特権アクセスのセキュリティレベルPrivileged access security levels

このドキュメントでは、この戦略を採用するためのロードマップに関する 特権アクセス戦略 のセキュリティレベルについて説明します。 迅速な近代化計画 (傾斜)に関する記事をご覧ください。This document describes the security levels of a privileged access strategy For a roadmap on how to adopt this strategy, see the rapid modernization plan (RaMP). 実装のガイダンスについては、「 privileged access deployment 」を参照してください。For implementation guidance, see privileged access deployment

これらのレベルは、主にシンプルで簡単な技術ガイダンスを提供するように設計されており、組織がこれらの非常に重要な保護を迅速に展開することができます。These levels are primarily designed to provide simple and straightforward technical guidance so that organizations can rapidly deploy these critically important protections. 特権アクセス戦略では、組織に固有のニーズがあることが認識されますが、カスタムソリューションによって複雑になり、コストが高くなり、セキュリティが低下します。The privileged access strategy recognizes that organizations have unique needs, but also that custom solutions create complexity that results in higher costs and lower security over time. このニーズのバランスを取るために、この戦略では、各ロールがそのレベルの要件を満たす必要があるかどうかを組織が選択できるようにすることで、各レベルと柔軟性について、しっかり規範的なガイダンスを提供します。To balance this need, the strategy provides firm prescriptive guidance for each level and flexibility through allowing organizations to choose when each role will be required to meet the requirements of that level.

3つのセキュリティレベルの定義

これを簡単にすることは、ユーザーが理解し、混乱を招き、間違いを犯すリスクを軽減するのに役立ちます。Making things simple helps people understand it and lowers the risk they will be confused and make mistakes. 基になるテクノロジはほとんど常に複雑ですが、サポートが困難なカスタムソリューションを作成するのではなく、シンプルなものを維持することが重要です。While the underlying technology is almost always complex, it is critical to keep things simple rather than creating custom solutions that are difficult to support. 詳細については、 セキュリティ設計の原則に関する記事を参照してください。For more information, see the article Security design principles.

管理者とエンドユーザーのニーズに重点を置いたソリューションを設計することで、簡単に管理できます。Designing solutions that are focused on the needs of the administrators and end users, will keep it simple for them. セキュリティおよび IT 担当者が、可能な限り自動化することによって構築、評価、および保守を容易にするソリューションを設計することにより、セキュリティの間違いや信頼性の高いセキュリティ保証が実現されます。Designing solutions that are simple for security and IT personnel to build, assess, and maintain (with automation where possible) leads to less security mistakes and more reliable security assurances.

推奨される特権アクセスセキュリティ戦略では、アカウント、デバイス、中継局、およびインターフェイスの展開が容易になるように設計された、簡単な3レベルの保証システムを実装します。The recommended privileged access security strategy implements a simple three level system of assurances, that span across areas, designed to be easy to deploy for: accounts, devices, intermediaries, and interfaces.

セキュリティ投資の各レベルで攻撃者のコストを増加

各レベルで、攻撃者のコストを増やし、defender 投資のレベルを追加します。Each successive level drives up attacker costs, with additional level of defender investment. これらのレベルは、各セキュリティ投資に対して防御者が最も戻り (攻撃者によるコスト増加) する "甘いスポット" を対象として設計されています。The levels are designed to target the 'sweet spots' where defenders get the most return (attacker cost increase) for each security investment they make.

環境内の各ロールは、これらのレベルのいずれかにマップする必要があります (また、必要に応じて、セキュリティ向上計画の一部として、時間の経過と共に増加します)。Each role in your environment should be mapped to one of these levels (and optionally increased over time as part of a security improvement plan). 各プロファイルは、技術的な構成として明確に定義され、展開を容易にし、セキュリティ保護を高速化できるように自動化されています。Each profile is clearly defined as a technical configuration and automated where possible to ease deployment and speed up security protections. 実装の詳細については、「 特権アクセスのロードマップ」を参照してください。For implementation details see the article, Privileged access roadmap.

この戦略全体で使用されるセキュリティレベルは次のとおりです。The security levels used throughout this strategy are:

  • エンタープライズセキュリティ は、すべてのエンタープライズユーザーと生産性のシナリオに適しています。Enterprise security is suitable for all enterprise users and productivity scenarios. また、迅速な近代化計画の段階では、エンタープライズセキュリティのセキュリティコントロールに段階的に構築されている特殊な特権アクセスの出発点としても機能します。In the progression of the rapid modernization plan, enterprise also serves as the starting point for specialized and privileged access as they progressively build on the security controls in enterprise security.

    注意

    脆弱なセキュリティ構成は存在しますが、現在のところ、攻撃者が使用できるスキルとリソースにより、Microsoft はエンタープライズ組織に対して推奨していません。Weaker security configurations do exist, but aren't recommended by Microsoft for enterprise organizations today because of the skills and resources attackers have available. ダークマーケットと平均価格で相互に攻撃者が購入できる内容については、「 Azure のセキュリティに関するベストプラクティス」のビデオをご覧ください。For information on what attackers can buy from each other on the dark markets and average prices, see the video Top 10 Best Practices for Azure Security

  • 化されたセキュリティでは、ビジネスへの影響が高い (攻撃者または悪意のある insider によって侵害された場合に) ロールのセキュリティ制御を強化します。Specialized security provides increased security controls for roles with an elevated business impact (if compromised by an attacker or malicious insider).

