管理者アカウントによって実行されるアクティビティの定期的なレビューを実行します。

  • Azure Active Directory レポートの概要
  • Azure AD 監査アクティビティのリファレンス

• パートナーは、公開されているガイダンスに従って、その環境内で危険にさらされているユーザーのレポートを確認し、リスクが発生している検出されたアカウントに対処する必要があります

  • リスクを修復してユーザーをブロック解除する
  • Azure AD Identity Protection を使用したユーザー エクスペリエンス

詳細については、「NOBELIUM がより広範な攻撃を促進するために代理管理特権を標的に」を参照してください

お客様のセキュリティのベスト プラクティス

ダウンストリームのお客様の場合

• お客様は、予期せずプロビジョニングされた可能性があるサブスクリプションとリソースまたはサービスを頻繁に確認する必要があります。

• お客様は、パスワード管理ポリシーに従い、パスワード ローテーションが頻繁に行われる強力な認証を行う必要があります。

• お客様に、Microsoft Authenticator アプリによるパスワードレス サインインを使用してもらいます。

• Azure AD 内のすべてのグローバル管理者ユーザーのパスワードの回復メールと電話番号を検証し、必要に応じて更新します。

• アクセス特権と代理アクセス許可を確認、監査、最小化します。 最小特権のアプローチを検討して実装することが重要です。 Microsoft では、組織とアップストリーム プロバイダー間の不要なアクセス許可を最小限に抑えるために、パートナー リレーションシップの徹底的なレビューと監査を優先的に行うことを推奨しています。 Microsoft は、見慣れない、またはまだ監査されていないパートナー リレーションシップに対するアクセス権をただちに削除することをお勧めします。

• すべてのテナント管理者アカウントを確認、強化、監視する: すべての組織は、Azure サブスクリプションの代理管理 (AOBO) に関連付けられているユーザーを含め、すべてのテナント管理者ユーザーを十分に確認し、ユーザーとアクティビティの信頼性を確認する必要があります。 すべてのテナント管理者に、強力な認証を使用し、MFA で使用するために登録されているデバイスを確認し、永続的な高特権アクセスの使用を最小限に抑えることを強く推奨します。 継続的にすべてのアクティブなテナント管理者ユーザー アカウントを再検査し、監査ログを定期的にチェックして、高い特権のユーザー アクセスが許可されていないこと、またはジョブの実行にこれらの特権を必要としない管理者ユーザーに委任されていないことを確認します。

• B2B およびローカル アカウントからのサービス プロバイダーのアクセス許可のアクセスを確認する: 代理管理特権機能の使用に加えて、一部のクラウド サービス プロバイダーは、顧客テナントで企業間 (B2B) アカウントまたはローカル管理者アカウントを使用します。 クラウド サービス プロバイダーがこれらを使用するかどうかを特定することを推奨します。使用する場合は、それらのアカウントが適切に管理され、テナントで最小特権のアクセス権を持っている必要があります。 Microsoft は、"共有" 管理者アカウントの使用を推奨しません。 B2B アカウントのアクセス許可を確認する方法の詳細なガイダンスを確認してください。

• 多要素認証 (MFA) が有効になっているか確認し、条件付きアクセス ポリシーを適用します。 MFA は、脅威から保護するための最適なベースライン セキュリティの検疫方法です。 Microsoft 365 での多要素認証の設定に関する詳細なガイダンスと、Azure Active Directory (Azure AD) での条件付きアクセス ポリシーの展開と構成に関するガイダンスに従います。

• 監査ログと構成を確認します。

• Azure AD のサインインと構成の変更の確認と監査: この特性の正当性は、Azure AD サインイン ログ、Azure AD 監査ログ、および Microsoft Purview コンプライアンス ポータル (以前は Exchange 管理センター) を通じて顧客が監査および確認できます。 最近、代理管理者アクセス許可を持つパートナーによるサインインを確認する機能が追加されました。 これらのサインインのフィルター処理されたビューを表示するには、Azure AD 管理ポータルでサインイン ログに移動し、[ユーザー サインイン (非対話型)] タブに [テナント間アクセス権の種類: サービス プロバイダー] フィルターを追加します。

  

• 既存のログの可用性と保有戦略を確認する: 悪意のあるアクターによって実行されるアクティビティを調査する場合、Office 365 を含むクラウド ベースのリソースに対して適切なログ保有手順を持つことに大きな重点を置きます。 さまざまなサブスクリプション レベルには、個別のログの可用性と保有ポリシーがあります。インシデント対応手順を作成する前にこの点を理解しておくことが重要です。

すべての組織がサブスクリプション内で使用できるログについて理解し、それらを定期的に評価して、不備と異常を評価することを推奨します。 サードパーティの組織に依存している組織の場合は、その組織と連携してすべての管理アクションに対するログ戦略を理解し、インシデント中にログを使用できる必要がある場合は、プロセスを確立します。