ゼロトラストをAzureADで実装する(第3話目)

マイクロソフトのゼロトラスト・アプローチ

エンドツーエンドのセキュリティ

マイクロソフトは長年にわたり、「ゼロトラスト」アプローチの主要な原則が包含するエンドツーエンドのセキュリティのベストプラクティスの採用を提唱してきました。

このように、2013年に発表された文書「自分のデバイスを持参:セキュリティのビジョンとソリューションのアプローチ」では、データの感度レベルに応じて許可を適応させるためのアクセスコンテキスト(デバイスのセキュリティ、アイデンティティの信頼、認証強度、接続場所)の概念に向けた境界セキュリティモデルの進化がすでに提案されていました。

強力なユーザーID検証、コンテキストに応じた動的アクセス制御、データへのアクセスに使用されるデバイスの保護、伝送チャネルの保護など、「ゼロトラスト」の哲学を支える原則のほとんどがすでに含まれています。暗号化によるデータの分類や保護などのトピックも取り上げられ、データは新しい「境界線」を構成しています。

脅威の進化と拡散は、境界線保護に焦点を当てたアプローチではなく、「侵害を想定した」姿勢の採用を必要としています。過去にセキュリティインシデントを経験したことがあるかどうかは別として、攻撃者が企業のリソースを侵害することに成功するかどうかではなく、いつ攻撃者が侵入するかが問題であることを知っているでしょう。

リフレクションの大きな転換点は、デジタルディフェンスの場にあるものは、いつでも脆弱であると考えることです。

私たちは、攻撃や攻撃のベクトルがどこからでもやってくることができる世界に生きています。残念なことに、攻撃はますます巧妙になり、攻撃者はますます組織化されていることが毎日のようにニュースで報道されています。これは、境界線のない世界であり、ダイナミックで永続的な進化を遂げています。

このような姿勢を受け入れることは、あきらめることを意味するのではなく、「違反の想定:新しいマインドセットが重要なデータを保護する方法」という記事で証明されているように、デジタル時代のデータ整合性のリスクを軽減するための第一歩を踏み出したことを意味しています。

では、プランBとは? 侵入を検知するためのプランは? この種のインシデントにはどのように対応するのでしょうか?

この概念は、以下の目的に対処するために、少なくとも3つの柱を含む、より全体的なアプローチに移行することを意味します。

 

したがって、この現代の保護戦略では、これまで「保護」と呼ばれていたものに、脅威の早期発見と迅速な対応を加えたプロアクティブな脅威予防が必要となります。

Protect(保護)、Detect(検出)、Respond(応答)の機能は、上記のように連続しています。

メモ
NISTでは、さらに2つのコンポーネントを提供している。識別、保護、検出、対応、回復、である。詳細については、文書「CRITICAL INFRASTRUCTURE CYBERSECURITY の向上のためのフレームワーク」を参照。

このような現代的なセキュリティへのアプローチは、内部ネットワークが信頼されていないことを前提とした「ゼロトラスト」の原則の一つと一致しています。

先に開発された第一の柱は、動的で文脈に沿ったアクセス制御を利用して、データやリソース、アイデンティティ、デバイス、接続を積極的に保護することです。しかし、今日の世界では、防御側と攻撃側の立場が非対称であることを考えると、保護だけでは済まされません。

このように、攻撃が進行中であることを検知することで、例えば、個人データを含む場合には、データの流出を回避し、それによって欧州一般データ保護規則(GDPR)で定義されている違反を回避することができます。攻撃者を早く発見して制御を回復すればするほど、攻撃者の被害は少なくなります。これにより、時間と費用を節約できるだけでなく、貴社のイメージと評判を維持することができます。

検出の面では、(侵入の場合は攻撃ベクトルの)行動と、与えられたパターンの認識によって違反検出がトリガーされるという行動アプローチへと移行することを目指しています。Gartner社が指摘するように、「ユーザーの行動を理解し、正当なプロセスに従うことで、企業はUEBA(User and Entity Behavior Analytics)を利用してセキュリティの脆弱性を検出することができます」