    組織は、特化された特権を持つアカウント (たとえば、ビジネスへの影響が $ 1M 米ドルを超えている可能性があります) の条件を文書化し、その条件を満たすすべてのロールとアカウントを特定する必要があります。Your organization should have documented criteria for specialized and privileged accounts (for example, potential business impact is over $1M USD) and then identify all the roles and accounts meeting that criteria. (特化されたアカウントの場合を含め、この戦略全体で使用)(used throughout this strategy, including in the Specialized Accounts)

    特に特殊なロールには次のものがあります。Specialized roles typically include:

    • ビジネスクリティカルなシステムの 開発者Developers of business critical systems.
    • SWIFT ターミナルのユーザー、機密データへのアクセス権を持つ研究者、一般リリースより前の財務報告へのアクセス権を持つ社員、給与管理者、重要なビジネスプロセスの承認者、その他の大きな影響を受けるロールなどの 重要なビジネスロールSensitive business roles such as users of SWIFT terminals, researchers with access to sensitive data, personnel with access to financial reporting prior to public release, payroll administrators, approvers for sensitive business processes, and other high impact roles.
    • 機密情報を定期的に処理する 役員 および個人用アシスタント/管理アシスタント。Executives and personal assistants / administrative assistants that that regularly handle sensitive information.
    • 大きな影響を与えるソーシャルメディアアカウントHigh impact social media accounts that could damage the company reputation.
    • 重要な特権と影響を持つ 機密 IT 管理者。ただし、エンタープライズ規模ではありません。Sensitive IT Admins with a significant privileges and impact, but are not enterprise-wide. 通常、このグループには、個々の大きな影響を与えるワークロードの管理者が含まれます。This group typically includes administrators of individual high impact workloads. (たとえば、エンタープライズリソース計画管理者、銀行管理者、ヘルプデスク/技術サポートロールなど)。(for example, enterprise resource planning administrators, banking administrators, help desk /tech support roles, etc.)

    特化されたアカウントセキュリティは、特権セキュリティの暫定的な手順としても機能し、これらのコントロールに対してさらに構築されます。Specialized Account security also serves as an interim step for privileged security, which further builds on these controls. 推奨される進行順序の詳細については、「 特権アクセスのロードマップ 」を参照してください。See privileged access roadmap for details on recommended order of progression.

  • Privileged security は、攻撃者や悪意のある内部で組織に大きなインシデントや潜在的な素材の破損を引き起こす可能性があるロールに対して設計された最高レベルのセキュリティです。Privileged security is the highest level of security designed for roles that could easily cause a major incident and potential material damage to the organization in the hands of an attacker or malicious insider. 通常、このレベルには、ほとんどまたはすべてのエンタープライズシステムに対する管理アクセス許可を持つ技術的な役割が含まれます (また、ビジネス上重要な役割がいくつか含まれている場合もあります)。This level typically includes technical roles with administrative permissions on most or all enterprise systems (and sometimes includes a select few business critical roles)

    特権アカウントは最初にセキュリティに重点を置いており、生産性は、機密性の高いジョブタスクを安全に簡単かつ安全に実行する機能として定義されています。Privileged accounts are focused on security first, with productivity defined as the ability to easily and securely perform sensitive job tasks securely. これらのロールは、同じアカウントまたは同じデバイス/ワークステーションを使用して、機密性の高い作業と一般的な生産性タスク (web の参照、アプリのインストールと使用) の両方を実行することはできません。These roles will not have the ability to do both sensitive work and general productivity tasks (browse the web, install and use any app) using the same account or the same device/workstation. これらのユーザーは、攻撃者の行動を表す可能性がある異常なアクティビティに対するアクションの監視を強化することで、アカウントとワークステーションが非常に制限されています。They will have highly restricted accounts and workstations with increased monitoring of their actions for anomalous activity that could represent attacker activity.

    通常、特権アクセスのセキュリティロールには次のものが含まれます。Privileged access security roles typically include:

    • Azure AD グローバル管理者と 関連するロールAzure AD Global Administrators and related roles
    • エンタープライズディレクトリ、id 同期システム、フェデレーションソリューション、仮想ディレクトリ、特権 id/アクセス管理システム、または同様の管理権限を持つその他の id 管理ロール。Other identity management roles with administrative rights to an enterprise directory, identity synchronization systems, federation solution, virtual directory, privileged identity/access management system, or similar.
    • これらのオンプレミス Active Directory グループのメンバーシップを持つロールRoles with membership in these on-premises Active Directory groups
      • Enterprise AdminsEnterprise Admins
      • Domain AdminsDomain Admins
      • Schema AdminSchema Admin
      • BUILTIN\AdministratorsBUILTIN\Administrators
      • Account OperatorsAccount Operators
      • Backup OperatorsBackup Operators
      • 演算子を印刷します。Print Operators
      • Server OperatorsServer Operators
      • ドメイン コントローラーDomain Controllers
      • Read-Only Domain ControllersRead-only Domain Controllers
      • Group Policy Creator OwnersGroup Policy Creator Owners
      • Cryptographic OperatorsCryptographic Operators
      • Distributed COM UsersDistributed COM Users
      • 機密性の高いオンプレミス Exchange グループ (Exchange Windows のアクセス許可と Exchange の信頼されたサブシステムを含む)Sensitive on-premises Exchange groups (including Exchange Windows Permissions and Exchange Trusted Subsystem)
      • その他の委任されたグループ-ディレクトリ操作を管理するために組織によって作成されるカスタムグループ。Other Delegated Groups - Custom groups that may be created by your organization to manage directory operations.
      • 上記の機能をホストしている、基になるオペレーティングシステムまたはクラウドサービステナントのローカル管理者。Any local administrator for an underlying operating system or cloud service tenant that is hosting the above capabilities including
        • ローカルの administrators グループのメンバーMembers of local administrators group
        • ルートまたは作成された管理者パスワードを知っている担当者Personnel who know the root or built in administrator password
        • これらのシステムにエージェントがインストールされている管理者またはセキュリティツールの管理者Administrators of any management or security tool with agents installed on those systems

次のステップNext steps