アクセス制御のセーフガード ガイダンス
Microsoft Entra ID では、1996 年の医療保険の携行性と責任に関する法律 (HIPAA) のセーフガードを実装するための ID 関連のプラクティス要件を満たしています。 HIPAA に準拠するには、このガイダンスを使用してセーフガードを実装します。 他の構成やプロセスの変更が必要になる場合があります。
ユーザー ID のセーフガードを理解するには、次のことを可能にする目的を調査して設定することをお勧めします。
ドメインに接続する必要があるすべてのユーザーに ID が一意であることを確認します。
Joiner、Mover、Leaver (JML) プロセスを確立します。
ID 追跡の監査を有効にします。
許可されているアクセス制御のセーフガードの場合は、次のように目標を設定します。
システム アクセスが、許可されているユーザーに限定されている。
許可されているユーザーが識別されている。
個人データへのアクセスが、許可されているユーザーに限定されている。
緊急アクセス手順のセーフガードの場合:
コア サービスの高可用性を確保します。
単一障害点を排除します。
ディザスター リカバリー プランを設定します。
リスクの高いデータのバックアップを確保します。
緊急アクセス アカウントを確立して管理します。
自動ログオフのセーフガードの場合:
一定時間非アクティブになった後に電子セッションを終了する手順を確立します。
自動サインアウト ポリシーを構成して実装します。
一意のユーザー ID
次の表に、一意のユーザー ID に関する HIPAA ガイダンスからのアクセス制御のセーフガードを示します。 セーフガードの実装要件を満たすための Microsoft の推奨事項をご覧ください。
HIPAA セーフガード - 一意のユーザー ID
Assign a unique name and/or number for identifying and tracking user identity.
推奨 | アクション |
---|---|
ハイブリッドを設定して Microsoft Entra ID を利用する | Microsoft Entra Connect では、オンプレミスのディレクトリを Microsoft Entra ID と統合し、オンプレミスのアプリケーションや Microsoft 365 などのクラウド サービスにアクセスするための単一 ID の使用をサポートします。 Active Directory (AD) と Microsoft Entra ID の間の同期を調整します。 Microsoft Entra Connect の使用を開始するには、前提条件を確認し、サーバーの要件と、管理のために Microsoft Entra テナントを準備する方法をメモします。 Microsoft Entra Connect 同期は、クラウドで管理されるプロビジョニング エージェントです。 プロビジョニング エージェントでは、複数フォレストの切断された AD 環境からの Microsoft Entra ID への同期がサポートされています。 軽量エージェントがインストールされ、Microsoft Entra Connect で使用できます。 パスワード ハッシュ同期を使用して、パスワードの数を減らし、漏洩した資格情報の検出から保護することをお勧めします。 |
ユーザー アカウントをプロビジョニングする | Microsoft Entra ID はクラウド ベースの ID およびアクセス管理サービスであり、セキュリティ攻撃から保護するためのシングル サインオン、多要素認証、条件付きアクセスを提供します。 ユーザー アカウントを作成するには、Microsoft Entra 管理センターにユーザー管理者としてサインインし、メニューの [すべてのユーザー] に移動して新しいアカウントを作成します。 Microsoft Entra ID を使用すると、システムとアプリケーションの自動ユーザー プロビジョニングのサポートが提供されます。 機能には、ユーザー アカウントの作成、更新、削除が含まれます。 自動プロビジョニングでは、新しいユーザーが組織のチームに参加するときに、適切なシステムに新しいアカウントが作成され、ユーザーがチームを離れると、自動プロビジョニング解除によって、アカウントが非アクティブ化されます。 プロビジョニングを構成するには、Microsoft Entra 管理センターに移動し、[エンタープライズ アプリケーション] を選択して、アプリ設定を追加および管理します。 |
人事主導のプロビジョニング | 人事 (HR) システム内に Microsoft Entra アカウント プロビジョニングを統合すると、過剰なアクセスやアクセスが不要になるリスクが軽減されます。 HR システムは、新しく作成されたアカウントの SOA (Start of Authority) となり、アカウントのプロビジョニング解除に機能を拡張します。 自動化によって ID ライフサイクルが管理され、過剰プロビジョニングのリスクが軽減されます。 この方法は、最小限の特権アクセスを提供するというセキュリティのベスト プラクティスに従います。 |
