ID およびアクセス管理に関する Microsoft セキュリティ ベスト プラクティス

クラウドベースのアーキテクチャでは、ID がセキュリティ保証の大部分の基礎となります。 従来の IT インフラストラクチャでは、外部の脅威からの保護を、インターネット エグレス ポイントのファイアウォールおよびネットワーク セキュリティ ソリューションに依存することが多かったのですが、これらのコントロールは、クラウド プロバイダー ネットワークまたはインターネットをまたいでアクセスされる共有サービスを含むクラウド アーキテクチャでは効果が低くなります。

これらのサービスがホストされており、さまざまなクラウド リソースが動的にスピン アップおよびスピン ダウンされ、クラウドの顧客が共通のインフラストラクチャを共有する場合があり、従業員とユーザーがどこからでもデータやサービスにアクセスできることが期待されるネットワークを制御しない場合、簡潔なファイアウォール規則を作成するのは困難または不可能です。 これらすべての機能を有効にするには、クラウド サービスで ID の認証と承認の制御に基づいてアクセスを管理することで、データやリソースを保護したり、どの要求を許可するかを決定したりする必要があります。

さらに、Azure Active Directory (Azure AD) のようなクラウドベースの ID ソリューションを使用すれば、多くの顧客のもとで大量のアクセス要求や脅威を観察することで得られた脅威インテリジェンスを応用できるため、従来の ID サービスでは不可能な追加のセキュリティ機能が提供されます。

単一のエンタープライズ ディレクトリ

ベスト プラクティス: 常勤従業員および企業リソースの ID を管理するための単一のエンタープライズ ディレクトリを確立します。

ID のソースが単一かつ信頼できるものであれば、IT とセキュリティのすべての役割の明確さと一貫性が向上します。 これにより、複雑さゆえの人為的なエラーや自動化失敗から生じるセキュリティ リスクが軽減されます。 単一の信頼できるソースを持つことで、ディレクトリに変更を加える必要があるチームは 1 つの場所でそれを実行でき、変更がどこでも効力を有するという確証が得られます。

Azure の場合、組織のアカウントの信頼できるソースとして、単一の Azure AD テナントを指定します。

詳細については、「ハイブリッド ID とは」を参照してください。

同期された ID システム

ベスト プラクティス: クラウド ID を既存の ID システムと同期します。

クラウドとオンプレミスの間で ID に一貫性があれば、人為的エラーとそれに起因するセキュリティ リスクが減少します。 両方の環境でリソースを管理するチームは、セキュリティ保証を達成するために、一貫性があって信頼できるソースを必要とします。

Azure の場合は、ハイブリッド ID を使用して、Azure AD を既存の権限のあるオンプレミス Active Directory Domain Services (AD DS) と同期します。

これは Office 365 の移行にも必要なため、Azure に移行する前や、開発プロジェクトが始まる前に実施済みであることはよくあります。

外部の関係者用のクラウド プロバイダー ID ソース

ベスト プラクティス: ベンダー、パートナー、顧客など、従業員以外のアカウントはオンプレミスのディレクトリに含めるのではなく、クラウド ID サービスを使用してホスティングします。

これにより、常勤従業員に付与される既定のフル アクセス許可ではなく、適切なレベルのアクセスが外部の関係者に付与されるため、リスクが軽減されます。 この最小限の特権アプローチ、また、外部アカウントと会社スタッフの明確な区別によって、これらのベクトルからの攻撃の防止と検出が容易になります。 さらに、これらの ID の管理は外部の機関によって行われるため、関係者の生産性が向上し、企業の人事や IT チームに必要な労力が軽減されます。

たとえば、これらの機能は、Azure や Office 365 で使用されるものと同じ Azure AD の ID とアクセス許可のモデルにネイティブに統合されます。

  • 従業員およびエンタープライズ リソース用の Azure AD
  • ビジネス パートナー用の Azure AD B2B
  • 顧客や部外者用の Azure AD B2C

詳しくは、「Azure AD のフェデレーション互換性リスト」を参照してください。

管理者アカウント向けのパスワードレスまたは多要素認証

ベスト プラクティス: すべてのユーザーがパスワードレス認証または多要素認証 (MFA) を使用するように徐々に転換する必要があります。

この推奨事項の詳細は、管理者向けのパスワードレス認証または多要素認証の管理セクションにあります。

すべてのユーザーに同じ推奨事項が適用されますが、管理特権を持つアカウントには最初に、また最も厳格に適用する必要があります。

マネージド ID を使用して Azure 内のリソースへのアクセスを許可することで、アプリケーションによるパスワードの使用を減らすこともできます。

レガシ認証をブロックする

ベスト プラクティス: インターネットに接続するサービスでは、セキュリティで保護されないレガシ プロトコルを無効にします。

レガシ認証方法は、クラウドでホストされるサービスにとって最も脅威となる攻撃ベクトルの 1 つです。 多要素認証が登場する前に開発されたレガシ プロトコルは、パスワード以外の追加要素をサポートしていないため、パスワード スプレー攻撃、辞書攻撃、またはブルート フォース攻撃の主要な標的になっています。 例として、Office 365 の顧客に対するパスワード スプレー攻撃のほぼ 100% がレガシ プロトコルを使用しています。 また、これらの古いプロトコルには、アカウントのロックアウトやバックオフ タイマーといったその他の攻撃対策が不足していることがよくあります。 Microsoft のクラウド上で実行されるサービスでレガシ プロトコルをブロックすると、アカウントの侵害成功が 66% 減少したことが確認されています。

