編集

次の方法で共有


セキュリティ運用における Microsoft Entra IDaaS

Microsoft Entra ID
Microsoft Sentinel

このアーキテクチャでは、セキュリティ オペレーション センター (SOC) のチームが、Microsoft Entra の ID とアクセス機能を、階層化された統合 "ゼロトラスト" セキュリティ戦略全体に組み込む方法について説明します。

すべてのサービスとデバイスが組織のマネージド ネットワークに含まれていたとき、SOC オペレーションを支配していたのがネットワーク セキュリティです。 しかし、Gartner の予測では、2022 年まで、クラウド サービスの市場規模は、IT サービス全体の市場規模の約 3 倍のスピードで拡大します。 クラウド コンピューティングを採用する企業が増えるにつれ、ユーザー ID を主要なセキュリティ境界として扱う動きが進みます。

クラウドで ID を保護することは最優先事項です。

ゼロ トラスト セキュリティ モデルは、すべてのホストをインターネットに接続しているかのように扱い、ネットワーク全体が侵害され、敵対的である可能性があると見なします。 このアプローチは、強力な認証 (AuthN)、承認、および暗号化の構築に重点を置きながら、区分アクセスと優れた運用上の機敏性も提供します。

Gartner が推進するのはアダプティブ セキュリティ アーキテクチャです。これにより、インシデント対応ベースの戦略が "防止、検出、対応、予測" モデルに置き換えられます。 アダプティブ セキュリティでは、継続的監視と分析により、検出アクセスの制御、行動の監視、使用状況の管理、および検出が組み合わされます。

Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA) では、Microsoft のサイバーセキュリティ機能と、その機能が既存のセキュリティ アーキテクチャ (Microsoft Entra ID をIdentity-as-a-Service (IDaaS) に使用するクラウド環境やハイブリッド環境など) とどのように統合されているかが説明されています。

この記事では、Microsoft Entra プラットフォームで使用できるコンポーネントに焦点を当てながら、IDaaS へのゼロトラスト アダプティブ セキュリティ アプローチを進めていきます。

考えられるユース ケース

  • セキュリティ ソリューションの設計
  • 既存の実装の強化または統合
  • SOC チームの教育

Architecture

Microsoft Entra 関連のセキュリティ機能

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

  1. "資格情報の管理" によって認証を管理します。
  2. "プロビジョニング" と "エンタイトルメント管理" によってアクセス パッケージを定義し、ユーザーをリソースに割り当て、"構成証明" のためにデータをプッシュします。
  3. "承認エンジン" によって "アクセス ポリシー" が評価され、アクセスが決定されます。 このエンジンは、"ユーザー/エンティティ行動分析 (UEBA) " データを含む "リスク検出" の評価、および "エンドポイント管理" のデバイス コンプライアンス チェックも行います。
  4. 承認された場合、ユーザーまたはデバイスは、"条件付きアクセス ポリシーと制御" に従ってアクセス権を取得します。
  5. 承認に失敗した場合、ユーザーは "リアルタイム修復" を実行して、自身のブロックを解除できます。
  6. すべてのセッション データが、分析とレポートのために "ログに記録" されます。
  7. SOC チームのセキュリティ情報とイベント管理 (SIEM: security information and event management) システムが、クラウドおよびオンプレミスの ID からすべてのログ、リスク検出、および UEBA データを受信します。

コンポーネント

この Microsoft Entra IDaaS アーキテクチャでは、次のセキュリティ プロセスとコンポーネントが利用されます。

資格情報の管理

資格情報の管理には、リソースまたはサービスへのアクセスを発行、追跡、および更新するサービス、ポリシー、慣例が含まれています。 Microsoft Entra の資格情報の管理に含まれる機能を次に示します。

  • セルフサービス パスワード リセット (SSPR) を使用すると、紛失した、忘れた、またはセキュリティ侵害を受けたパスワードをユーザーが自分でリセットきます。 SSPR により、ヘルプデスクへの問い合わせ件数が減るだけでなく、ユーザーの柔軟性とセキュリティが向上します。

  • パスワード ライトバックは、クラウドで変更されたパスワードを、オンプレミスのディレクトリとリアルタイムで同期します。

  • 禁止されたパスワードは、一般的に使用されている弱いパスワードやセキュリティ侵害を受けたパスワードを公開しているテレメトリ データを分析し、その使用を Microsoft Entra ID 全体で禁止します。 この機能をご自身の環境に合わせてカスタマイズし、カスタム パスワードの一覧を追加して、その一覧のパスワードを組織内で禁止できます。