ライフサイクル ワークフローを作成する | ライフサイクル ワークフロー は、joiner/mover/leaver (JML) ライフサイクルを自動化するための ID ガバナンスを提供します。 ライフサイクル ワークフローでは、組み込みのテンプレートを使用するか、独自のカスタム ワークフローを作成して、ワークフロー プロセスを一元化します。 このプラクティスは、組織の JML 戦略要件の手動タスクを削減または削除するのに役立ちます。 Azure portal 内で、Microsoft Entra メニューの [Identity Governance]\(ID ガバナンス\) に移動して、組織の要件に適合するタスクを確認または構成します。 |
特権 ID を管理する | Microsoft Entra Privileged Identity Management (PIM) を使用すると、アクセスを管理、制御、監視できます。 必要に応じて、時間ベースおよび承認ベースのロールのアクティブ化でアクセス権を提供します。 この方法により、アクセス許可が過剰、不要、誤用されるリスクが制限されます。 |
監視とアラート | Microsoft Entra ID 保護では、リスク イベントや組織の ID に影響する潜在的な脆弱性に関する統合ビューを提供します。 保護を有効にすると、既存の Microsoft Entra 異常検出機能が適用され、リアルタイムで異常を検出するリスク イベントの種類が導入されます。 Microsoft Entra 管理センターを使用して、プロビジョニング ログのサインイン、監査、確認を行うことができます。 ログは、セキュリティ情報イベント管理 (SIEM) ツールにダウンロード、アーカイブ、ストリーミングできます。 Microsoft Entra ログは、Microsoft Entra メニューの [監視] セクションにあります。 接続されたデータにアラートを設定できる Azure Log Analytics ワークスペースを使用して、ログを Azure Monitor に送信することもできます。 Microsoft Entra ID は、それぞれのディレクトリ オブジェクトの ID プロパティを使用して、ユーザーを一意に識別します。 この方法では、ログ ファイル内の特定の ID をフィルター処理できます。 |
許可されたアクセス制御
次の表に、許可されたアクセス制御のアクセス制御のセーフガードに関する HIPAA ガイダンスを示します。 セーフガードの実装要件を満たすための Microsoft の推奨事項をご覧ください。
HIPAA セーフガード - 許可されたアクセス制御
Person or entity authentication, implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
推奨 | アクション |
---|---|
多要素認証 (MFA) を有効にする | Microsoft Entra ID の MFA では、別のセキュリティ層を追加して ID を保護します。 追加のレイヤーの認証は、許可されていないアクセスを防ぐのに効果的です。 MFA アプローチを使用すると、認証プロセス中にサインイン資格情報をより多く検証する必要があります。 たとえば、ワンクリック検証用に Authenticator アプリを設定したり、パスワードレス認証を有効にしたりできます。 |
条件付きアクセス ポリシーを有効にする | 条件付きアクセス ポリシーは、承認されたアプリケーションへのアクセスを組織が制限するのに役立ちます。 Microsoft Entra では、ユーザー、デバイス、場所からのシグナルが分析されて決定が自動化され、リソースとデータへのアクセスに対して組織のポリシーが適用されます。 |
ロール ベースのアクセス制御 (RBAC) を有効にする | RBAC では、職務の分離という概念を持つエンタープライズ レベルのセキュリティを提供します。 RBAC を使用すると、システムと共に、リソースと機密データに対する機密性、プライバシー、アクセス管理を保護するためのアクセス許可を調整および確認できます。 Microsoft Entra では、組み込みロールのサポートが提供されています。これは、変更できない固定のアクセス許可のセットです。 独自のカスタム ロールを作成して、プリセット リストを追加することもできます。 |
属性ベースのアクセス制御 (ABAC) を有効にする | ABAC は、セキュリティ プリンシパル、リソース、環境に関連付けられている属性に基づいてアクセスを定義する認可システムです。 きめ細かいアクセス制御を提供し、ロールの割り当ての数を減らします。 ABAC の使用範囲は、専用の Azure ストレージ内のコンテンツに設定できます。 |
SharePoint でユーザー グループへのアクセスを構成する | SharePoint グループは、ユーザーのコレクションです。 アクセス許可の範囲は、コンテンツにアクセスするためのサイト コレクション レベルです。 この制約の適用範囲は、アプリケーション間のデータ フロー アクセスを必要とするサービス アカウントに設定できます。 |
緊急アクセス手順
次の表に、緊急アクセス手順の HIPAA ガイダンス アクセス制御のセーフガードを示します。 セーフガードの実装要件を満たすための Microsoft の推奨事項をご覧ください。
HIPAA セーフガード - 緊急アクセス手順
Establish (and implement as needed) procedures and policies for obtaining necessary electronic protected health information during an emergency or occurrence.