この第二の柱は、次のように適用されます。

  • デバイス:侵害を検出するためにデバイスの動作を調査する。
  • ID:IDのスプーフィングに関連する疑わしい攻撃または動作を識別するため。
  • ネットワークトラフィック:横移動の試みやデータ漏洩などの攻撃を識別する。

最後に、3つ目の柱はレスポンスです。微弱な信号の検出を含め、可能な限り効果的な検出を行った後、応答機構は可能な限り迅速に反応して、侵害された要素を隔離し、その拡散を封じ込めて、侵害された領域をセグメント化することができなければなりません。

そのためには、行動検出に反応して動的なセキュリティ制御を作動させ、発見と対応行動の間のギャップを縮めることが必要です。このためには、反応の仕方を根本的に変える必要があります。

マイクロソフトのエンドツーエンドのセキュリティビジョンには、内部ネットワーク(オンプレミス)に非常に焦点を当てた当初の「ゼロトラスト」のアプローチに欠けていたクラウドの側面が含まれています。

実際、先に強調したように、組織は、SaaS(Software-as-a-Service)モードで利用可能なアプリケーションやサービスを使用することが増えています。これは、最新の境界線(少なくとも)ハイブリッドにそれらを含めることができることを意味します(「世界は変わった」のセクションを参照)。

そのためには、アイデンティティとアクセスを管理するクラウドベースのマイクロソフトのエンタープライズスケールサービスであるAzure ADを中心に、本書の続きで提案されている「ゼロトラスト」のアプローチで、社内の従業員のアイデンティティを管理し、組織のリソースへのすべてのアクセスを制御します。

内部ディレクトリサービス(Active Directory)を持つローカル環境を持つ組織に対して、Azure ADは、既存のオンプレミスのITソリューションと連携するハイブリッドなアイデンティティソリューションを提供します。このようなハイブリッドなアプローチでアイデンティティとアクセス管理(IAM)を実現することで、コントロール、可視性、クラウドベースのアイデンティティセキュリティの機能を活用しながら、既存のITシステムを維持・拡張することができます。

Azure ADは、従業員が自分のデバイスから適切なビジネスアプリケーションやエンタープライズデータに接続してアクセスできるようにします – Azure ADは、iOS、Mac OS X、Android、Windowsデバイスをサポートしています。Azure ADは、Microsoft Intuneのようなデバイス管理サービス(モバイルデバイス管理またはMDM)と統合されています。この文書の後半でこれに戻る機会があります。

Microsoft Azure ADは、最新のGartnerの「魔法の象限」で、このドメインのリーダーとして認められています。

また、Azure ADでは、パートナーや他の外部プロバイダーのアクセスを管理することも可能です。

セキュリティ関連のサービスについては、そのほとんどがクラウド上で利用できるようになっており、事実上無限のコンピューティングやストレージ機能を活用し、人工知能(AI)を活用して、クラウドや他の場所のさまざまなデータソースからのさまざまな信号に頼って、より効果的なサイバー脅威の分析や検知を行うことができるようになっています。クラウドを使いこなすことで、クラウドを使いこなすことができるのです。

サイバー攻撃の巧妙化と自動化が進む中、サイバー脅威の一歩先を行くためには、リアルタイムの情報を入手し、すべてのネットワークで予測的なインテリジェンスを活用することが非常に重要です。そのためには、自社のセキュリティ・データを業界やパートナーのインテリジェンスと相関させ、「良い」と「悪い」を可能な限り広く包括的に区別できるようにすることが必要です。

これは、インテリジェントなセキュリティグラフからの情報を「拡張」し、パートナーや業界と統合することで、セキュリティに対する全体的かつ機敏なアプローチの基盤となっています。

新しい、より広範で深いセキュリティ信号を活用することで、新しい脅威や既存の脅威をより早く認識し、対応することが可能になります。クラウドからエンドポイントに至るまでの膨大な量のデータや信号を活用して、さまざまなサービスや関連システムを統合することで、インテリジェントなセキュリティグラフを構築することができます。このグラフは、与えられたドメインから学習し、人工知能(AI)と行動認識のアプローチを組み合わせて提供されるすべてのサービスに「学習」を適用することで、行動をプロファイルし、ユーザーや他のエンティティの活動を評価し、攻撃の傾向やパターンを特定し、最終的には異常や不審な活動、巧妙な攻撃を検出するために、数十億のソースから1日に6.5兆以上の信号によって形成されています。

