ゼロトラストをAzureADで実装する(第4話目)

  1. マイクロソフト ゼロトラスト・アプローチの実装方針
    1. 身元の確認
      1. すべてのアイデンティティを接続する
        1. すべてのアイデンティティのための単一の共通アイデンティティの作成
        2. パートナーのアイデンティティを接続する
      2. 多要素認証を使用する
        1. Azure MFAの使用
        2. Azure ADで他の条件付きアクセス対応ソリューションを使用する
        3. パスワードなしで多要素認証を使用する
      3. すべてのアプリケーションとAPIにシングルサインオンを設定する
      4. 管理者アカウントの数を減らし、ポリシーを実装する
      5. ユーザーの行動をローカルで監視する
    2. デバイスの管理
      1. デバイスの認証
      2. デバイスの健全性とコンプライアンスの確保
        1. セキュリティポリシーの実施
        2. 図解で見るWindows 10デバイス
        3. コンプライアンス情報の報告
        4. デバイスとアプリケーションの更新
      3. エンドポイントの脅威検知と全デバイスのマルウェア対策ソフトの設定
        1. Windows 10のデバイス(とMac OS X)を例示
    3. アプリケーションの管理
      1. 信頼できるモバイルアプリと構成のみへのアクセスを制限する
      2. 組織内で使用されているアプリケーションを検出する
      3. アプリケーションセッションの監視と管理
        1. SharePoint Online/OneDrive for BusinessおよびExchange Online
        2. Microsoft Cloud App Securityでセッションを制御する
    4. データの保護
      1. ユーザーが機密性に基づいてデータにラベル付けできるようにする
      2. 静止時と移動中に暗号化を適用する
      3. ラベリングや暗号化を自動的に適用するためのルールや条件の設定
    5. サイバー攻撃の阻止
      1. 侵害されたIDのブロックまたは更新
      2. セッションリスクを軽減するために多要素認証を適切に実施する
      3. 感染したデバイスへのアクセスを拒否する
      4. リスクのある文書へのアクセスを取り消す
      5. 新たな脅威に対する自動防御
  2. 結論

マイクロソフト ゼロトラスト・アプローチの実装方針

マイクロソフトの「ゼロトラスト」アプローチの採用と実施は、5つの重要な原則に基づいています。

  1. 身元の確認
  2. デバイスの管理
  3. アプリケーションの管理
  4. データの保護
  5. サイバー攻撃の阻止

以下のセクションでは、それぞれの原則について順を追って説明していきます。

身元の確認

サイバー攻撃に関しては、攻撃者は多くの場合、アカウントとそのパスワードを標的にしています。侵害のほとんどは、盗まれた、または推測されたユーザーの資格情報から始まります。これは、企業ネットワークに気づかれることなく侵入するための最良の方法です。したがって、攻撃者はこれらのIDやクレデンシャル情報を盗み出すように働きます。

攻撃者はいったん侵入すると、特権を昇格させようとしたり、そのアクセスを悪用して、貴重なデータにアクセスできる管理者権限を持つユーザーを発見し、標的にしたりします。そのため、アクセスレベルにかかわらず、漏洩したアカウントを迅速に検出することが不可欠です。

したがって、身元確認は、「防衛の深化」アプローチにおける最初の防衛線でなければなりません。

ほとんどのサイバーセキュリティ攻撃は、失われた、弱い、または侵害されたユーザー資格情報から発生するため、パスワードだけでは提供できないセキュリティレベルが必要です。

このセクションでは、危険な資格情報および内部脅威に対する制御と保護について説明します。

これには以下が必要です。

  • すべてのアイデンティティを接続する
  • 多要素認証を使用する
  • すべてのアプリケーションとAPIにシングルサインオンを設定する
  • 管理者アカウントの数を減らし、ポリシーを実装する
  • ユーザーの行動をローカルで監視する

すべてのアイデンティティを接続する

各ユーザーのための単一かつ共通のアイデンティティを確立することは、全体的な条件付きアクセス戦略の基礎を築くための「ゼロトラスト」アプローチを実施するための基本的なステップです。

現在ローカルフットプリント(オンプレミス)を持っていて、ハイブリッド環境を管理している場合、最初のステップは、すべてのユーザーのためのユニークな共通のアイデンティティを作成することです。これは、Azure AD をオンプレミスのリソースに接続し、ID ブリッジを確立することを意味します。

すべてのアイデンティティのための単一の共通アイデンティティの作成

独自のアイデンティティを作成するには、ローカル従業員のアイデンティティをAzure ADにインポートして同期し、Azure AD Connectを使用してオンプレミスのディレクトリをAzure ADに統合する必要があります。

これにより、Office/Microsoft 365、Azure、およびAzure ADと統合された何千もの他のSoftware-As-Service (SaaS)アプリケーションのユーザーに対して、共通で安全なアイデンティティを提供することができます。

結果として得られるハイブリッド ID や選択する認証方法に影響を与える要件や状況はさまざまですが、クラウド認証やフェデレーションベースの認証を選択する場合は、それぞれに重要なセキュリティ上の意味合いがありますので、考慮する必要があります。

このセクションでは、各ハイブリッド ID メソッドの推奨されるセキュリティ対策について説明します。

Azure AD Connectを使用する場合、ウィザードでは、オンプレミスのActive Directoryを権限として使用することができるので、独自のパスワードポリシーを使用することができます。Azure AD Connectを使用すると、企業リソースにアクセスするすべてのタイプのアプリケーションとアイデンティティを完全に可視化することができます。

マイクロソフトでは、メインの認証方法としてPassword Hash Synchronization44(またはPHS)を有効にすることを推奨しています。PHSは、オンプレミスのActive DirectoryからAzure ADにパスワードハッシュ値を同期させます。これにより、ローカルに依存することなくクラウド上での認証が可能となり、導入プロセスが簡素化されます。また、この構成により、Azure ADのIdentity Protection機能を活用することができ、組織のユーザー名やパスワードが見えない部分である「ダークウェブ」で販売されてしまった場合に警告を出すことができます。

認証要件が PHS によってネイティブにサポートされていない場合、Azure AD Connect を通じて利用可能な別のオプションは、直接認証45 (パススルー認証または PTA) です。PTA は、1 つ以上のオンプレミスサーバー上で実行されるソフトウェアエージェントを使用して、Azure AD 認証サービスのための簡単なパスワード検証を提供します。直接認証はオンプレミスのインフラのみに依存しているため、オンプレミス環境が利用できなくなった場合、ユーザーはActive Directoryに接続されたクラウドリソースやローカルリソースにアクセスできなくなる可能性があります。ユーザーへの影響とそれに伴う生産性の低下を抑えるために、PHSをバックアップとして構成することをお勧めします。これにより、オンプレミスで障害が発生した場合でも、ユーザーが接続してクラウドリソースにアクセスできるようになります。また、この構成により、すでに述べたようにAzure AD Identity Protectionなどの高度なセキュリティ機能にもアクセスできるようになります。

Active Directory Federation Services (ADFS) は Windows Server のサーバー・ロールであり、組織でローカル認証が必要な場合や、すでに ID フェデレーション・サービスに投資している場合には、適切な選択肢となります (または、サポートされている他のローカル認証プロバイダのソリューション)。ID 連動サービスは、複数のサーバーを必要とする可能性のあるローカル フットプリントを使用してユーザーを認証し、クラウドに接続します。ユーザーとデータの安全性を可能な限り確保するために、この構成を利用している場合、または利用したい場合は、さらに2つのステップを追加することをお勧めします。

まず、バックアップ認証方法としてPHSを有効にして、Azure AD Identity Protection機能の恩恵を受け、オンプレミスのサーバーに障害が発生した場合の中断を最小限に抑えることをお勧めします。次に、フェデレーションサービスをAD FSに依存している場合は、エクストラネット・ロックアウトを実装することをお勧めします。エクストラネット・ロックアウトは、AD FSを標的としたブルートフォース攻撃から保護すると同時に、ユーザーがActive Directoryからロックアウトされてサービス拒否を受けることを防ぎます。Windows Server 2016以降のAD FSを使用している場合は、エクストラネット・スマート・ロックアウトを構成する必要があります。Windows Server 2012 R2でAD FSを使用している場合は、エクストラネットのロックアウト保護を有効にする必要があります。

パートナーのアイデンティティを接続する

Azure ADのB2Bコラボレーション機能により、Azure ADを使用している組織は、組織の規模に関係なく、他の組織のユーザーと安全に作業を行うことができます。

Azure ADを使用している組織は、自社のビジネスデータを完全にコントロールしながら、パートナーにドキュメント、リソース、アプリケーションへのアクセスを提供することができます。

B2Bコラボレーションユーザー(ゲスト)は、Azureポータルから組織に追加することができます。開発者は、Azure AD B2Bアプリケーションプログラミングインターフェース(API)を使用して、招待状を管理したり、組織がより安全にコラボレーションできるようにするアプリケーションを書くことができます。

パートナーはAzure ADを使用しなくても、独自の資格情報を使用することができます。シンプルなメールアドレスだけで十分です。

多要素認証を使用する

従業員の生産性ニーズと企業のセキュリティを両立させるためには、まずアイデンティティ保護から始めなければなりません。冒頭で指摘したように、ユーザーが組織に属するデバイスを使用してファイアウォールの後ろで組織のリソースにアクセスしていた時代は終わりました。従業員やパートナーは、毎日の仕事のために複数のデバイスやアプリケーションを使用しています(「世界は変わった」のセクションを参照してください)。彼らは、電子メールや生産性(クラウド)アプリケーションを介して他のユーザーと文書を共有し、一日中、個人と仕事に関連したアプリケーションやデバイスを切り替えています。これにより、ますます洗練されたテクニックを持つ攻撃者にとって、チャンスの世界が生まれています。

攻撃者は、ユーザがすべてのアプリケーションアカウントに同じ(弱い)パスワードを使用していることを知っています(シングルサインオンが行われていない場合は、次のセクションを参照してください)。

彼らはこれらの脆弱性を利用するためにいくつかの戦術を採用しています。

  1. パスワードスプレーとは、一般的なパスワードを既知のアカウントのリストに対して試す方法で、いわばブルートフォースとは正反対のアプローチです。
  2. 漏洩したリレーでは、悪意のあるアクターが組織のパスワードを盗み、このパスワードを使って他のネットワークにアクセスしようとします。
  3. フィッシングキャンペーンでは、ユーザーにパスワードを直接攻撃者に渡すように促しています。

Azure ADは、これら3つの攻撃方法の可能性を減らすためにいくつかの機能を提供しています。以下のことが可能です。

  • Azure MFAを使用すること
  • Azure ADで他の条件付きアクセス対応ソリューションを使用すること
  • パスワードなしで多要素認証を使用すること
Azure MFAの使用

資格情報が盗まれたり、推測されたり、フィッシングされたりする頻度を考えると、Azure MFA を有効にして、アカウントにセキュリティの別の層を追加することをお勧めします。

多要素認証は、固有の ID システムの下でリソースへのアクセスを制御する役割を果たし、漏洩した ID がセキュリティ侵害につながる可能性を大幅に低減します。

多要素認証は、以下の認証方法のうち2つ以上を必要とすることで動作します。

  • あなたが知っているもの(通常はパスワード)
  • あなたが所有しているもの(携帯電話など、簡単に複製できない信頼できるもの)
  • あなたが何かであること(生体認証)

多要素認証は、個々のユーザーアカウントに静的に適用することも、条件付きアクセスポリシーを介して適用することもできますが、この2番目のアプローチが望ましいです。

Azure ADで他の条件付きアクセス対応ソリューションを使用する

Azure ADの条件付きアクセスは、カスタムコントロールを通じて、Duo Security、Entrust Datacard、Ping Identity、RSA、Silverfort、Symantec VIPまたはTrusonaなどの多くのサードパーティ製ソリューションと統合されています。

そのため、これらのいずれかのプロバイダを使って多要素認証をサポートしていれば、Azure ADの条件付きアクセスエンジンで簡単に利用することができます。

メモ
詳細については、ブログ記事「AZURE AD + 3RD PARTY MFA = AZURE AD CUSTOM CONTROLS」と記事「AZURE ACTIVE DIRECTORY CONDITIONAL ACCESSのアクセス・コントロールとは?」を参照してください。

