ゼロ トラストの原則を使用した開発
この記事は、アプリケーションのセキュリティを向上させるために、開発者がゼロ トラストの基本原則を理解するのに役立ちます。 組織のセキュリティにおける重要な役割が果たされていても、アプリケーションとその開発者は、ネットワーク境界が安全であるとは見なせなくなりました。 侵害されたアプリケーションは、組織全体に影響を与える可能性があります。
組織は、複雑な最新の環境に適応し、モバイル従業員を受け入れる新しいセキュリティ モデルを展開しています。 新しいモデルは、場所を問わず、ユーザー、デバイス、アプリケーション、データを保護するように設計されています。 組織は、次の基本原則に従ってアプリケーションを設計および実装するためのセキュリティ戦略とアプローチであるゼロ トラストの実現に努めています。
- 明示的に検証する
- 最小限の特権アクセスを使用する
- 侵害を想定する
会社のファイアウォールの内側にあるものはすべて安全であると考えるのではなく、ゼロ トラスト モデルでは、侵害を想定し、各要求が制御されていないネットワークから送信されたかのように検証します。 要求の送信元またはアクセス先のリソースにかかわらず、ゼロ トラスト モデルでは、"決して信頼せず、常に確認する" ことが求められます。
ゼロ トラストはセキュリティの基礎に代わるものではないことを理解してください。 任意のデバイスでどこからでも作業を行う場合は、開発サイクル全体を通してゼロ トラスト原則を組み込むようにアプリケーションを設計してください。
ゼロ トラストの視点で開発する理由
- サイバーセキュリティ攻撃のレベルが高度化しています。
- "どこからでも作業する" 従業員の存在が、セキュリティ境界の再定義をもたらしました。 データは企業ネットワークの外部からアクセスされ、パートナーやベンダーなどの外部のコラボレーターと共有されています。
- 企業のアプリケーションとデータは、オンプレミスからハイブリッド環境やクラウド環境に移行しています。 従来のネットワーク制御は、セキュリティに関して頼りにできなくなりました。 制御は、デバイス上やアプリ内といった、データがある場所に移る必要があります。
このセクションの開発ガイダンスは、セキュリティを強化し、セキュリティ インシデントの被害範囲を減らし、マイクロソフト テクノロジを使用して迅速に復旧するのに役立ちます。
次のステップ
「ゼロ トラストの原則を使用した開発」の RSS フィードにサブスクライブして、新しい記事を通知してください。
開発者ガイドの概要
- 「ゼロ トラスト コンプライアンスとはどういう意味か?」では、ゼロ トラストの基本原則を取り扱うために、開発者の観点からアプリケーション セキュリティの概要について説明しています。
- 「ゼロ トラスト ID およびアクセス管理の開発のベスト プラクティス」をアプリケーション開発ライフサイクルで使用して、セキュリティで保護されたアプリケーションを作成します。
- 「標準ベースの開発手法」では、サポートされている標準とその利点の概要を説明しています。
- 「アプリケーションの登録、認証、アクセスに関する開発者と管理者の責任」は、IT 担当者との共同作業を向上させるのに役立ちます。
アクセス許可とアクセス権
- 「アクセス許可と同意によって ID をセキュリティで保護するアプリを構築する」では、アクセス許可とアクセスのベスト プラクティスの概要について説明します。
- 「アプリケーションの Microsoft Entra ID および Microsoft ID プラットフォームとの統合」は、IT 担当者が企業内でセキュリティ保護を行えるアプリを開発者が構築して統合を行う上で役に立ちます。
- 「アプリケーションの登録」では、アプリケーションの登録プロセスとその要件を開発者に紹介します。 これは、アプリが最低特権アクセスを使用するゼロ トラスト原則を確実に満たし、違反を想定するのに役立ちます。
- 「シングルテナントとマルチテナントのアプリでサポートされる ID とアカウントの種類」では、アプリで Microsoft Entra テナント、任意の Microsoft Entra テナントのユーザー、または個人の Microsoft アカウントを持つユーザーのみを許可するかどうかを選択する方法について説明します。
- 「ゼロ トラストのユーザーを認証する」は、開発者がゼロ トラスト アプリケーション開発でアプリケーション ユーザーを認証するためのベスト プラクティスを学習するのに役立ちます。 これは、最小権限のゼロ トラスト原則を使用してアプリケーションのセキュリティを強化し、明示的に検証する方法について説明しています。