推奨 | アクション |
---|---|
Azure Recovery Services を使用する | Azure Backup では、重要で機密性の高いデータをバックアップするために必要なサポートが提供されます。 カバレッジには、クラウドへのオンプレミスの Windows デバイスと共に、ストレージ/データベースとクラウド インフラストラクチャが含まれます。 バックアップと回復プロセスのリスクに対処するためのバックアップ ポリシーを確立します。 データが安全に格納され、最小限のダウンタイムで取得できることを確認します。 Azure Site Recovery では、コピーが確実に同期されるように、ほぼ一定のデータ レプリケーションが提供されます。サービスを設定する前の初期手順は、組織の要件をサポートするために、目標復旧時点 (RPO) と目標復旧時間 (RTO) を決定することです。 |
回復性を確保する | 回復性は、ビジネス運用とコア IT サービスが中断された場合にサービス レベルを維持するのに役立ちます。 この機能は、サービス、データ、Microsoft Entra ID、Active Directory に関する考慮事項にまたがっています。 Microsoft Entra とハイブリッド環境に依存するシステムとデータを含めるための戦略的回復性計画を決定します。 Exchange、SharePoint、OneDrive などのコア サービスに対応して、データの破損から保護し、回復性データ ポイントを適用して ePHI コンテンツを保護する Microsoft 365 の回復性。 |
緊急時のアカウントを作成する | 緊急または非常時のアカウントを確立すると、ネットワーク障害やその他の管理アクセスの損失の理由など、予期しない状況でもシステムとサービスにアクセスできます。 このアカウントを個々のユーザーまたはアカウントに関連付けないようにすることをお勧めします。 |
ワークステーションのセキュリティ - 自動ログオフ
次の表に、自動ログオフのセーフガードに関する HIPAA ガイダンスを示します。 セーフガードの実装要件を満たすための Microsoft の推奨事項をご覧ください。
HIPAA セーフガード - 自動ログオフ
Implement electronic procedures that terminate an electronic session after a predetermined time of inactivity.| Create a policy and procedure to determine the length of time that a user is allowed to stay logged on, after a predetermined period of inactivity.
推奨 | アクション |
---|---|
グループ ポリシーを作成する | Microsoft Entra に移行されず、Intune によって管理されているデバイスのサポート。グループ ポリシー (GPO) では、AD またはハイブリッド環境のデバイスにサインアウトまたはロック画面時間を適用できます。 |
デバイス管理の前提要件を評価する | Microsoft Intune では、モバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) を行います。 会社と個人のデバイスを制御できます。 デバイスの使用状況を管理し、ポリシーを適用してモバイル アプリケーションを制御できます。 |
デバイスの条件付きアクセス ポリシー | 準拠しているデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスへのアクセスを制限するために、条件付きアクセス ポリシーを使用してデバイスのロックを実装します。 ポリシー設定を構成します。 アンマネージド デバイスの場合は、ユーザーに再認証を強制するように、[サインインの頻度] 設定を構成します。 |
Microsoft 365 のセッション タイムアウトを構成する | Microsoft 365 アプリケーションとサービスのセッション タイムアウトを確認して、長時間のタイムアウトを修正します。 |
Azure portal のセッション タイムアウトを構成する | Azure portal セッションのセッション タイムアウトを確認します。非アクティブによるタイムアウトを実装すると、許可されていないアクセスからリソースを保護するのに役立ちます。 |
アプリケーション アクセス セッションを確認する | 継続的アクセス評価ポリシーでは、アプリケーションへのアクセスを拒否または許可できます。 サインインが成功すると、ユーザーには 1 時間有効なアクセス トークンが付与されます。 アクセス トークンの有効期限が切れると、クライアントは Microsoft Entra に戻され、条件が再評価され、トークンはさらに 1 時間更新されます。 |