IT 環境に脅威をマップする

この記事では、組織の主要な IT 環境を図に示し、脅威マップを作成する方法について説明します。 これらの図は、堅牢な防御セキュリティ層を計画および構築するための貴重なツールです。 適切な保護を提供するために必要なセキュリティ サービスを特定するには、IT 環境とそのアーキテクチャを理解することが重要です。

コンピューター システムには、そのシステムを構築した組織だけでなく、悪意のあるアクターにとっても価値のある情報が保存されています。 これらのアクターは、個人またはグループを問わず、企業のコンピューター、デバイス、システム、ネットワークを侵害したり損傷したりすることを目的とした有害な活動を行います。 多くの場合、マルウェアやブルート フォース攻撃などの脅威を使用して機密データを盗んだり、破損したりすることが目的です。

この記事では、IT 環境に対する脅威をマッピングする方法について説明します。これにより、セキュリティ戦略の一環として Microsoft セキュリティ サービスの実装を計画できます。 この記事は、前の記事で紹介した 5 回シリーズの第 2 回です。 「Azure 監視を使用してセキュリティ コンポーネントを統合する」を参照してください。

幸い、脅威マップを一から作成する必要はありません。 MITRE ATT&CK マトリックスが、その作成に役立つ優れたリソースを提供します。 MITRE ATT&CKは、実際的な戦術と手法に基づいて現実世界の脅威をマッピングするグローバルなナレッジ ベースです。 MITRE Corporation は、既知の脅威をすべて詳細に文書化し、これらの脅威がどのように動作するものであり、どのように防御できるかについての貴重な分析情報を提供します。 この公開リソースは、MITRE ATT&CK® からオンラインで入手できます。

この記事では、これらの脅威のサブセットを使用して、IT 環境に対して脅威をマッピングする方法を説明します。

考えられるユース ケース

脅威には、あらゆる業界に共通しているものがあり、これにはランサムウェア、DDoS 攻撃、クロスサイト スクリプティング、SQL インジェクションなどが含まれます。 その一方で多くの組織は、業界特有の脅威や、過去に遭遇したサイバー攻撃に基づく特定の脅威に直面しています。 この記事の図は、悪意のあるアクターのターゲットとなる可能性が最も高い領域を特定することで、組織に対する脅威のマッピングに役立ちます。 脅威マップを作成すると、環境の安全性向上のために必要な防御レイヤーを計画できるようになります。

この図を調整して、攻撃のさまざまな組み合わせをモデル化し、攻撃を防止および軽減する方法をより深く理解することができます。 MITRE ATT&CK フレームワークは役立つ参考資料ですが、必須ではありません。 Microsoft Sentinel やその他の Microsoft セキュリティ サービスも MITRE と連携して、さまざまな脅威に関する貴重な分析情報を提供します。

一部の組織では、Lockheed Martin の手法である Cyber Kill Chain® を使用して、IT 環境に対して攻撃または一連の攻撃がどのように実行されるかをマップして理解します。 Cyber Kill Chain は、MITRE ATT&CK フレームワークよりも少ない戦術と手法を考慮して脅威と攻撃を整理します。 それでも、脅威とその実行方法を理解するのに効果的です。 この手法の詳細については、「 Cyber Kill Chain」を参照してください。

アーキテクチャ

このアーキテクチャの Visio ファイルをダウンロードします。

©2021 The MITRE Corporation。 本作品は MITRE Corporation の許可を得て再現・配布しています。

組織の IT 環境では、Azure と Microsoft 365 に対してのみコンポーネントを指定します。 特定の IT 環境には、さまざまなテクノロジー プロバイダーのデバイス、アプライアンス、テクノロジーが含まれる場合があります。

Azure 環境の場合、次のテーブルのリストにあるコンポーネントが図に表示されます。

この図は、次のテーブルにリストされているコンポーネントの Microsoft 365 を表しています。

ワークフロー

これらの脅威が IT 環境のどの部分を攻撃する可能性が高いかを理解するために、このアーティクルのアーキテクチャ図は、オンプレミス システム、Microsoft 365 サブスクリプション、Azure サブスクリプションなどを持つ組織の典型的な IT 環境に基づいています。 これらの各レイヤーのリソースは、多くの企業に共通するサービスです。 これらは、Microsoft ゼロトラスト の柱 (ネットワーク、インフラストラクチャ、エンドポイント、アプリ、データ、ID) に従って図に分類されています。 ゼロトラストの詳細については、「ゼロトラストを使用したプロアクティブなセキュリティの受け入れ」を参照してください。

アーキテクチャ図には、次のレイヤーが含まれています:

1. オンプレミス

   この図には、サーバー (VM)、ネットワーク アプライアンス、DNS などの一部の重要なサービスが含まれています。 これには、ほとんどの IT 環境で見つかり、仮想マシンまたは物理サーバーで実行される一般的なアプリが含まれます。 また、さまざまな種類のデータベース (SQLと非SQLの両方) も含まれます。 組織には通常、企業全体でファイルを共有するファイル サーバーがあります。 最後に、広範なインフラストラクチャ コンポーネントである Active Directory ドメイン サービスがユーザー資格情報を処理します。 この図には、オンプレミス環境のすべてのコンポーネントが含まれています。

2. Office 365 環境

   この環境の例には、Word、Excel、PowerPoint、Outlook、OneNote などの従来の Office アプリが含まれています。 ライセンスの種類によっては、OneDrive、Exchange、Sharepoint、Teams など、他のアプリも含まれる場合があります。 この図では、これらは Microsoft 365 (以前の Office 365) アプリのアイコンと、Microsoft Entra ID のアイコンで表されています。 Microsoft 365 アプリへのアクセスを取得するには、ユーザーを認証する必要があり、Microsoft Entra ID は ID プロバイダーとして機能します。 Microsoft 365 は、Azure が使用するのと同じ種類の Microsoft Entra ID に対してユーザーを認証します。 ほとんどの組織では、Microsoft Entra ID テナントは Azure と Microsoft 365 の両方で同じです。

