ゼロ トラストの原則を使用した開発

この記事は、アプリケーションのセキュリティを向上させるために、開発者がゼロ トラストの基本原則を理解するのに役立ちます。 組織のセキュリティにおける重要な役割が果たされていても、アプリケーションとその開発者は、ネットワーク境界が安全であるとは見なせなくなりました。 侵害されたアプリケーションは、組織全体に影響を与える可能性があります。

組織は、複雑な最新の環境に適応し、モバイル従業員を受け入れる新しいセキュリティ モデルを展開しています。 新しいモデルは、場所を問わず、人、デバイス、アプリケーション、データを保護するように設計されています。 組織は、次の基本原則に従ってアプリケーションを設計および実装するためのセキュリティ戦略とアプローチであるゼロ トラストの実現に努めています。

• 明示的に検証する
• 最小限の特権アクセスを使用する
• 侵害を想定する

会社のファイアウォールの内側にあるものはすべて安全であると考えるのではなく、ゼロ トラスト モデルでは、侵害を想定し、各要求が制御されていないネットワークから送信されたかのように検証します。 要求の送信元またはアクセス先のリソースにかかわらず、ゼロ トラスト モデルでは、"決して信頼せず、常に確認する" ことが求められます。

ゼロ トラストはセキュリティの基礎に代わるものではないことを理解してください。 任意のデバイスでどこからでも作業を行う場合は、開発サイクル全体を通してゼロ トラスト原則を組み込むようにアプリケーションを設計してください。

ゼロ トラストの視点で開発する理由

• サイバーセキュリティ攻撃の精巧さのレベルが上がっています。
• "どこからでも作業する" 従業員により、セキュリティ境界は再定義されています。 データは企業ネットワークの外部からアクセスされ、パートナーやベンダーなどの外部のコラボレーターと共有されています。
• 企業のアプリケーションとデータは、オンプレミスからハイブリッド環境やクラウド環境に移行しています。 従来のネットワーク制御は、セキュリティに関して頼りにできなくなりました。 制御は、デバイス上やアプリ内といった、データがある場所に移る必要があります。

このセクションの開発ガイダンスは、セキュリティを強化し、セキュリティ インシデントの被害範囲を減らし、マイクロソフト テクノロジを使用して迅速に復旧するのに役立ちます。

次のステップ

「ゼロ トラストの原則を使用した開発」の RSS フィードにサブスクライブして、新しい記事を通知してください。

開発者ガイドの概要

• 「ゼロ トラスト コンプライアンスとはどういう意味か?」では、ゼロ トラストの基本原則を取り扱うために、開発者の観点からアプリケーション セキュリティの概要について説明しています。
• 「ゼロ トラスト ID およびアクセス管理の開発のベスト プラクティス」をアプリケーション開発ライフサイクルで使用して、セキュリティで保護されたアプリケーションを作成します。
• 「標準ベースの開発手法の使用」では、サポートされている標準 (OAuth 2.0、OpenID Connect、SAML、WS-Federation、SCIM) の概要と、MSAL および Microsoft ID プラットフォームでその標準を使用する利点について説明しています。
• 「アプリケーションの登録、認証、アクセスに関する開発者と管理者の責任」は、IT 担当者との共同作業を向上させるのに役立ちます。