Azure やその他の Azure AD ベースのアカウントで、レガシ プロトコルをブロックするように条件付きアクセスを構成します。

最新の認証方法をサポートする新しいクライアント ソフトウェアへの移行を望まないユーザーもいるので、レガシ認証を無効にすることは難しいかもしれません。 しかし、レガシ認証から徐々に距離を置くことはできます。 まず、メトリックを使用して認証プロバイダーからログを取り、まだ古いクライアントで認証しているユーザーの数を確認します。 次に、使用されていない下位レベルのプロトコルをすべて無効にし、レガシ プロトコルを使用していないすべてのユーザーに条件付きアクセスを設定します。 最後に、アップグレード方法についてユーザーに十分な注意とガイダンスを与えてから、すべてのサービスのすべてのユーザーについてプロトコル レベルでレガシ認証をブロックします。

クラウド ID プロバイダーにオンプレミスの管理者アカウントがない

ベスト プラクティス:高い特権を持つ Active Directory Domain Services アカウント (ドメイン、エンタープライズ、スキーマ管理者など) を Azure AD に同期しないでください。

これは、クラウド アカウントの侵害に成功した敵対者がオンプレミス資産の完全制御を奪取するリスクを軽減するためです。 これによって、インシデントのスコープを封じ込めて、大幅な拡大を防ぎます。

これは、オンプレミスからクラウド資産へのピボットの逆リスクを軽減する 、重要な影響を受けるアカウントの依存関係 に関するガイダンスに関連しています。

最新のパスワード保護

ベスト プラクティス: パスワードレスにできないアカウント (管理者のパスワードレス認証または多要素認証) に対して、最新かつ効果的な保護を提供します。

レガシ ID プロバイダーでは、パスワードが複数の文字種で構成され所定の文字数以上であることを主にチェックしていましたが、実際には、このような制御ではパスワードのエントロピが不足して容易にクラッキングを許してしまうことが明らかになっています。

現在の ID ソリューションは、パスワード スプレー、侵害リプレイ (他のサイトを侵害して入手したユーザー名とパスワードのペアをテストする手法。 "資格情報スタッフィング" とも呼ばれる)、フィッシング中間者攻撃といった、10 ~ 20 年前には存在さえしなかったタイプの攻撃に対応できる必要があります。 クラウド ID プロバイダーは、これらの攻撃に対する保護の提供に関して他に比肩しない立場にあります。 大量のサインオンを処理するため、より適切な異常検出を活用し、さまざまなデータ ソースを利用することによって、企業ユーザーのパスワードが他の侵害で見つかった場合はその企業に予防的に通知したり、特定のサインインが正当であり、予期しない、または既知の悪意のあるホストから来ていないことを検証したりできます。

さらに、これらのチェックをサポートするためにパスワードをクラウドに同期することで、一部の攻撃を受けた際の回復性も向上します。 (Not)Petya 攻撃の影響を受ける顧客は、パスワード ハッシュを Azure AD に同期していた場合、業務を継続できました (対照的に、パスワードを同期していなかった組織の顧客は、通信および IT サービスをほとんど利用できませんでした)。

Azure の場合、これらの手順を使用して Azure AD で最新の保護を有効にします。

  1. Azure AD Connect 同期を使用してパスワード ハッシュ同期を実装する

  2. これらの問題を自動的に修復するか、レポートに基づいて手動で修復するかを選択します。

    a. 自動施行 -Azure AD Identity Protection のリスク評価を利用して、条件付きアクセスによって高リスクのパスワードを自動的に修復します

    b. 報告 & 手動による修復 - レポートを表示し、アカウントを手動で修復する

Identity Protection リスク イベント API を使用して、Microsoft Graph を使ってプログラムからセキュリティの検出にアクセスします。

クロスプラットフォームの資格情報管理

ベスト プラクティス すべてのプラットフォーム (Windows、Linux、その他) およびクラウド サービスの認証に、単一の ID プロバイダーを使用します。

すべての企業資産に対して単一の ID プロバイダーを使用すれば、管理とセキュリティが簡素化され、見落としや人為的ミスのリスクが最小化されます。 複数の ID ソリューション (または不完全なソリューション) をデプロイした結果、施行不能なパスワード ポリシー、侵害後にリセットされないパスワード、(たいていは安全な方法で保存されていない) パスワードの拡散、退職後の元従業員によるパスワードの保持などの問題が発生する可能性があります。

たとえば、Azure AD を使用して以下を認証できます。

ゼロ トラストによるユーザーの条件付きアクセス

ベスト プラクティス: ゼロ トラスト戦略をサポートするために、重要なセキュリティ属性の測定および施行を、すべてのユーザーの認証に含める必要があります。

この推奨事項の詳細については、「共通ゼロ トラスト ID とデバイス アクセス ポリシー」を参照してください。 すべてのユーザーに同じ推奨事項が適用されますが、管理特権を持つアカウントに最初に適用する必要があります。

マネージド ID を使用して Azure 内のリソースへのアクセスを許可することで、アプリケーションによるパスワードの使用を減らすこともできます。

攻撃をシミュレートする

ベスト プラクティス: ユーザーに対する攻撃を定期的にシミュレートすることで、ユーザーを教育し、必要な能力を身に付けさせます。

ユーザーは防御の重要な要素であるため、攻撃を防ぎ、攻撃に耐えるための知識とスキルをユーザーが確実に習得すれば、組織全体のリスクが低減されます。

Microsoft Defender for Office 365 の攻撃シミュレーターまたは任意の数のサードパーティ製品を使用できます。

次のステップ

ID とデバイス アクセスの機能を確認します。

こちらもご覧ください

ゼロ トラスト セキュリティ モデルとフレームワーク

Microsoft のセキュリティ ドキュメント