フェーズ 2: 損害範囲を制限する

このフェーズでは、攻撃者がデータやシステムに損害を与える可能性がある大規模なアクセス範囲を取得できないように、特権ロールを保護します。

特権アクセス方式

特権アクセス侵害のリスクを軽減するためには、包括的な戦略を実装する必要があります。

他のすべてのセキュリティ制御は、環境内で特権アクセス権を持つ攻撃者によって簡単に無効化される可能性があります。 ランサムウェアの攻撃者は、特権アクセスをクイック パスとして使用して、攻撃とその後の強要のために組織内のすべての重要な資産を制御します。

プログラムとプロジェクト メンバーのアカウンタビリティ

次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアに対する特権アクセス戦略について説明します。

Lead 実装者 アカウンタビリティ
CISO または CIO エグゼクティブ スポンサー
プログラム リーダー 結果とチーム間のコラボレーションを推進する
IT およびセキュリティ アーキテクト アーキテクチャに統合するコンポーネントに優先順位を付ける
ID とキーの管理 ID の変更を実装する
中央 IT 生産性またはエンド ユーザー チーム デバイスと Office 365 テナントへの変更を実装する
セキュリティ ポリシーと基準 標準とポリシーのドキュメントを更新する
セキュリティ コンプライアンス管理 コンプライアンスを確保するために監視する
ユーザー教育チーム パスワードのガイダンスを更新する

実装のチェックリスト

このチェックリストを含む https://aka.ms/SPA のガイダンスを使用してマルチパート戦略を構築します。

完了 タスク 説明
エンドツーエンド セッション セキュリティを適用する。 ( Azure Active Directory 条件付きアクセスを使用して) 管理インターフェイスへのアクセスを許可する前に、ユーザーとデバイスの信頼を明示的に検証します。
ID システムを保護および監視する。 ディレクトリ、ID 管理、管理者アカウントとグループ、同意付与の構成などの特権エスカレーション攻撃を防ぎます。
ラテラル トラバーサルを軽減する。 1 つのデバイスを侵害しても、ローカル アカウントのパスワード、サービス アカウントのパスワード、またはその他のシークレットを使用して、他の多数またはすべてのデバイスをすぐに制御できないようにします。
迅速な脅威対応を確保する。 環境内での敵対者のアクセスと時間を制限します。 詳細については、「検出と応答」を参照してください。

実装の結果とタイムライン

30 日から 90 日間で次の結果を達成するよう努めてください。

  • セキュリティで保護されたワークステーションを使用するには、管理者の 100% が必要です
  • 100% のローカル ワークステーション/サーバー パスワードがランダム化されます
  • 100% の特権エスカレーションの軽減策がデプロイされます

検出と対応

組織には、エンドポイント、電子メール、ID への一般的な攻撃に対する応答性の高い検出と修復が必要です。 即応性が重要になります。 攻撃者が組織のラテラル トラバースを実行する時間を制限するには、一般的な攻撃エントリ ポイントを迅速に修復する必要があります。

プログラムとプロジェクト メンバーのアカウンタビリティ

次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアに対する検出と対応機能の向上について説明します。

Lead 実装者 アカウンタビリティ
CISO または CIO エグゼクティブ スポンサー
セキュリティ運用のプログラム リーダー 結果とチーム間のコラボレーションを推進する
中央 IT インフラストラクチャ チーム クライアントとサーバーのエージェントまたは機能を実装する
セキュリティ運用 新しいツールをセキュリティ運用プロセスに統合する
中央 IT 生産性またはエンド ユーザー チーム Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps の機能を有効にする
中央 IT ID チーム Azure AD セキュリティと Defender for Identity を実装する
セキュリティ アーキテクト 構成、基準、ツールに関してアドバイスする
セキュリティ ポリシーと基準 標準とポリシーのドキュメントを更新する
セキュリティ コンプライアンス管理 コンプライアンスを確保するために監視する

実装のチェックリスト

これらのベスト プラクティスを適用して、検出と対応を向上させます。

完了 タスク 説明
一般的なエントリ ポイントに優先順位を付ける。

- Microsoft 365 Defender などの統合された Extended Detection and Response (XDR) ツールを使用して、高品質のアラートを提供し、応答中の摩擦と手動の手順を最小限に抑える。

- パスワード スプレーなどのブルート フォースの試行を監視する。
ランサムウェア (およびその他) のオペレーターは、エンドポイント、電子メール、ID、RDP をエントリ ポイントとして好みます。
敵対者が次のようにセキュリティを無効にしていないか監視する (これは多くの場合、攻撃チェーンの一部です)。

- イベント ログのクリア (特にセキュリティ イベント ログと PowerShell の操作ログ)。

- セキュリティ ツールとコントロールの無効化。
攻撃者は、セキュリティ検出機能を標的にして、攻撃をより安全に続行します。
市販のマルウェアを無視しない。 ランサムウェア攻撃者は、ターゲット組織へのアクセス権をダーク マーケットから定期的に購入しています。
Microsoft Detection and Response Team (DART) など、外部の専門家をプロセスに統合して専門知識を補完する。 検出と復旧には経験が重視されます。
Defender for Endpoint を使用して、侵害されたコンピューターを迅速に分離する。 Windows 11 と 10 の統合により、これは簡単になります。

次のステップ

Phase 3. Make it hard to get in

フェーズ 3 に進み、リスクを段階的に取り除くことによって、攻撃者が環境に侵入するのを困難にします。

その他のランサムウェア リソース

Microsoft からの重要な情報:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Microsoft セキュリティ チームのブログ記事: