特権アクセス セキュリティ レベル

このドキュメントでは、 特権アクセス戦略 のセキュリティ レベルについて説明します。この戦略を採用する方法のロードマップについては、 迅速な最新化計画 (RaMP) を参照してください。 実装のガイダンスについては、「特権アクセスのデプロイ」を参照してください。

これらのレベルは、主に、組織がこれらの非常に重要な保護を迅速に展開できるように、簡単で簡単な技術ガイダンスを提供するように設計されています。 特権アクセス戦略は、組織に固有のニーズがあることを認識しますが、カスタム ソリューションによって複雑さが生じ、コストが高くなり、時間の経過と共にセキュリティが低下します。 このニーズのバランスを取るために、この戦略は、各レベルの要件を満たすために各ロールがいつ必要になるかを組織が選択できるようにすることで、各レベルと柔軟性に関するしっかりとした規範的なガイダンスを提供します。

Defining three security levels

物事をシンプルにすることで、人々はそれを理解し、混乱して間違いを犯すリスクを減らします。 基盤となるテクノロジは、ほとんど常に複雑ですが、サポートが困難なカスタム ソリューションを作成するのではなく、シンプルにしておくことが重要です。 詳細については、 セキュリティ設計の原則に関する記事を参照してください。

管理者とエンド ユーザーのニーズに焦点を当てたソリューションを設計すると、シンプルなソリューションが維持されます。 セキュリティと IT 担当者が (可能な限り自動化を使用して) 構築、評価、保守を行うのが簡単なソリューションを設計すると、セキュリティミスが減り、セキュリティの保証が信頼性が高くなります。

推奨される特権アクセス セキュリティ戦略では、アカウント、デバイス、仲介者、インターフェイスの展開が容易になるように設計された、複数の領域にまたがるシンプルな 3 レベルの保証システムが実装されます。

Increase attacker cost with each level of security investment

各レベルが連続して実行されると、攻撃者のコストが増加し、追加のレベルのDefender for Cloud投資が行われます。 このレベルは、防御者が行うセキュリティ投資ごとに最も多くのリターン (攻撃者コスト増加) を得る "スイート スポット" をターゲットにするように設計されています。

環境内の各ロールは、これらのレベルのいずれかにマップする必要があります (必要に応じて、セキュリティ強化計画の一環として時間の経過と共に増加します)。 各プロファイルは、技術的な構成として明確に定義され、可能な限り自動化され、デプロイを容易にし、セキュリティ保護を高速化します。 実装の詳細については、「 Privileged Access ロードマップ」の記事を参照してください。

この戦略全体で使用されるセキュリティ レベルは次のとおりです。

  • Enterpriseセキュリティは、すべてのエンタープライズ ユーザーと生産性のシナリオに適しています。 急速な近代化計画の進行において、企業はエンタープライズ セキュリティのセキュリティ制御に基づいて段階的に構築されるため、特殊化された特権アクセスの開始点としても機能します。

    メモ

    セキュリティの弱い構成は存在しますが、攻撃者が利用できるスキルとリソースのために、今日のエンタープライズ組織では Microsoft では推奨されていません。 ダーク マーケットと平均価格で攻撃者が互いに購入できるものの詳細については、Azure Security のベスト プラクティストップ 10 のビデオを参照してください。

  • 特殊なセキュリティ により、ビジネスへの影響が高いロールに対するセキュリティ制御が強化されます (攻撃者または悪意のあるインサイダーによって侵害された場合)。

    組織は、特殊な特権アカウントの条件を文書化し (たとえば、潜在的なビジネスへの影響が $100 万ドルを超えています)、その条件を満たすすべてのロールとアカウントを特定する必要があります。 (特殊アカウントを含む、この戦略全体で使用)

    特殊化されたロールには、通常、次のものが含まれます。

    • ビジネス クリティカル なシステムの開発者
    • SWIFT ターミナルのユーザー、機密データへのアクセス権を持つ研究者、パブリック リリース前の財務報告へのアクセス権を持つ担当者、給与管理者、機密ビジネス プロセスの承認者、その他の影響の大きいロールなど、機密性の高いビジネス ロール
    • 機密情報を 定期的に処理するエグゼクティブおよびパーソナル アシスタント/管理アシスタント。
    • 会社の評判を損なう可能性のある影響の大きいソーシャル メディア アカウント
    • 重要な特権と影響を与える機密 IT 管理者ですが、企業全体ではありません。 通常、このグループには、個々の影響の大きいワークロードの管理者が含まれます。 (たとえば、エンタープライズ リソース計画管理者、銀行管理者、ヘルプ デスク/技術サポート ロールなど)

    特殊なアカウント セキュリティは、特権セキュリティの中間ステップとしても機能し、これらの制御にさらに基づいています。 推奨される進行順序の詳細については、 特権アクセス ロードマップを参照してください。

  • 特権セキュリティ は、攻撃者や悪意のある内部関係者の手で組織に重大なインシデントや重大な損害を与える可能性のあるロール用に設計された最高レベルのセキュリティです。 通常、このレベルには、ほとんどのエンタープライズ システムまたはすべてのエンタープライズ システムに対する管理アクセス許可を持つ技術ロールが含まれます (また、いくつかのビジネス クリティカルなロールが含まれる場合もあります)

    特権アカウントは、まずセキュリティに重点を置きます。生産性は、機密性の高いジョブ タスクを安全に簡単かつ安全に実行する機能として定義されています。 これらのロールには、同じアカウントまたは同じデバイス/ワークステーションを使用して、機密性の高い作業タスクと一般的な生産性タスク (Web の参照、アプリのインストールと使用) の両方を実行することはできません。 攻撃者のアクティビティを表す可能性のある異常なアクティビティに対するアクションの監視が強化され、アカウントとワークステーションが非常に制限されます。

    特権アクセス セキュリティ ロールには、通常、次のものが含まれます。

    • Azure AD グローバル管理者と関連ロール
    • エンタープライズ ディレクトリ、ID 同期システム、フェデレーション ソリューション、仮想ディレクトリ、特権 ID/アクセス管理システムなどに対する管理者権限を持つその他の ID 管理ロール。
    • これらのオンプレミスの Active Directory グループのメンバーシップを持つロール
      • Enterprise管理者
      • ドメイン管理者
      • スキーマ管理者
      • BUILTIN\Administrators
      • アカウント演算子
      • バックアップ演算子
      • 印刷演算子
      • サーバーオペレーター
      • ドメイン コントローラー
      • 読み取り専用ドメイン コントローラー
      • グループ ポリシー作成者の所有者
      • 暗号化演算子
      • 分散 COM ユーザー
      • 機密性の高いオンプレミス Exchange グループ (Exchange Windows アクセス許可と信頼されたサブシステムExchange含む)
      • その他の委任されたグループ - ディレクトリ操作を管理するために組織が作成できるカスタム グループ。
      • 上記の機能をホストしている、基になるオペレーティング システムまたはクラウド サービス テナントのローカル管理者
        • ローカル管理者グループのメンバー
        • ルートまたは組み込みの管理者パスワードを知っている担当者
        • これらのシステムにエージェントがインストールされている管理ツールまたはセキュリティ ツールの管理者

次の手順