特権アクセス戦略の成功基準

このドキュメントでは、 特権アクセス戦略の成功基準について説明します。 このセクションでは、特権アクセス戦略の成功に関する戦略的な観点について説明します。 この戦略を採用する方法のロードマップについては、 迅速な近代化計画 (RaMP) を参照してください。 実装のガイダンスについては、「特権アクセスのデプロイ」を参照してください。

ゼロ トラストアプローチを使用して包括的な戦略を実装すると、特権アクセスのアクセス制御に対する"シール" が作成され、攻撃者に対して耐性が生まれます。 この戦略は、パスパスを一部の特権アクセスのみに制限し、その承認された経路を厳密に保護して監視することによって実現されます。

End state goal with limited entry paths for attackers

成功した戦略では、攻撃者が特権アクセス ワークフローを傍受するために使用できるすべてのポイントに対処する必要があります。これには、次の 4 つの異なるイニシアチブが含まれます。

  • 基になるデバイス、オペレーティング システム、アプリケーション、ID など、特権アクセス ワークフローの Privileged Access ワークフロー要素
  • 特権アカウントとグループをホストする ID システム、およびアカウントに対する特権を付与するその他の成果物
  • 特権アクセスにつながる可能性があるユーザー アクセス ワークフローと承認された昇格パス
  • ゼロトラスト アクセス ポリシーが適用され、ロールベースのアクセス制御 (RBAC) が特権を付与するように構成されているアプリケーション インターフェイス

メモ

完全なセキュリティ戦略には、アプリケーション自体、基になるオペレーティング システムとハードウェア、アプリケーションまたはサービスによって使用されるサービス アカウント、保存中または転送中のデータに対する攻撃に対するデータ バックアップや保護など、アクセス制御の範囲を超えた資産保護も含まれます。 クラウドのセキュリティ戦略の最新化の詳細については、「セキュリティ戦略の 定義」を参照してください。

攻撃は、自動化とスクリプトを利用して組織を攻撃する人間の攻撃者で構成され、人間、従うプロセス、および使用するテクノロジで構成されます。 攻撃者と防御者の両方がこの複雑さのため、セキュリティ保証が誤って損なわれる可能性があるすべての人、プロセス、テクノロジの方法を防ぐために、戦略を多角的に行う必要があります。

持続可能な長期的な成功を確保するには、次の基準を満たす必要があります。

無意味な優先順位付け

冷酷な優先順位付けとは、既存の計画、認識、習慣に合わない場合でも、最も価値を高める最も速い時間で最も効果的なアクションを実行する方法です。 この戦略は、多くの重大なサイバーセキュリティ インシデントの激しいるつぼで学んだ一連のステップを示しています。 これらのインシデントからの学習は、組織がこれらの危機が再び起こらないようにするために役立つ手順を形成します。

セキュリティの専門家は常に、ネットワーク セキュリティやファイアウォールなどの使い慣れた既存のコントロールを新しい攻撃に最適化しようとするのが魅力的ですが、このパスは常にエラーにつながります。 Microsoft の検出および対応チーム (DART) は、10 年近く特権アクセス攻撃に対応しており、これらの従来のセキュリティアプローチでこれらの攻撃を検出または停止できないと常に認識しています。 ネットワーク セキュリティは、必要かつ重要な基本的なセキュリティの検疫を提供しますが、これらの習慣から抜け出し、現実世界の攻撃を抑止またはブロックする軽減策に焦点を当てることが重要です。

既存の想定にチャレンジし、人々に新しいスキルの習得を強制する場合でも、この戦略で推奨されるセキュリティ コントロールに無意味に優先順位を付けます。

セキュリティと生産性のバランスを取る

セキュリティ戦略のすべての要素と同様に、特権アクセスは生産性とセキュリティの両方の目標を確実に達成する必要があります。

セキュリティのバランスを取ることで、組織のリスクを生み出す極端な問題を回避できます。

  • ユーザーがセキュリティで保護されたポリシー、経路、およびシステムの外に出る原因となる過度に厳格なセキュリティを回避します。
  • 敵対者が組織を容易に侵害できるようにすることで、生産性を損なう脆弱なセキュリティを回避します。

セキュリティ戦略の詳細については、セキュリティ戦略の定義に関 する記事を参照してください。

セキュリティ制御によるビジネスへの悪影響を最小限に抑えるには、ユーザー ワークフローを改善する目に見えないセキュリティ制御に優先順位を付けるか、少なくともユーザー ワークフローを妨げない、または変更しないようにする必要があります。 セキュリティに依存するロールには、セキュリティ保証を提供するために毎日のワークフローを変更する目に見えるセキュリティ対策が必要な場合がありますが、この実装は、使いやすさへの影響とスコープを可能な限り制限するために慎重に行う必要があります。

この戦略は、このガイダンスに従って 3 つのプロファイルを定義します (詳細については、「Keep it Simple - Personas and Profiles」を参照してください)。

Productivity and security ramped up by privilege levels

組織内の強力なパートナーシップ

成功するには、組織内でパートナーシップを構築するためにセキュリティが機能する必要があります。 "全員ほど賢い人はいない" という不朽の事実に加えて、セキュリティの性質は、他のユーザーのリソースを保護するためのサポート機能になることです。 セキュリティは、保護に役立つリソース (収益性、稼働時間、パフォーマンスなど) に対して責任を負いません。セキュリティは、組織にとって重要な知的財産とビジネス機能を保護するのに役立つ 専門家のアドバイスとサービスを提供するサポート機能 です。