- 「リソースにアクセスするための承認を取得する」は、アプリケーションのリソース アクセス許可を取得するときにゼロ トラストを保証する最善の方法を理解するのに役立ちます。
- 「委任されたアクセス許可戦略の策定」は、アプリケーションのアクセス許可を管理するための最適なアプローチを実装し、ゼロ トラスト原則を使用して策定するのに役立ちます。
- 「アプリケーションのアクセス許可戦略を開発する」は、資格情報管理に対するアプリケーションのアクセス許可のアプローチを決定するのに役立ちます。
- 「管理者の同意が必要なアクセス許可を要求する」では、アプリケーションのアクセス許可に管理者の同意が必要な場合のアクセス許可と同意エクスペリエンスについて説明します。
- 過剰な特権が与えられているアクセス許可とアプリを減らすと、アクセスの管理とセキュリティの強化のために特権を制限できます。
- 「ユーザーがいない場合にアプリケーション ID 資格情報を提供する」では、サービス (非ユーザー アプリケーション) の Azure リソース用マネージド ID のベスト プラクティスについて説明します。
- 「ゼロ トラストのトークンを管理する」は、開発者が Microsoft ID プラットフォームから受け取ることができる ID トークン、アクセス トークン、セキュリティ トークンを使用してアプリケーションにセキュリティを組み込むのに役立ちます。
- 「トークンをカスタマイズする」では、Microsoft Entra トークンで受け取ることができる情報と、トークンをカスタマイズする方法について説明します。
- 「継続的アクセス評価を使用してアプリケーションをセキュリティで保護する」は、開発者が継続的アクセス評価を使用してアプリケーションのセキュリティを向上させるのに役立ちます。 Microsoft Entra ID からアクセス トークンを取得するときに、リソースへのアクセスの承認を受けるアプリでゼロ トラスト サポートを確保する方法について説明しています。
- 「トークンにグループ要求とアプリ ロールを構成する」では、アプリ ロール定義を使用してアプリを構成し、セキュリティ グループを割り当てる方法を示します。
- API 保護では、登録を通じて API を保護し、アクセス許可と同意を定義し、ゼロ トラストの目標を達成するためのアクセスを強制するためのベスト プラクティスについて説明します。
- Microsoft ID 同意フレームワーク によって保護される API の例では、最適なユーザー エクスペリエンスを実現するための最小特権アプリケーション アクセス許可戦略を設計する方法を説明します。
- 「別の API から API を呼び出す」は、ある API が別の API を呼び出す必要がある場合に、ゼロ トラストを保証するのに役立ちます。 ユーザーの代理として動作するアプリケーションを安全に開発する方法について学習します。
- 承認のベスト プラクティスは、アプリケーションに最適な承認、アクセス許可、および同意モデルを実装するのに役立ちます。
ゼロ トラスト DevSecOps
- 「ゼロ トラストで DevOps 環境をセキュリティ保護する」では、DevOps 環境をセキュリティで保護するためのベスト プラクティスについて説明します。
- 「DevOps プラットフォーム環境のセキュリティ保護」は、DevOps プラットフォーム環境にゼロ トラストの原則を実装する上で役に立ち、シークレットと証明書の管理に関するベスト プラクティスに重点を置いています。
- 「開発者環境のセキュリティ保護」は、最小限の特権、ブランチ セキュリティ、および信頼性ツール、拡張機能、統合に関するベスト プラクティスを使用して、開発環境にゼロ トラストの原則を実装する上で役に立ちます。
- 「開発者ワークフローへのゼロ トラスト セキュリティの埋め込み」は、迅速かつ安全にイノベーションを行う上で役に立ちます。
ゼロ トラストに関するその他のドキュメント
ドキュメント セットまたは組織内での役割に基づいて、以下のゼロ トラスト コンテンツを参照してください。
ドキュメント セット
ニーズに最適なゼロ トラスト ドキュメント セットについては、次の表を参照してください。
ドキュメント セット | 役立つ場合 | ロール |
---|---|---|
