Enhanced Security Admin Environment

  • [アーティクル]

強化されたセキュリティ管理環境(ESAE)アーキテクチャ(赤いフォレスト、管理フォレスト、強化フォレストと呼ばれる場合が多い)は、Windows Server Active Directory(AD)管理者 ID に安全な環境を提供するレガシ アプローチです。

このアーキテクチャ パターンの使用に関する Microsoft の推奨事項は、特権のあるユーザーをセキュリティで保護する既定の推奨アプローチとしての、最新の特権アクセス方式および迅速な最新化計画 (RAMP) ガイダンスに置き換えられました。 このガイダンスは、ゼロ トラスト アーキテクチャに向けてより広範な戦略に適応することを目的としています。 これらの現代化戦略により、ESAE 強化型管理フォレスト アーキテクチャ(オンプレミスまたはクラウドベース)は、例外ケースにのみ適したカスタム構成と見なされるようになりました。

継続使用シナリオ

推奨されるアーキテクチャではなくなりましたが、限られた一連の除外シナリオでは、ESAE(またはその中の個別コンポーネント)を有効にすることができます。 通常、これらのオンプレミス環境は、クラウド サービスが利用できない可能性がある場所では分離されます。 このシナリオには、重要なインフラストラクチャまたはその他の切断されたオペレーショナル テクノロジ(OT)環境が含まれる場合があります。 ただし、環境のエアギャップ産業用制御システム/監督制御とデータ取得(ICS/SCADA)セグメントは、通常、独自の Active Directory 展開を利用しないことに注意してください。

組織がこれらのシナリオの 1 つに該当する場合、現在展開されている ESAE アーキテクチャの全体的な維持は有効です。 ただし、ESAE のに伴う技術的な複雑さと運用コストの増加により、組織にさらなるリスクが発生することを理解する必要があります。 マイクロソフトは、ESAE またはその他のレガシ ID セキュリティ制御をまだ使用している組織に対し、関連するリスクを監視、特定、軽減するためにさらなる厳格性を適用することをお勧めします。

Note

ほとんどの組織のほとんどのシナリオに対し、Microsoft は分離された強化フォレスト モデルを推奨しなくなりましたが、信頼されたクラウド サービスを世界中の組織に提供するためのきわめて高いセキュリティ要件があるため、Microsoft では依然として、内部的に同様のアーキテクチャ (および関連するサポート プロセスと担当者) を運用します。

既存の展開のガイダンス

セキュリティを強化および複数フォレストの管理を簡略化するためにこのアーキテクチャをすでに展開している顧客には、ESAE の実装が設計と意図したとおりに運用されている場合、それを廃止または交換する緊急性はありません。 すべてのエンタープライズ システムと同様に、セキュリティ更新プログラムを適用し、ソフトウェアがサポート ライフサイクル内にあることを確認して、ソフトウェアをその中で管理する必要があります。

また、Microsoft では、ESAE または強化フォレストを持つ組織に、迅速な最新化計画 (RAMP) のガイダンスを使用して最新の特権アクセス方式を採用することをお勧めします。 このガイダンスにより、既存の ESAE 実装が補完され、Microsoft Entra の全体管理者、機密性の高いビジネス ユーザー、標準エンタープライズ ユーザーなど、ESAE によってまだ保護されていないロールに適切なセキュリティが提供されます。 詳細については、特権アクセス セキュリティ レベルの保護に関する記事を参照してください。

ESAE がもともと設計された 10 年以上前には、ローカル ID プロバイダーとして提供され、Active Directory(AD)を使用するオンプレミス環境を中心に扱っていました。 この従来のアプローチは、最小限の特権を実現するマクロセグメント化手法に基づいており、ハイブリッドまたはクラウドベースの環境を十分に考慮していません。 さらに、ESAE と強化されたフォレスト実装は、オンプレミスの Windows Server Active Directory 管理者(ID)の保護にのみ焦点を当て、最新のゼロ トラスト アーキテクチャの残りの柱に含まれるきめ細かな ID 制御やその他の手法を考慮しません。 マイクロソフトは、より迅速に展開して管理とビジネス指向のロールとシステムをより広い範囲で保護するため、クラウドベースのソリューションの推奨事項を更新しています。 さらに、複雑さが少なく、スケーラブルで維持に必要な資本投資が少なくなります。

Note

ESAE は完全的に推奨されなくなりましたが、マイクロソフトはそこに含まれる多くの個別コンポーネントが、優れたサイバー衛生(専用の特権アクセス ワークステーションなど)として定義されていることを認識しています。 ESAE の非推奨は、組織が優れたサイバー衛生のプラクティスを放棄するのではなく、特権 ID を保護するために更新されたアーキテクチャ戦略を強化することのみを目的としています。

ほとんどの組織を適用対象とする ESAE の優れたサイバー衛生プラクティスの例

  • すべての管理アクティビティ向け特権アクセス ワークステーション(PAW)の使用
  • 環境全体で広範囲に使用されなくても、管理資格情報のトークン ベース認証または多要素認証(MFA)の実施
  • グループ/ロール メンバーシップの定期的な評価を通じて最小限の特権管理の実施(強力な組織方針によって実施)