  • スマート ロックアウトは、正当な認証試行と、不正アクセスを試みるブルートフォース攻撃を比較します。 既定のスマート ロックアウト ポリシーでは、サインイン試行に 10 回失敗すると、アカウントが 1 分間ロックアウトされます。 サインイン試行が失敗し続けると、アカウントのロックアウト時間が長くなります。 ポリシーを使用すると、セキュリティと使いやすさの適切な組み合わせの設定を、ご自身の組織に合わせて調整できます。

  • 多要素認証 では、ユーザーが保護されたリソースにアクセスしようとすると、複数の形式の認証が必要になります。 ユーザーのほとんどが、パスワードのように、何か自分が知っているものを使ってリソースにアクセスすることに慣れています。 MFA では、ユーザーは、自分が所有しているもの (信頼できるデバイスへのアクセスなど) と、自分自身を示すもの (生体認証識別子など) を提示するように求められます。 MFA で使用できるのは、認証アプリを介した通知、テキスト メッセージ、電話など、複数の種類の認証方法です。

  • パスワードレス認証では、認証ワークフローのパスワードが、スマートフォンやハードウェアのトークン、生体認証識別子、または PIN に置き換えられます。 Microsoft パスワードレス認証は、Windows Hello for Business などの Azure リソース、およびモバイル デバイスの Microsoft Authenticator アプリと連携します。 WebAuthn および FIDO Alliance の Client-to-Authenticator (CTAP) プロトコルが使用される FIDO2 対応セキュリティ キーでパスワードレス認証を有効にすることもできます。

アプリのプロビジョニングとエンタイトルメント

  • エンタイトルメント管理は、組織が ID とアクセスのライフサイクルを大規模に管理できるようにする Microsoft Entra の ID ガバナンス機能です。 エンタイトルメント管理により、アクセス要求ワークフロー、アクセス割り当て、レビュー、および有効期限が自動的に管理されます。

  • Microsoft Entra のプロビジョニングを使用すると、ユーザーがアクセスする必要のあるアプリケーションのユーザー ID とロールを、自動的に作成できます。 SuccessFactorsWorkday など、その他にも多くのサードパーティ製 "サービスとしてのソフトウェア (SaaS)" アプリに対して、Microsoft Entra プロビジョニングを構成できます。

  • シームレスなシングル サインオン (SSO) では、ユーザーが会社のデバイスにサインインした時点で、クラウド ベースのアプリケーションに対して自動的に認証されます。 Microsoft Entra シームレス SSO は、パスワード ハッシュ同期またはパススルー認証のいずれかで使用できます。

  • Microsoft Entra アクセス レビューを使用した構成証明は、監視と監査の要件を満たすうえで役立ちます。 アクセス レビューを使用すると、管理者ユーザーの数をすばやく特定する、必要なリソースに新しい従業員が確実にアクセスできるようにする、ユーザーのアクティビティを確認して、まだアクセスが必要かどうかを判断する、といった作業を行うことができます。

条件付きアクセス ポリシーと制御

条件付きアクセス ポリシーとは、割り当てとアクセス制御の if then ステートメントです。 ポリシーをトリガーする理由 ("if this") に対して応答 ("do this") を定義することで、"承認エンジン" が組織のポリシーを適用することを決定できるようにします。 Microsoft Entra の条件付きアクセスを使用すると、ご自身のアプリに対する承認済みユーザーのアクセス方法を制御できます。 Microsoft Entra ID の What If ツールは、条件付きアクセス ポリシーが適用された理由や適用されなかった理由、または、あるポリシーが特定の状況でユーザーに適用されるかどうかを把握するうえで役立ちます。

条件付きアクセス制御は、条件付きアクセス ポリシーと連携して、組織のポリシーを適用するのをサポートします。 Microsoft Entra の条件付きアクセス制御を使用すると、汎用的なアプローチではなく、アクセス要求時に検出された要因に基づいてセキュリティを実装できます。 条件付きアクセス制御とアクセス条件を組み合わせることで、追加のセキュリティ制御を作成する必要性が減ります。 一般的な例としては、たとえば、ドメインに参加しているデバイスのユーザーには SSO を使ってリソースにアクセスできるようにして、ネットワークに接続されていないユーザーや自分のデバイスを使っているユーザーには MFA を要求することができます。