主要なビジネス ソリューションと成果に関するフェーズとステップのガイダンスを提供する採用フレームワーク | 経営幹部から IT 実装に至るまでゼロ トラスト保護を適用する。 | セキュリティ アーキテクト、IT チーム、プロジェクト マネージャー |
テクノロジ領域の一般的な展開ガイダンスに関する概念と展開の目標 | テクノロジ領域に合わせてゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
中小企業向けのゼロ トラスト | ゼロ トラストの原則を中小企業のお客様に適用する。 | Microsoft 365 for business を使うお客様とパートナー |
簡単に達成できるプロジェクト マネジメントのガイダンスとチェックリストに関するゼロ トラストの迅速な近代化計画 (RaMP) | ゼロ トラスト保護の主要レイヤーを迅速に実装する。 | セキュリティ アーキテクトと IT 実装者 |
段階的かつ詳細な設計と展開のガイダンスに関する Microsoft 365 を使用したゼロ トラスト展開プラン | Microsoft 365 テナントにゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
設計とデプロイに関する段階的かつ詳細なガイダンスを提供する Microsoft Copilots のゼロ トラスト | Microsoft Copilots にゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
段階的かつ詳細な設計と展開のガイダンスに関する Azure サービス向けゼロ トラスト | Azure のワークロードとサービスにゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
テクノロジ領域と専門分野に対応する設計ガイダンスに関するパートナーとゼロ トラストの統合 | パートナーの Microsoft クラウド ソリューションにゼロ トラスト保護を適用する。 | パートナー開発者、IT チーム、セキュリティ スタッフ |
自分のロール
組織内の役割に最適なドキュメント セットについては、次の表を参照してください。
Role | ドキュメント セット | 役立つ場合 |
---|---|---|
セキュリティ アーキテクト IT プロジェクト マネージャー ITの実装ツール |
主要なビジネス ソリューションと成果に関するフェーズとステップのガイダンスを提供する採用フレームワーク | 経営幹部から IT 実装に至るまでゼロ トラスト保護を適用する。 |
IT またはセキュリティ チームのメンバー | テクノロジ領域の一般的な展開ガイダンスに関する概念と展開の目標 | テクノロジ領域に合わせてゼロ トラスト保護を適用する。 |
Microsoft 365 for business のお客様またはパートナー | 中小企業向けのゼロ トラスト | ゼロ トラストの原則を中小企業のお客様に適用する。 |
セキュリティ アーキテクト ITの実装ツール |
簡単に達成できるプロジェクト マネジメントのガイダンスとチェックリストに関するゼロ トラストの迅速な近代化計画 (RaMP) | ゼロ トラスト保護の主要レイヤーを迅速に実装する。 |
Microsoft 365 の IT またはセキュリティ チームのメンバー | Microsoft 365 の段階的かつ詳細な設計と展開のガイダンスに関する Microsoft 365 を使用したゼロ トラスト展開プラン | Microsoft 365 テナントにゼロ トラスト保護を適用する。 |
Microsoft Copilots の IT またはセキュリティ チームのメンバー | 設計とデプロイに関する段階的かつ詳細なガイダンスを提供する Microsoft Copilots のゼロ トラスト | Microsoft Copilots にゼロ トラスト保護を適用する。 |
Azure サービスの IT チームまたはセキュリティ チームのメンバー | 段階的かつ詳細な設計と展開のガイダンスに関する Azure サービス向けゼロ トラスト | Azure のワークロードとサービスにゼロ トラスト保護を適用する。 |
パートナー開発者、または IT チームまたはセキュリティ チームのメンバー | テクノロジ領域と専門分野に対応する設計ガイダンスに関するパートナーとゼロ トラストの統合 | パートナーの Microsoft クラウド ソリューションにゼロ トラスト保護を適用する。 |