オンプレミス AD のセキュリティ保護の成功事例

[継続的な使用のシナリオ]で説明されているとおり、さまざまな状況によってクラウド移行が実現できない(部分的または完全に)場合があります。 これらの組織では、既存の ESAE アーキテクチャをまだ持っていない場合、Active Directory と特権 ID のセキュリティの厳格性を強化することにより、オンプレミス AD の攻撃面を減らすことをマイクロソフトはお勧めしています。 完全なリストではありませんが、次の高優先度の推奨事項を検討してください。

  • 最小限の特権管理モデルを実装した階層化アプローチを使用します。
    • 絶対最小特権を実行します。
    • 特権 ID(組織方針と強いつながりを持った)を検出、確認、監査します。
      • 過剰な特権付与は、評価された環境で最も特定される問題の 1 つです。
    • 管理者アカウントの MFA(環境全体で広範囲に使用されなくても)。
    • 時間ベースの特権ロール(過剰なアカウントの削減、承認プロセスの強化)。
    • 特権 ID に対して利用可能なすべての監査を有効にして構成します(有効化/無効化、パスワード リセット、その他の変更の通知)。
  • 特権特権アクセスワークステーション(PAW)の使用
    • 信頼されていないホストから PAW を管理しないでください。
    • PAW へのアクセスには MFA を使用します。
    • 物理的なセキュリティを忘れないでください。
    • PAW が最新のオペレーティング システムまたは現在サポートされているオペレーティング システムで実行されていることを常に確認してください。
  • 攻撃パスと高リスクのアカウント/アプリケーションについて説明します。
    • リスクが最も高い ID とシステム(機会/影響の大きいターゲット)の監視に優先度付けます。
    • オペレーティング システムの境界を越えた場合を含むパスワードの再利用を根絶します(一般的な横移動手法)。
    • リスクを高めるアクティビティを制限するポリシーを実施します(セキュリティで保護されたワークステーションからインターネット閲覧、複数システム間のローカル管理者アカウントなど)。
    • Active Directory/ドメイン コントローラーのアプリケーションを削減します(追加された各アプリケーションは攻撃面の増加になります)。
      • 不要なアプリケーションを排除します。
      • 可能であれば、必要なアプリケーションを /DC から他のワークロードに移動します。
  • Active Directory の不変バックアップ
    • ランサムウェア感染から回復するための重要なコンポーネント。
    • 定期的なバックアップ スケジュール。
    • ディザスター リカバリー プランによって決定されるクラウドベースまたはオフサイトの場所に保存されます。
  • Active Directory セキュリティ評価の実行
    • 結果(カスタマイズされたログ分析ダッシュボード)を表示するには、Azure サブスクリプションが必要です。
    • オンデマンドまたはマイクロソフトのエンジニアがサポートするオファリング。
    • 評価のガイダンスを確認/特定します。
    • マイクロソフトは毎年評価を実施することを推奨します。

これらの推奨事項の包括的なガイダンスについては、Active Directory を確保するためのベスト プラクティスを確認してください。

補足的なおすすめ情報

制約が異なるため、一部のエンティティはクラウドベースのゼロトラスト アーキテクチャを完全に展開できない可能性があることをマイクロソフトは認識しています。 これらの制約の一部は、前のセクションに記述されています。 完全な展開の代わり、組織はリスクに対処してゼロ トラストに向けて進行しながら、従来の機器やアーキテクチャを環境内で維持することができます。 以前に記述されたガイダンスに加え、次の機能は環境のセキュリティを強化するために支援し、ゼロ トラスト アーキテクチャの導入の開始点として機能する可能性があります。

Microsoft Defender for Identity (MSDI) のガイド

Microsoft Defender for Identity(MDI) (正式には Azure Advanced Threat Protection または ATP)は、マイクロソフト ゼロ トラスト アーキテクチャを支えて ID の柱に焦点を当てています。 このクラウドベースのソリューションでは、オンプレミス AD と Microsoft Entra ID の両方からのシグナルを使用して、ID に関連する脅威を特定、検出、調査します。 MDI はこれらの信号を監視して、ユーザーやエンティティの異常で悪意のある行動を特定します。 特に、特定のアカウントが侵害された場合、MDI はその使用方法をハイライトすることにより、敵対者の横移動のパスを視覚化する機能を容易にします。 MDI の行動分析とユーザー ベースライン機能は、AD 環境内の異常なアクティビティを特定する重要な要素です。

Note

MDI はオンプレミス AD から信号を収集しますが、クラウドベースの接続が必要です。

Microsoft Defender 向けモノのインターネット(D4IoT)

このドキュメントで説明されているその他のガイダンスに加え、上記で記述されているいずれかのシナリオで運用している組織はMicrosoft Defender for IoT (D4IoT)を展開できます。 このソリューションは、モノのインターネット(IoT)とオペレーショナル テクノロジ(OT)の環境のアセット検出、在庫管理、リスクベースの行動分析を可能にするパッシブ ネットワーク センサー(仮想または物理)を備えています。 オンプレミスのエアギャップ環境またはクラウド接続環境に展開でき、100 を超える ICS/OT 独自のネットワーク プロトコルで詳細なパケット検査を実行する容量があります。

次のステップ

以下の記事を確認してください。

  1. 特権アクセス戦略
  2. セキュリティの迅速な最新化プラン(RAMP)
  3. Active Directory のセキュリティ保護に関するベスト プラクティス