次の方法で共有


Microsoft Entra セキュリティ運用ガイド

Microsoft では、コントロール プレーンとして ID を利用した多層防御原則により、実績のあるゼロ トラスト セキュリティへのアプローチを成功させてきました。 組織はスケール、コスト削減、セキュリティを追求し、ハイブリッド ワークロード環境を受け入れ続けています。 Microsoft Entra ID は、ID 管理の戦略において非常に重要な役割を果たします。 最近では、ID とセキュリティの侵害に関するニュースにより、企業の IT 部門は、ID セキュリティ態勢を、防御的セキュリティ成功の指標として捉えるようになりました。

さらに組織はオンプレミスとクラウドのアプリケーションを組み合わせて使用する必要があり、ユーザーはそれらのアプリケーションに、オンプレミスとクラウド専用の両方のアカウントでアクセスします。 オンプレミスとクラウドの両方でユーザー、アプリケーション、デバイスを管理するのは困難なシナリオです。

ハイブリッド ID

Microsoft Entra ID では、場所に関係なく、すべてのリソースに対する認証と承認を行うための、共通のユーザー ID を作成します。 これをハイブリッド ID と呼んでいます。

Microsoft Entra でハイブリッド ID を実現するために、お使いのシナリオに応じて、3 つの認証方法のうち 1 つを使用できます。 次に 3 つの方法を示します。

現在のセキュリティ操作を監査したり、または Azure 環境のセキュリティ運用を確立したりする際には、次のことをお勧めします。

  • Microsoft セキュリティ ガイダンスの特定の部分を読み、クラウドベースまたはハイブリッド Azure 環境のセキュリティ保護に関する知識のベースラインを確立します。
  • アカウントとパスワードの戦略と認証方法を監査し、最も一般的な攻撃ベクトルを抑止します。
  • セキュリティ上の脅威を示す可能性があるアクティビティについて、継続的な監視とアラートを行うための戦略を作成します。

対象者

Microsoft Entra SecOps ガイドは、より高度な ID セキュリティ構成と監視プロファイルを通じて脅威に対抗する必要がある、企業の IT ID セキュリティ運用チームおよび管理サービス プロバイダーを対象としています。 このガイドは、セキュリティ オペレーション センター (SOC) の防御と侵入テストのチームに対し、ID のセキュリティ態勢の改善および維持についてアドバイスする、IT 管理者や ID アーキテクトにとって特に有益です。

Scope

この概要では、事前にお読みいただきたい推奨文書やパスワードの監査と戦略に関する推奨事項について説明します。 またこの記事では、ハイブリッド Azure 環境および完全なクラウドベースの Azure 環境で使用できるツールの概要についても説明します。 最後に、監視、アラート、およびセキュリティ情報イベント管理 (SIEM) の戦略と環境を構成するために使用できるデータ ソースの一覧を提供します。 このガイドの残りの部分では、次の領域における監視およびアラートの戦略について説明します。

  • ユーザー アカウント。 管理者特権を持たない、非特権ユーザー アカウント特有のガイダンス。異常なアカウントの作成と使用、異常なサインインなどが含まれます。

  • 特権アカウント。 管理タスクを実行するための昇格されたアクセス許可を持つ特権ユーザー アカウント特有のガイダンス。 タスクには、Microsoft Entra ロールの割り当て、Azure リソース ロールの割り当て、Azure リソースとサブスクリプションのアクセス管理が含まれます。

  • Privileged Identity Management (PIM)。 PIM を使用してリソースへのアクセスを管理、制御、監視する方法に特有のガイダンス。

  • アプリケーション。 アプリケーションの認証を提供するために使用されるアカウント特有のガイダンス。

  • デバイス。 ポリシーの外部で登録または参加したデバイスの監視とアラート、非準拠の使用、デバイス管理ロールの管理、仮想マシンへのサインイン特有のガイダンス。

  • [インフラストラクチャ]。 ハイブリッド環境および純粋なクラウドベースの環境に対する脅威の監視とアラート特有のガイダンス。

重要なリファレンス コンテンツ

Microsoft には、お客様のニーズに合わせて IT 環境をカスタマイズできる製品とサービスが多数用意されています。 ご自身の運用環境に関する次のガイダンスを確認することをお勧めします。

データ ソース

調査と監視に使用するログ ファイルは次のとおりです。

Azure portal から Microsoft Entra 監査ログを表示できます。 コンマ区切り値 (CSV) または JavaScript Object Notation (JSON) ファイルとしてログをダウンロードします。 Azure portal には、監視とアラートの自動化を強化できる他のツールと Microsoft Entra ログを統合する方法がいくつかあります:

  • Microsoft Sentinel - セキュリティ情報イベント管理 (SIEM) 機能を備え、エンタープライズ レベルでインテリジェントにセキュリティを分析できます。

  • Sigma ルール - Sigma は、自動化された管理ツールがログ ファイルの解析に使用できるルールとテンプレートを記述するための、進化するオープン標準です。 推奨される検索条件に Sigma テンプレートが存在する場合は、Sigma リポジトリへのリンクを追加しました。 Sigma テンプレートは、Microsoft によって記述、テスト、管理されません。 その代わり、リポジトリとテンプレートは、世界中の IT セキュリティ コミュニティによって作成および収集されます。

  • Azure Monitor – さまざまな条件に基づいて監視とアラートを自動化します。 ブックを作成または使用して、異なるソースのデータを結合できます。

  • Azure Event Hubs と SIEM の統合。 Azure Event Hubs 統合を介して、Splunk、ArcSight、QRadar、Sumo Logic などの他の SIEM に Microsoft Entra ID ログを統合できます。 詳細については、「Azure イベント ハブへのMicrosoft Entra ログのストリーム配信」を参照してください。

  • Microsoft Defender for Cloud Apps - アプリを検出して管理、すべてのアプリとリソースを制御、クラウド アプリのコンプライアンス状況を確認できるようにします。

  • Microsoft Entra ID 保護 でワークロード ID をセキュリティで保護 - ログイン動作間とオフラインの侵害インジケーターにおけるワークロード ID のリスクを検出するために使用されます。

監視とアラートの対象の多くは、条件付きアクセス ポリシーの影響を受けます。 条件付きアクセスに関する分析情報とレポート ブックを使用して、1 つまたは複数の条件付きアクセス ポリシーがサインインに及ぼしている影響と、デバイスの状態などのポリシーの結果を確認できます。 このブックでは、影響の概要を確認し、指定期間における影響を特定できます。 また、このブックを使用して、特定のユーザーのサインインを調査することもできます。 詳細については、「条件付きアクセスに関する分析情報とレポート」をご覧ください。

この記事の残りの部分では、何を監視とアラートの対象にすべきかについて説明します。 特定の事前構築済みソリューションがある場合は、リンクを示すか、表の後にサンプルを提供しています。 それ以外の場合は、前述のツールを使用してアラートを作成できます。

  • ID 保護は、調査に役立つ 3 つの主要なレポートが生成されます。

  • 危険なユーザーには、リスクのあるユーザーに関する情報、検出の詳細、すべての危険なログインの履歴、リスク履歴が含まれています。

  • [危険なサインイン] には、疑わしい状況を示す可能性のあるサインインの状況に関する情報が含まれています。 このレポートの情報を調査するための追加情報については、「方法: リスクの調査」をご覧ください。

  • リスク検出には、サインインとユーザーのリスクを通知する Microsoft Entra ID Protection によって検出されたリスク シグナルに関する情報が含まれます。 詳細については、「ユーザー アカウントの Microsoft Entra セキュリティ オペレーション ガイド」を参照してください。

詳細については、[Microsoft Entra ID 保護の概要]を参照してください。

ドメイン コントローラー監視のデータ ソース

最適な結果を得るために、Microsoft Defender for Identity を使用してドメイン コントローラーを監視することをお勧めします。 このアプローチにより、最適な検出と自動化の機能を使用できるようになります。 これらのリソースのガイダンスに従います。

Microsoft Defender for Identity を使用する予定がない場合は、次のいずれかの方法でドメイン コントローラーを監視します。

ハイブリッド認証のコンポーネント

Azure ハイブリッド環境の一部として、次の項目をベースラインとして使用し、監視とアラートの戦略に含める必要があります。

クラウドベース認証のコンポーネント

Azure クラウドベース環境の一部として、次の項目をベースラインとして使用し、監視とアラートの戦略に含める必要があります。

  • Microsoft Entra アプリケーション プロキシ – このクラウド サービスは、オンプレミスの Web アプリケーションへのセキュリティで保護されたリモート アクセスを提供します。 詳細については、「Microsoft Entra アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス」を参照してください。

  • Microsoft Entra Connect - Microsoft Entra Connect ソリューションに使用されるサービス。 詳細については、「Microsoft Sentinel Connect とは」を参照してください。

  • Microsoft Entra Connect Health – Service Health は、ユーザーが使用しているリージョン内の Azure サービスの正常性を追跡するカスタマイズ可能なダッシュボードを提供します。 詳細については、「Microsoft Sentinel Connect とは」を参照してください。

  • Microsoft Entra 多要素認証 (MFA) – MFA では、ユーザーは認証のために複数の形式の証明を提供する必要があります。 このアプローチにより、環境をセキュリティで保護するためのプロアクティブな最初の手順が提供されます。 詳細については、「Microsoft Entra MFA を取得する方法」を参照してください。

  • 動的グループ - Microsoft Entra 管理者向けセキュリティ グループ メンバーシップの動的構成では、ユーザー属性に基づいて Microsoft Entra で作成されるグループを設定する規則を設定できます。 詳しくは、「動的グループと Microsoft Entra B2B コラボレーション」を参照してください。