クラウドの俊敏性と拡張性を考えると、前例のない大量のデータを迅速に分析して対応を決定する能力は、そうでなければ気づかれないような悪意のある悪質な行為や不正な行為を検出し、キルチェーンをできるだけ早く断ち切る能力を提供する上で非常に重要になります。

ペタバイト規模のストレージから数十億のログイベントからほぼリアルタイムで攻撃者のシグナルを抽出するのは、本当に大変な作業です。

したがって、脅威の防止、検出、そして最後に調査のために、データサイエンス、特に機械学習と転移学習などの最新の研究分野を活用する必要があります。MSRC(Microsoft Security Response Center)、DCU(Microsoft Digital Crime Unit)、MMPC(Microsoft Malware Protection Center)、Office 365 Advanced Threat Protection20のデータや、その他のデータソース(様々なサービスが収集したログやテレメトリの膨大なデータなど)に機械学習アルゴリズムを適用することで、ハッカー、攻撃者、マルウェア、不要な行動など、悪意のある行動や主体を特定するための異常検知のためのこれまでにない知識と能力が得られます。

機械学習は、アイデンティティベースの脅威をよりよく理解し、ローカルシステムやクラウドシステムを強化・進化させ、セキュリティ水準を高めるための2つの主要な道を開きます:i)次世代のアイデンティティベースの脅威の検出と対応、およびii)セキュリティ、運用、保護戦略の管理の簡素化。これらは、様々なアイデンティティベースの脅威を特定して理解し、クラウドやオンプレミスのシステムを強化・進化させ、セキュリティレベルの水準を高めるために必要な要素を提供しています。

サイバー攻撃の究極の巧妙さは、彼らがまた、ノイズを装って、エラーから迅速に学習するために、データサイエンスを活用することです。機械学習は、ルールやヒューリスティックに基づく従来の検知を強化することで、Azure ADのようなサービスがこれらの最近の動向に対応するのに役立ちます。

たとえば、監視ありの機械学習モデルは、悪意のある良性の例を提示することでトレーニングされます。その後、モデルは例をアルゴリズムに一般化します。これは、アラートに優先順位をつけ(人間規模にして)、独立したアラートフローを組み合わせ、各アラートが性質上複数の異常を組み合わせたインフォームドスコアを提供することで、トリアージを減らすのに大きく役立ちます。このアカウントのコールシーケンス(API)が異常か? IPアドレスは異常か? アクセス時間は正常に見えるか?  などです。

セキュリティの専門知識は、分析された多数の事例を使用して、高度に適合したモデルを開発することを必要とします。これは、解釈可能な結果を提供するために信号を改善するために、セキュリティアナリスト(およびユーザー)のコメントを統合することを意味します。また、機械学習アルゴリズムがなぜそのような信号が異常であると考えるのかを理解することも意味します。攻撃者は、一度検出されてブロックされると、レーダーの下に潜り込むために行動を微妙に調整するので、開発されたモデルは、このような「動くターゲット」に迅速に適応するために、これらの変化に自動的に適応しなければなりません。

サイバー脅威検知機能に基づくこれらの技術は、他のソフトウェア主導型のアプローチよりも効果的に攻撃者とその攻撃を特定し、攻撃を受けたリソースの防御力を動的に上昇させるなど、もちろん、攻撃を受けた組織への情報提供を確実に行うことができます。最終的には、マイクロソフトのクラウドサービスやインフラ、顧客だけでなく、ローカルのインフラやデバイスを守ることになります。

例としては、次のようなものがあります。

  • Mac OS XとWindows 10デバイス向けの保護ソリューション「Microsoft Defender Advanced Threat Protection」
  • Azure Advanced Threat Protection(ATP)は、オンプレミスのActive Directoryディレクトリからの信号を分析して、高度な脅威、危険なID、悪意のある内部ユーザーの行動を検出するクラウドセキュリティソリューションです。