セキュリティは、ビジネス目標とミッション目標をサポートする パートナーとして常に機能 する必要があります。 セキュリティは、高リスクを受け入れることを推奨するような直接的なアドバイスを敬遠する必要はありませんが、セキュリティは、リソース所有者が管理する他のリスクや機会に対するビジネス リスクの観点から、そのアドバイスを常に組み込む必要があります。

セキュリティの一部は主にセキュリティ組織内で計画され、正常に実行できますが、特権アクセスのセキュリティ保護など、多くの場合、IT 組織やビジネス組織と緊密に連携して保護するロールを理解し、ワークフローを更新および再設計して、セキュリティで保護され、ユーザーが仕事を行えるように支援する必要があります。 このアイデアの詳細については、セキュリティ戦略のガイダンス記事の 「変換、考え方、および期待」 セクションを参照してください。

攻撃者の投資収益率を中断する

防御手段が攻撃の攻撃者の価値の提案を意味のあるものにし、攻撃者の攻撃に成功する能力に対するコストと摩擦を高めることによって、プラグマティズムに焦点を当て続けます。 防御手段が敵対者の攻撃コストにどのような影響を与えるかを評価すると、攻撃者の視点に焦点を当てる健全なリマインダーと、さまざまな軽減オプションの有効性を比較するための構造化されたメカニズムの両方が提供されます。

目標は、攻撃者のコストを増やしながら、独自のセキュリティ投資レベルを最小限に抑えることです。

Increase attack cost with minimal defense cost

特権アクセス セッションの要素全体で攻撃のコストを増やすことで、攻撃者の投資収益率 (ROI) を中断します。 この概念については、 特権アクセス戦略の成功基準に関する記事で詳しく説明されています。

大事な

特権アクセス戦略は包括的で、多層防御を提供する必要がありますが、防御者が意味のあるセキュリティ値を追加した時点を過ぎた、より同じ (使い慣れた) 型制御 (多くの場合、ネットワーク ファイアウォール/フィルター) を単純に積み重ねる、経費の詳細な誤りを回避する必要があります。

攻撃者の ROI の詳細については、短いビデオと詳細 な説明を参照してください。

クリーン ソースの原則

クリーン ソースの原則では、セキュリティで保護されているオブジェクトと同じくらい信頼できるすべてのセキュリティ依存関係が必要です。

Clean source principle

オブジェクトの制御対象は、そのオブジェクトのセキュリティ依存関係です。 敵対者がターゲット オブジェクトの制御で何かを制御できる場合は、そのターゲット オブジェクトを制御できます。 この脅威のため、すべてのセキュリティ依存関係の保証がオブジェクト自体の目的のセキュリティ レベル以上であることを確認する必要があります。 この原則は、さまざまな種類の制御リレーションシップに適用されます。

If an attacker controls any part of the target they control the target

原則として単純ですが、この概念は、ほとんどの企業が数十年にわたって有機的に成長し、相互に構築され、相互にループバックする何千もの制御関係が再帰的に持たれるので、現実世界では簡単に複雑になります。 この制御関係の Web には、攻撃者が攻撃中に検出して移動できる多くのアクセス パスが用意されています。多くの場合、自動化されたツールを使用します。

Microsoft の推奨される特権アクセス戦略は、実際には、宛先へのアクセスを許可する前にソースがクリーンであることを明示的に検証することによって、最初にゼロ トラストアプローチを使用して、この結び目の最も重要な部分をアンタングルする計画です。

いずれの場合も、ソースの信頼レベルは宛先と同じかそれよりも高い必要があります。

  • この原則の唯一の注目すべき例外は、アンマネージド個人用デバイスとパートナー デバイスをエンタープライズ シナリオに使用できるようにすることです。 この例外により、エンタープライズコラボレーションと柔軟性が可能になり、エンタープライズ資産の相対的価値が低いため、ほとんどの組織で許容できるレベルに軽減できます。 BYOD セキュリティの詳細については、ブログ記事「 BYOD ポリシーを使用してパブリック セクターのセキュリティ リスクを軽減する方法」を参照してください。
  • ただし、これらの資産のセキュリティの機密性のため、この例外を特殊なセキュリティ レベルと特権セキュリティ レベルに拡張することはできません。 PIM/PAM ベンダーの中には、ソリューションが下位レベルのデバイスからのデバイス リスクを軽減できると主張している場合もありますが、インシデントの調査経験に基づいて、これらのアサーションには尊重して同意しません。 組織内の資産所有者は、エンタープライズ セキュリティ レベルのデバイスを使用して特殊なリソースまたは特権リソースにアクセスするリスクを受け入れることを選択できますが、Microsoft はこの構成をお勧めしません。 詳細については、Privileged Access Management/Privileged Identity 管理の中間ガイダンスを参照してください。

特権アクセス戦略では、主にインターフェイスと中間の受信セッションに条件付きアクセスを使用してゼロ トラスト ポリシーを適用することで、この原則を達成します。 クリーン ソースの原則は、オペレーティング システムのバージョン、セキュリティ ベースライン構成、展開にWindows Autopilot を使用するなどのその他の要件など、セキュリティ仕様に基づいて構築された OEM から新しいデバイスを取得することから始まります。

必要に応じて、クリーン ソースの原則は、オペレーティング システムとアプリケーションのインストール メディアを含め、サプライ チェーン内の各コンポーネントの非常に厳密なレビューに拡張できます。 この原則は高度な攻撃者に直面している組織に適していますが、このガイダンスの他のコントロールよりも優先順位を低くする必要があります。

次の手順