  • 条件付きアクセス - 条件付きアクセスは、Microsoft Entra ID で使用されるツールです。このツールによって、シグナルをまとめ、決定を行い、組織のポリシーを適用することができます。 条件付きアクセスは、新しい ID ドリブン コントロール プレーンの中心になるものです。 詳細については、「条件付きアクセスとは」を参照してください。

  • Microsoft Entra ID 保護 – 組織が ID ベースのリスクの検出と修復の自動化、ポータルでデータを使用するリスクの調査、SIEM にリスク検出データのエクスポートを実行できるようにするツールです。 詳細については、[Microsoft Entra ID 保護の概要]を参照してください。

  • グループベースのライセンス – ライセンスは、ユーザーに直接割り当てるのではなく、グループに割り当てることができます。 ユーザーのライセンスの割り当て状態に関する情報は Microsoft Entra ID に格納されます。

  • プロビジョニング サービス - プロビジョニングとは、ユーザーがアクセスする必要のあるクラウド アプリケーションのユーザー ID とロールを作成することです。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。 詳細については、「Microsoft Entra ID でのアプリケーションのプロビジョニングのしくみ」をご覧ください。

  • Graph API – RESTful Web API である Microsoft Graph API を使用すると、Microsoft Cloud サービスのリソースにアクセスできます。 アプリを登録し、ユーザーまたはサービスのための認証トークンを取得した後、Microsoft Graph API に要求を行うことができます。 詳しくは、「Microsoft Graph の概要」をご覧ください。

  • Domain Service – Microsoft Entra Domain Services (AD DS) では、ドメイン参加やグループ ポリシーなどのマネージド ドメイン サービスが提供されます。 詳細については、「Microsoft Entra Domain Services とは」を参照してください。

  • Azure Resource Manager – Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 お使いの Azure アカウント内のリソースを作成、更新、および削除できる管理レイヤーを提供します。 詳細については、「Azure Resource Manager とは」をご覧ください。

  • マネージド ID – マネージド ID により、開発者は資格情報を管理する必要がなくなります。 マネージド ID は、Microsoft Entra 認証をサポートするリソースに接続するときに使う ID をアプリケーションに提供します。 詳細については、「Azure リソース用マネージド ID とは」を参照してください。

  • Privileged Identity Management - PIM は Microsoft Entra ID のサービスで、これにより、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視できるようになります。 詳しくは、「Microsoft Entra Privileged Identity Management とは」を参照してください。

  • アクセス ビュー - Microsoft Entra アクセス レビューを組織で使用することにより、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理できます。 ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。 詳細については、「Microsoft Entra アクセス レビューとは」を参照してください。

  • エンタイトルメント管理 - Microsoft Entra エンタイトルメント管理は、ID ガバナンス機能です。 組織は、アクセス要求ワークフロー、アクセス割り当て、レビュー、期限切れ処理を自動化することで、ID とアクセスのライフサイクルを大規模に管理できます。 詳細については、「Microsoft Entra エンタイトルメント管理とは」を参照してください。

  • アクティビティ ログ - アクティビティ ログは Azure プラットフォームのログであり、サブスクリプションレベルのイベントの分析情報が提供されます。 このログには、リソースが変更されたときや仮想マシンが起動されたときなどの情報が含まれます。 詳細については、「Azure アクティビティ ログ」をご覧ください。

  • セルフサービス パスワード リセット サービス - Microsoft Entra セルフサービス パスワード リセット (SSPR) により、ユーザーは自分のパスワードを変更またはリセットできます。 管理者またはヘルプ デスクは必要ありません。 詳細については、「動作のしくみ: Microsoft Entra のセルフサービス パスワード リセット」を参照してください。

  • デバイス サービス – デバイス ID 管理は、デバイス ベースの条件付きアクセスの基盤です。 デバイス ベースの条件付きアクセス ポリシーにより、環境内のリソースへのアクセスを確実にマネージド デバイスでのみ可能にすることができます。 詳細については、「デバイス ID とは」をご覧ください。

  • セルフサービス グループ管理 – Microsoft Entra ID では、ユーザーが独自のセキュリティ グループまたは Microsoft 365 グループを作成して管理できます。 グループの所有者は、メンバーシップ要求を承認または拒否できます。また、グループ メンバーシップの制御を委任できます。 セルフサービスによるグループ管理機能は、メールを有効にしたセキュリティ グループまたは配布リストでは使用できません。 詳細については、「Microsoft Entra ID でのセルフサービス グループ管理の設定」をご覧ください。

  • リスク検出 - リスクが検出されたときトリガーされるその他のリスクに関する情報や、サインインの場所などの他の関連情報、および Microsoft Defender for Cloud Apps からの詳細情報が含まれます。

次のステップ

これらのセキュリティ運用ガイドの記事を参照してください。

ユーザー アカウントのためのセキュリティ運用

コンシューマー アカウントのためのセキュリティ運用

特権アカウントのためのセキュリティ運用

Privileged Identity Management のためのセキュリティ運用

アプリケーションのためのセキュリティ運用

デバイスのためのセキュリティ運用

インフラストラクチャのためのセキュリティ運用