アクセス許可とアクセス権

• 「アクセス許可と同意によって ID をセキュリティで保護するアプリの構築」には、アクセス許可とアクセスのベスト プラクティスの概要があります。
• アプリケーションと Microsoft Entra ID とMicrosoft ID プラットフォームを統合すると、開発者は、Microsoft Entra ID とMicrosoft ID プラットフォームを使用してアプリを安全に統合することで、IT 担当者が企業内でセキュリティで保護できるアプリを構築および統合できます。
• 「アプリケーションの登録」では、 開発者向けにアプリケーションの登録プロセスとその要件を紹介しています。 これは、アプリが最低特権アクセスを使用するゼロ トラスト原則を確実に満たし、違反を想定するのに役立ちます。
• 「シングルテナント アプリとマルチテナント アプリのサポートされている ID とアカウントのタイプ」では、Microsoft Entra テナントのユーザー、Microsoft Entra テナント、または個人用 Microsoft アカウントを持つユーザーのみをアプリで許可するかどうかを選択する方法について説明しています。
• ゼロ トラストのためのユーザー認証は、開発者がゼロ トラスト アプリケーション開発におけるアプリケーション ユーザー認証のベスト プラクティスを学ぶのに役立ちます。 これは、最小権限のゼロ トラスト原則を使用してアプリケーションのセキュリティを強化し、明示的に検証する方法について説明しています。
• リソースにアクセスするための承認を取得すると、アプリケーションのリソース アクセス許可を取得するときにゼロ トラストを確実に行う方法を理解するのに役立ちます。
• 委任されたアクセス許可戦略の開発は、アプリケーションでアクセス許可を管理するための最適なアプローチを実装し、ゼロ トラスト原則を使用して開発するのに役立ちます。
• アプリケーションのアクセス許可戦略の開発は、資格情報管理に対するアプリケーションのアクセス許可アプローチを決定するのに役立ちます。
• 「管理者の同意を必要とするアクセス許可の要求」では、アプリケーションのアクセス許可に管理者の同意が必要な場合のアクセス許可および同意エクスペリエンスについて説明しています。
• 「権限が過剰なアクセス許可とアプリの削減」は、アプリケーションが必要以上のアクセス許可を要求すべきではない理由 (権限が過剰) と、アクセスを管理してセキュリティを強化するために権限を制限する方法を理解するのに役立ちます。
• ユーザーがいないときにアプリケーション ID 認証情報を指定すると、Azure 上のサービス (ユーザー以外のアプリケーション) に最適なゼロ トラストクライアント認証情報プラクティスが Azure リソース用マネージド ID である理由が説明されます。
• 「ゼロ トラストのトークンの管理」は、Microsoft ID プラットフォームから受け取ることができる ID トークン、アクセス トークン、およびセキュリティ トークンを使用して、開発者がアプリケーションにセキュリティを組み込むのに役立ちます。
• トークンのカスタマイズでは、 Microsoft Entra トークンで受け取ることができる情報と、トークンをカスタマイズする方法について説明します。
• 「継続的アクセス評価によるアプリケーションのセキュリティ保護」は、開発者が継続的アクセス評価を使用してアプリケーションのセキュリティを向上させるのに役立ちます。 Microsoft Entra ID からアクセス トークンを取得するときに、リソースへのアクセスの承認を受けるアプリでゼロ トラスト サポートを確保する方法について説明しています。
• 「トークンでのグループ要求とアプリ ロールの構成」では、アプリ ロールの定義を使用してアプリを構成し、セキュリティ グループを割り当てる方法を示しています。
• API 保護では、登録を通じて API を保護し、アクセス許可と同意を定義し、ゼロ トラストの目標を達成するためのアクセスを強制するためのベスト プラクティスについて説明します。
• Microsoft ID 同意フレームワーク によって保護される API の例では、最適なユーザー エクスペリエンスを実現するための最小特権アプリケーション アクセス許可戦略を設計する方法を説明します。
• 「別の API からの API の呼び出し」は、別の API を呼び出す必要がある API がある場合にゼロ トラストを確保するのに役立ちます。 ユーザーに代わってアプリケーションが動作する場合の、アプリケーションを安全に開発する方法について説明しています。
• 承認のベスト プラクティスは、アプリケーションに最適な承認、アクセス許可、および同意モデルを実装するのに役立ちます。

ゼロ トラスト DevSecOps

• 「ゼロ トラストでの DevOps 環境のセキュリティ保護」では、ハッカーが開発者ボックスを侵害し、リリース パイプラインを悪意のあるスクリプトに感染させ、テスト環境を介して運用データにアクセスするのを防ぐためのゼロ トラストアプローチで DevOps 環境をセキュリティで保護するためのベスト プラクティスについて説明しています。
• DevOps プラットフォーム環境のセキュリティ保護は、DevOps プラットフォーム環境にゼロ トラスト原則を実装する方法と、シークレットと証明書の管理のためのベスト プラクティスを説明します。
• 開発環境のセキュリティ保護は、最小特権、ブランチ セキュリティ、信頼ツール、拡張機能、統合に関するベスト プラクティスに基づいて、開発環境にゼロ トラスト原則を実装する方法を説明します。
• 開発者ワークフローにゼロ トラストセキュリティを埋め込むは、開発者が迅速かつ安全にイノベーションを推進するためのヒントを提供します。