Azure Sentinel(現在まで公開プレリリース中)は、最近のMicrosoft SIEM(Security Information and Event Manager)とSOAR(Security Orchestration and Automated Response)のソリューションで、Microsoftクラウドからのイベントや他のクラウドのイベントからの内部イベントの統合と分析だけでなく、自動オーケストレーションとレスポンス機能を提供しています。

要約すると、マイクロソフトのアプローチが「ゼロトラスト」という用語を強調していなかったとしても、その原則をすべて断罪し、クラウドがある形で完全に存在する現代の組織の範囲の拡大を考慮に入れているということです。

この簡単な概要の先に、詳細を見ていき、Azure ADの条件付きアクセス制御を構成する「基礎」から始めてみましょう。

AZURE ADの条件付きアクセスを戦略の中心に

今日の職場環境では、ユーザーは、組織から提供されたラップトップを使用しているか、個人的なスマートフォンを使用しているかにかかわらず、どのようなデバイスでも、自宅から、オフィスから、または移動中に、どのような場所からでも仕事ができることがわかりました。従業員は、仕事をするために必要なものにシームレスにアクセスできることを期待しています(ITの消費化セクションを参照)。

アクセスの状況によって生産性の必要性が変わるわけではありませんが、各接続のリスクレベルは進化します。すべてのデバイス、アプリケーション、またはネットワークがこれほど安全であるわけではなく、攻撃者は、ユーザーやリソースへのアクセスを可能にする脆弱性を悪用する可能性があります。したがって、アイデンティティを保護することは不可欠ですが、それだけでは不十分です。

ID の管理と検証は、環境を保護するための最初のステップです。Azure AD を通じてユーザー ID をプロビジョニングし、必要に応じてオンプレミスの Active Directory サービスを接続することで、各ユーザーの ID を一元化し、デバイス、グループ、およびアプリケーションに基づいてポリシーを確立することができます。セクション「すべての ID を接続する」を参照してください。

前述したように、「ゼロトラスト」アプローチでは、ユーザーがデータやリソースにアクセスする際の要件を満たす柔軟なセキュリティポリシーが必要となります。

 

さらに、「良い」セキュリティの本質的な側面の一つは、正当なユーザにはほとんど見えないようにすることです。過度の摩擦は生産性を阻害し、正当なユーザは生産性を阻害する条項を迂回する方法を見つけ、それによって(追加の)リスクを生み出します。ユーザーごとに多要素認証(MFA)を強制することもできますが、生産性を最大化することは、悪意のある人をブロックしながら、正当なユーザーが最小限の混乱で仕事をこなせるようにすることが理想的です。

Azure ADでは、組織内のユーザーに対して条件付きのアクセスポリシーを設定することができ、ハイブリッド環境やクラウド環境のセキュリティ確保に役立ちます。

Azure AD の条件付きアクセスでは、条件と制御を指定する一連のポリシーを定義することで、まさにそれを達成することができます。従業員ごと、デバイスごと、またはグループごとにアクセスレベルを設定することができます。

Azure ADでの条件付きアクセスは、アイデンティティベースのセキュリティポリシーのハブとなります。

以前は、「企業ネットワーク外へのアクセスなし」または「個人のデバイスからのアクセスなし」を指定する必要がありました。 今日では、アクセスをブロックまたは許可する機能が条件付きで提供されています。

Azure ADの条件付きアクセスでは、特定の条件が満たされたときに自動的にトリガーされるセキュリティポリシーを強制することができます。コンテキスト データがユーザーが危険にさらされていることを示唆している場合や、このような条件でユーザーがログインする可能性が非常に低い場合にアクセスをブロックできます。接続条件に基づいてシステムが中程度のリスクを検知した場合に、追加の認証要件を適用することができます。

Azure ADで条件付きアクセスポリシーを設定する

以下の条件を満たすために、適切な方針を組織に適用することをお勧めします。

ユーザーとユーザーグループ

機密性の高いデータ漏洩のリスクを低減するために、アプリケーションやリソースにアクセスできるユーザーやユーザーグループを定義し、人事や財務データなどの機密性の高い情報源に特に注意を払う。

接続リスク

Azure ADの機械学習アルゴリズムは、各接続を評価し、アカウントの正当な所有者以外の誰かが接続しようとしている確率に基づいて、低、中、または高リスクのスコアを与えます。中程度のリスクを持つ人は、接続時に多要素認証(MFA)でチャレンジする必要があります。接続が高リスクの場合は、アクセスをブロックする必要があります。この状態になるには、Azure AD Identity Protectionが必要です。

場所

セキュリティポリシーが制限されている国であったり、無線ネットワークが安全でない場合、または単に組織が通常活動を行う場所ではない場合は、場所が危険な場合があります。安全な IP アドレスのリストにない場所や、その他の理由で危険な場所からの接続に対するアクセス要件を変更することができます。企業ネットワークの外にいるときにサービスにアクセスするユーザーは、多要素認証を強制的に使用する必要があります。

デバイス プラットフォーム

この条件では、アクセスをブロックしたり、Microsoft Intune への準拠などを要求したり、デバイスをドメインに参加させることを要求したりするデバイス プラットフォームごとにポリシーを定義することができます。

デバイスの状態

この条件を使用して、組織で管理されていないデバイスのポリシーを設定することができます。

クライアントアプリケーション

ユーザーは、Web アプリケーション、モバイルアプリケーション、オフィスの生産性向上アプリケーションなど、さまざまなクライアントアプリケーションタイプを使用して多くのアプリケーションにアクセスすることができます。既知の問題を引き起こすクライアントアプリケーションタイプを使用してアクセスを試みた場合にセキュリティポリシーを適用したり、管理されているデバイスのみが特定のタイプのアプリケーションにアクセスするように要求したりすることができます。

クラウドアプリケーション

この条件では、センシティブなアプリケーションに固有のポリシーを指定します。たとえば、Azure AD が危険な接続を検出した場合や、ユーザーが管理されていないデバイスでアクセスしようとした場合に、Workday などの HR アプリケーションをブロックするように要求することができます。

 

条件が満たされた場合、Azure ADが制御の観点から強制するポリシーを選択することができます。

  • ID を証明するために多要素認証を要求する。
  • クラウドアプリケーションでユーザーが実行できるアクションを変更する。
  • ダウンロードや共有機能の制限など、機密データへのアクセスを制限する。
  • パスワードのリセットを要求する。
  • アクセスをブロックする。

また、このような状況においても、Azure AD Identity Protectionは、疑わしい異常やインシデントを迅速に発見し、対応を自動化するポリシーを構成するのに役立ちます。攻撃者を早期に発見して制御を回復すればするほど、攻撃者による被害が減り、時間とコストを節約し、イメージと評判を維持することができます。

前述したように、Azure AD Identity Protectionでは、ポリシーを設定して、定義した条件に基づいてレスポンスを自動化することができます。

このようにして、接続(匿名化されたブラウザからのアクセス、ありえない場所からのアクセス、何度も認証に失敗するなど)やユーザー(「ダークネット」で利用可能な資格情報)のリスクプロファイルの概念を、条件付きアクセスポリシーと統合することが可能になります。

  • サインインリスクポリシーは、接続に割り当てられたリスクのレベルに基づいて設定できる条件付きアクセスポリシーです。
  • ユーザーリスクポリシーとは、人が危殆化した可能性に基づいて設定できる条件付きアクセスポリシーのことです。

 

Azure AD Identity Protection は、機械学習アルゴリズムをこのデータに適用し、各接続を分析して異常や疑わしいインシデントを検出する。そして、正当なユーザーが接続を実行しなかった可能性を示すために、低、中、または高レベルのリスクを割り当てます。これはリスクイベントと呼ばれます。また、Azure ADは、各ユーザーのリスクイベントを分析し、ユーザーが危険にさらされた可能性を示すリスクの低、中、または高レベルを計算します。

Azure AD Identity Protection は、不審な動作を検出した場合に通知し、状況の調査を支援し、接続の試みをブロックする (セクション 「壊れた ID のブロックまたは更新」を参照)、強力な認証を義務付ける (セクション 「セッションリスクを軽減するための多要素認証の適切な実施」を参照)、または前述のようにパスワードのリセットをトリガーするなどの自動化された対策を取るのを支援します。