3. Azure 環境

   このレイヤーは、仮想マシン、仮想ネットワーク、サービスとしてのプラットフォーム、Web アプリ、データベース、ストレージ、ID サービスなどの Azure パブリック クラウド サービスを表します。 Azure の詳細については、「Azure のドキュメント」を参照してください。

4. MITRE ATT&CK の戦術と手法

   この図は、MITRE Corporation が公開した戦術と手法に従って、上位 16 の脅威を示したものです。 赤い線では、混合型攻撃の例を示しています。これは、悪意のあるアクターが複数の攻撃を同時に調整する場合があることを意味します。

MITRE ATT&CK フレームワークの使用方法

まず、脅威の名前または攻撃コードの名前をメイン Web ページ MITRE ATT&CK® で簡単に検索できます。

また、戦術や手法のページで脅威を参照することもできます。

• Enterprise 戦術
• Enterprise 手法

MITRE が提供する直感的なツールである MITRE ATT&CK® Navigator を引き続き使用して、脅威に関する戦術、手法、詳細を検出できます。

コンポーネント

このアーティクルのアーキテクチャ例では、次の Azure コンポーネントを使用します:

• Microsoft Entra ID はクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID は、Microsoft 365、Azure portal、その他のさまざまな SaaS アプリケーションなどの外部リソースにユーザーがアクセスするのに役立ちます。 また、企業のイントラネット ネットワーク上のアプリなど、内部リソースにアクセスするのにも役立ちます。

• Microsoft Azure Virtual Network は、Azure 内のプライベート ネットワークの基本的な構成要素です。 Virtual Network を使用すると、さまざまな種類の Azure リソースが互いに、インターネット、オンプレミス ネットワークと安全に通信できるようになります。 Virtual Networkは、スケール、可用性、分離など、Azure のインフラストラクチャからベネフィットを得られる仮想ネットワークを提供します。

• Azure Load Balancer は、すべての UDP と TCP プロトコル向けの高パフォーマンス、低待機時間のレイヤー 4 負荷分散サービス (受信および送信) です。 これは、ソリューションの高可用性を確保しながら、1 秒あたり数百万の要求を処理するように構築されています。 Azure Load Balancer は、ゾーン冗長であるため、Availability Zones 全体で高可用性を確保します。

• 仮想マシン は、Azure が提供するオンデマンドでスケーラブルなコンピューティング リソースの 1 つです。 Azure Virtual Machine (VM) では、VM を実行する物理的なハードウェアを購入して維持する必要がなく、仮想化がもたらす柔軟性が提供されます。

• Azure Kubernetes サービス (AKS) は、コンテナー化されたアプリをデプロイおよび管理するためのフル マネージド Kubernetes サービスです。 AKSは、サーバーレス Kubernetes、継続的インテグレーション/継続的デリバリー（CI/CD）、エンタープライズグレードのセキュリティとガバナンスを提供します。

• Azure Virtual Desktop は、リモート ユーザーにデスクトップを提供するためにクラウド上で実行されるデスクトップおよびアプリの仮想化サービスです。

• Web Apps は、Web アプリ、REST API、モバイル バックエンドをホストするための HTTP ベースのサービスです。 お気に入りの言語で開発でき、アプリケーションは Windows ベースと Linux ベースの両方の環境で簡単に実行およびスケーリングできます。

• Azure Storage は、オブジェクト、BLOB、ファイル、ディスク、キュー、テーブルストレージなど、クラウド上の様々なデータオブジェクトに対する高可用性、大規模なスケーラブル、耐久性、安全性を備えたストレージです。 Azure Storage アカウントに書き込まれたすべてのデータがサービスによって暗号化されます。 Azure Storage では、データにアクセスできるユーザーをきめ細かく制御できます。

• Azure SQL データベース は、アップグレード、パッチ適用、バックアップ、監視などのほとんどのデータベース管理機能を処理するフルマネージド PaaS データベース エンジンです。 これらの機能をユーザーの手を煩わせることなく提供します。 SQL Database には、アプリがセキュリティやコンプライアンス要件を満たすために役立つ、さまざまなセキュリティおよびコンプライアンス機能が組み込まれています。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Rudnei Oliveira | シニア Azure セキュリティ エンジニア

その他の共同作成者:

• Gary Moore | プログラマー/ライター
• Andrew Nathan | シニアカスタマーエンジニアリングマネージャー

次の手順

このドキュメントでは、一部のサービス、テクノロジー、用語などについて説明します。 それらの詳細については、次のリソースを参照してください:

• MITRE ATT&CK®
• ATT&CK® ナビゲーター)
• 「パブリック プレビュー: Microsoft Sentinel の MITRE ATT&CK Framework Blade」、Azure Cloud AI ドメイン ブログからの投稿
• The Cyber Kill Chain®
• ゼロ トラストを使用してプロアクティブなセキュリティを採用する
• ウィキぺディアにおける混合脅威
• Microsoft セキュリティ ブログの新しい Microsoft Digital Defense レポートに従ってサイバー攻撃がどのように変化しているか

関連リソース

この参照アーキテクチャの詳細については、このシリーズの他の記事を参照してください。

• パート 1: Azure 監視を使用してセキュリティ コンポーネントを統合する
• パート 3: Azure セキュリティ サービスを使用して防御の第 1 層をビルドする
• パート 4: Microsoft Defender XDR セキュリティ サービスを使用して防御の第 2 層をビルドする
• パート 5: Azure と Microsoft Defender XDR セキュリティ サービスを統合する