Microsoft Entra ID では、次の条件付きアクセス制御を、条件付きアクセス ポリシーと合わせて使用できます。

リスク検出

Azure Identity Protection には、組織が不審なユーザー アクションへの応答を管理する際に利用できるポリシーがいくつか含まれています。 "ユーザー リスク" は、ユーザー ID がセキュリティ侵害を受けている確率です。 "サインイン リスク" は、ユーザーからサインイン要求が送信されない確率です。 Microsoft Entra ID では、行動分析に基づいて、実際のユーザーからサインイン要求の確率に基づくサインイン リスク スコアが計算されます。

  • Microsoft Entra のリスク検出は、アダプティブ機械学習アルゴリズムとヒューリスティックを使用して、ユーザー アカウントに関連する不審なアクションを検出します。 検出された疑わしいアクションはそれぞれ、リスク検出と呼ばれるレコードに格納されます。 Microsoft Entra ID は、このデータを使用してユーザー リスクとサインイン リスクの確率を計算します。これは、Microsoft の内部および外部の脅威インテリジェンス ソースとシグナルによって強化されます。

  • Microsoft Graph の Identity Protection Risk Detection API を使用すると、危険なユーザーとサインインに関する情報を公開できます。

  • リアルタイム修復を使用すると、ユーザーが SSPR と MFA を使用して自身のブロックを解除し、一部のリスク検出を自己修復できます。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの設計レビュー チェックリスト」を参照してください。

ログ機能

Microsoft Entra の監査レポートは、監査ログ、サインイン ログ、危険なサインインおよび危険なユーザーのレポートによって Azure アクティビティの追跡可能性を提供します。 ログ データは、サービス、カテゴリ、アクティビティ、状態など、複数のパラメーターに基づいてフィルター処理および検索できます。

Microsoft Entra ID ログ データは、次のようなエンドポイントにルーティングできます。

Microsoft Graph Reporting API を使用して、独自のスクリプト内で Microsoft Entra ID ログ データを取得し、使用することもできます。

オンプレミスとハイブリッドの考慮事項

ハイブリッド シナリオで組織の ID を保護する鍵となるのが認証方法です。 Microsoft は、Microsoft Entra ID でのハイブリッド認証方法の選択に関する固有のガイダンスを提供しています。

Microsoft Defender for Identity は、オンプレミスの Active Directory シグナルを使用して、高度な脅威、セキュリティ侵害された ID、および悪意のある内部関係者による操作を特定、検出、調査できます。 Defender for Identity は、UEBA を使用して内部関係者による脅威を特定し、リスクにフラグを設定します。 ID がセキュリティ侵害を受けても、Defender for Identity を使用すれば、異常なユーザーの行動に基づいてセキュリティ侵害を特定できます。

Defender for Identity は、保護をクラウド アプリに拡張するために、Defender for Cloud Apps と統合されています。 Defender for Cloud Apps を使用すると、ダウンロード時にファイルを保護するセッション ポリシーを作成できます。 たとえば、特定の種類のユーザーがダウンロードするすべてのファイルに、表示限定のアクセス許可を自動的に設定できます。

Microsoft Defender for Cloud Apps を使用してリアルタイムで監視を行うように、オンプレミス アプリケーションを Microsoft Entra ID で構成できます。 Defender for Cloud Apps は、アプリの条件付きアクセス制御を使用して、条件付きアクセス ポリシーに基づいてセッションをリアルタイムで監視および制御します。 これらのポリシーは、Microsoft Entra ID でアプリケーション プロキシが使用されているオンプレミス アプリケーションに適用できます。

Microsoft Entra アプリケーション プロキシを使用すると、ユーザーがリモート クライアントからオンプレミス Web アプリケーションにアクセスできます。 アプリケーション プロキシにより、アプリケーションのすべてのサインイン アクティビティを 1 か所で監視できます。

Defender for Identity を Microsoft Entra ID Protection と共に使用すると、Microsoft Entra Connect によって Azure と同期されているユーザー ID の保護に役立ちます。

一部のアプリが既に既存の配信コントローラーまたはネットワーク コントローラーを使用して、オフネットワークアクセスを提供している場合は、それを Microsoft Entra ID と統合できます。 AkamaiCitrixF5 NetworksZscaler などの複数のパートナーが、Microsoft Entra ID との統合のソリューションとガイダンスを提供しています。

コストの最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳細については、「コスト最適化の設計レビュー チェックリスト」を参照してください。

Microsoft Entra の価格は、Free (SSO、MFA などの機能) から Premium P2 (PIM、エンタイトルメント管理などの機能) までさまざまです。 価格の詳細については、Microsoft Entra の価格に関するページを参照してください。

次のステップ