例えば、Azure AD Identity Protectionでは、条件付きのアクセスポリシーを定義して、接続をブロックしたり、多要素認証を課すことで、安全でない接続のリスクを軽減することができます。

中程度のリスクを持つすべての接続に対して、多要素認証の使用を要求する接続リスクポリシーを作成することをお勧めします。また、リスクの高いユーザーには、多要素認証を使用して本人確認を行った後、安全にパスワードを変更することを強制することをお勧めします。どちらの場合も、これらのポリシーは管理者の介入なしに自動的に適用されます。

要約すると、より一般的な言い方をすれば、Azure AD Identityの保護により、以下のことが可能になります。

  • 組織のアイデンティティに影響を与える潜在的な脆弱性を検出する。
  • 組織のアイデンティティに関連する不審な行為を検出した場合の自動応答を設定する。
  • 不審な事件を調査し、適切な対応をして解決する。

継承認証の遮断と高権限アカウントへのアクセス制御

POP3、IMAP4、SMTP クライアントなど、継承された認証方法を使用するレガシー アプリケーションは、Azure AD による高度なセキュリティ評価の実行を妨げ、多要素認証などのより近代的な形式の認証の使用を許可しないため、リスクを増加させる可能性があります。これらのクライアント アプリケーションの条件付きアクセス ルールを使用して、そのようなアプリケーションを完全にブロックすることをお勧めします。

 

また、条件付きアクセスルールを使用して、特権の高いユーザーアカウントやサービスアカウントが侵害されるリスクを減らすこともできます。たとえば、人事システムがサービスアカウントを使用して電子メールアカウントにアクセスする場合、適切な時間帯に特定のIPアドレスからのみサービスを実行できるようにすることができます。

IntuneとMicrosoft Cloud App Securityによる条件付きアクセスの改善

すでに述べたように、Azure ADはMicrosoft Intuneや他のMDM(モバイルデバイス管理)ソリューションと統合されているため、条件付きアクセスポリシーはアプローチの一部としてデバイスの状態を考慮に入れることができ、これにより、レガシーOSや他のセキュリティ脆弱性を実行するデバイスのアクセス制御を定義することができます。

また、Microsoft Intuneで条件付きアクセスを使用して、Intuneで管理されたアプリケーションのみが企業の電子メールやその他のOffice 365サービスにアクセスできるようにすることもできます。Azure AD は、これらのルールが適用されるようにします。セクション「セキュリティポリシーの遵守」を参照してください。

さらに、特定のOffice/Microsoft 365サービスに条件付きアクセスが適用される場合(セクション「ビジネスと取引のためのオンライン/オンラインのためのシャアポイント/オネドライヴ」を参照)、Microsoft Cloud App Securityは、このタイプの機能をクラウドまたはオンプレミスの他のアプリケーションに拡張し(Azure ADアプリケーションプロキシを介して)、アプリケーション内で許可されたアクションがアクセスコンテキストに依存していることを保証することができます。

実際、Cloud App Securityアプリケーションの条件付きアクセス制御を使用すると、アプリケーションからのダウンロードをブロックしたり、アプリケーション内のアクティビティを制限したり、リスクのあるユーザーを監視したり、アプリケーションへのアクセスを完全にブロックしたりすることができます。このトピックについては、このドキュメントで後述します。セクション「MICROSOFT CLOUD APP SECURITYによるセッションの制御」を参照してください。

ポリシーを設定したら、ユーザーが遭遇する可能性のある接続シナリオをシミュレートするために、Azure AD What Ifを使用することをお勧めします。「What if」ツールでは、どのポリシーが適用されるかを判断するために、ユーザー、ユーザーがアクセスしようとしているアプリケーション、およびその接続の条件を選択することができます。

 

このステップでは、戦略がユーザーにどのような影響を与えるかをより明確に把握することができます。また、特定のシナリオに適用されないポリシーを確認することもできます。

最後の注意事項として、Azure ADの各条件付きアクセスポリシーに例外グループを構成して、自分自身をロックアウトしないようにしてください。

ここでは、条件付きアクセスの実装を支える主要な原則を見てみましょう。

 

コメント

タイトルとURLをコピーしました