ゼロ トラストに関するその他のドキュメント

ドキュメント セットまたは組織内での役割に基づいて、追加のゼロ トラスト コンテンツを使用します。

ドキュメント セット

ニーズに最適なゼロ トラスト ドキュメント セットについては、次の表を参照してください。

ドキュメント セット	役立つ場合	ロール
主要なビジネス ソリューションと成果に関するフェーズとステップのガイダンスを提供する採用フレームワーク	経営幹部から IT 実装に至るまでゼロ トラスト保護を適用する。	セキュリティ アーキテクト、IT チーム、プロジェクト マネージャー
テクノロジ領域の一般的な展開ガイダンスに関する概念と展開の目標	テクノロジ領域に合わせてゼロ トラスト保護を適用する。	IT チームとセキュリティ スタッフ
中小企業向けのゼロ トラスト	ゼロ トラストの原則を中小企業のお客様に適用する。	Microsoft 365 for business を使うお客様とパートナー
簡単に達成できるプロジェクト マネジメントのガイダンスとチェックリストに関するゼロ トラストの迅速な近代化計画 (RaMP)	ゼロ トラスト保護の主要レイヤーを迅速に実装する。	セキュリティ アーキテクトと IT 実装者
段階的かつ詳細な設計と展開のガイダンスに関する Microsoft 365 を使用したゼロ トラスト展開プラン	Microsoft 365 テナントにゼロ トラスト保護を適用する。	IT チームとセキュリティ スタッフ
設計とデプロイに関する段階的かつ詳細なガイダンスを提供する Microsoft Copilots のゼロ トラスト	Microsoft Copilots にゼロ トラスト保護を適用する。	IT チームとセキュリティ スタッフ
段階的かつ詳細な設計と展開のガイダンスに関する Azure サービス向けゼロ トラスト	Azure のワークロードとサービスにゼロ トラスト保護を適用する。	IT チームとセキュリティ スタッフ
テクノロジ領域と専門分野に対応する設計ガイダンスに関するパートナーとゼロ トラストの統合	パートナーの Microsoft クラウド ソリューションにゼロ トラスト保護を適用する。	パートナー開発者、IT チーム、セキュリティ スタッフ

自分のロール

組織内の役割に最適なドキュメント セットについては、次の表を参照してください。

Role	ドキュメント セット	役立つ場合
セキュリティ アーキテクト IT プロジェクト マネージャー ITの実装ツール	主要なビジネス ソリューションと成果に関するフェーズとステップのガイダンスを提供する採用フレームワーク	経営幹部から IT 実装に至るまでゼロ トラスト保護を適用する。
IT またはセキュリティ チームのメンバー	テクノロジ領域の一般的な展開ガイダンスに関する概念と展開の目標	テクノロジ領域に合わせてゼロ トラスト保護を適用する。
Microsoft 365 for business のお客様またはパートナー	中小企業向けのゼロ トラスト	ゼロ トラストの原則を中小企業のお客様に適用する。
セキュリティ アーキテクト ITの実装ツール	簡単に達成できるプロジェクト マネジメントのガイダンスとチェックリストに関するゼロ トラストの迅速な近代化計画 (RaMP)	ゼロ トラスト保護の主要レイヤーを迅速に実装する。
Microsoft 365 の IT またはセキュリティ チームのメンバー	Microsoft 365 の段階的かつ詳細な設計と展開のガイダンスに関する Microsoft 365 を使用したゼロ トラスト展開プラン	Microsoft 365 テナントにゼロ トラスト保護を適用する。
Microsoft Copilots の IT またはセキュリティ チームのメンバー	設計とデプロイに関する段階的かつ詳細なガイダンスを提供する Microsoft Copilots のゼロ トラスト	Microsoft Copilots にゼロ トラスト保護を適用する。
Azure サービスの IT チームまたはセキュリティ チームのメンバー	段階的かつ詳細な設計と展開のガイダンスに関する Azure サービス向けゼロ トラスト	Azure のワークロードとサービスにゼロ トラスト保護を適用する。
パートナー開発者、または IT チームまたはセキュリティ チームのメンバー	テクノロジ領域と専門分野に対応する設計ガイダンスに関するパートナーとゼロ トラストの統合	パートナーの Microsoft クラウド ソリューションにゼロ トラスト保護を適用する。