パスワードなしで多要素認証を使用する

より良い方法は、パスワードを完全に取り除くことであり、いくつかの代替案がありますが、今日適用可能なものと近いうちに来るものがあります。パスワードがよく盗まれる理由の一つに、どこからでも使えるということがあります。

従業員の Windows 10 デバイスからのサインインを強化するには、これらのデバイス上でパスワードを強力な 2 要素認証に置き換える Windows Hello for business を導入します。Windows Hello for business では、PIN または指紋スキャナーや顔認証などの生体認証のいずれかを使用して認証を構成できます。この形式の認証は、(複雑な)パスワードを覚える必要がないため、ユーザーにとっては簡単ですが、認証方法がデバイスにリンクされているため、安全性も高くなります。攻撃者は、ネットワークを侵害するために、デバイスとPINまたは生体認証を取得しなければなりません。

AndroidおよびiOSデバイスで使用可能なMicrosoft Authenticatorモバイルアプリは、パスワードを使用せずに任意のAzure ADアカウントに接続するために使用することができます。

Windows Hello for Business テクノロジーと同様に、Microsoft Authenticator はキーベースの認証を使用して、デバイスに関連するユーザーの資格情報を有効にし、PIN または生体認証を使用します。

Windows Hello for Business と Microsoft Authenticator モバイル アプリケーションはすでにパスワードの強力な代替手段となっていますが、パスワードのない世界を実現するためには、業界のすべてのプラットフォームとブラウザで動作する相互運用可能なソリューションが必要です。

パスワードにこのような代替案は、Fido Alliance FIDO2イニシアチブを介して浮上しているようです。

FIDO2 は、公開鍵暗号を用いた、よりシンプルで安全な認証体験のためのオープンな認証規格です。FIDO2が依存している「標準」は、W3C WEB AUTHENTICATION: AN API FOR ACCESSING PUBLIC KEY CREDENTIALSの勧告と、それに対応するFIDO Alliance CLIENT TO AUTHENTICATOR PROTOCOL(CTAP)仕様です。

FIDO2では、ユーザーはFIDO2認証機能とも呼ばれる外部のセキュリティキーを操作します。FIDO2のセキュリティキーはポータブルで、コンピュータ、タブレット、スマートフォンなどのデバイス間で移動して、パスワードなしで認証を行うことができます。

ユーザー体験はシンプルです。ユーザーは、PINコードを入力するか、指紋を使用して、セキュリティキーへのアクセスをローカルで解除する必要があります。

マイクロソフトアカウント(またはMSA)で一般向けに利用できるようになったFIDO2は、まもなくAzure ADでサポートされるようになります。

すべてのアプリケーションとAPIにシングルサインオンを設定する

すでに述べたように、企業のセキュリティ上の妥協は、これらのアカウントを保護することを重要な優先事項とする妥協したユーザーアカウントから始まります。

ハイブリッド展開の大きな利点は、シングルサインオン(SSO)を設定できることです。ユーザーはすでに知っているユーザー名とパスワードを使ってローカルリソースに接続しています。Azure AD71のシングルサインオン(SSO)では、ローカルリソースにアクセスするために同じセットの資格情報を使用するだけでなく、Azure、Dynamics 365、Office 365、そしてAzure ADに接続されているServiceNow、Workday、Google Apps、Salesforce.comなどのSaaSベースのクラウドアプリケーションの大規模なカタログ(現在までに3100以上)にもアクセスすることができます – Azure ADに組み込まれた独自のアプリケーションやAPIに接続することは言うまでもありません。

Azure ADのシングルサインオンでは、デバイス、クラウドアプリケーション、オンプレミスアプリケーションの認証を管理できます。シングルサインオンを有効にすると、従業員はリモートで作業している間に、機密文書や機密性の高い作業文書など、あらゆるデバイスからリアルタイムでリソースにアクセスできるようになります。

シングルサインオンを拡張して、Azure ADアプリケーションプロキシを介して、より多くのクラウドアプリケーションやオンプレミスアプリケーションを含むようにすることで、生産性を向上させることができます。

aka.ms/migrateappsには様々なリソースが用意されています。

  • ソリューションガイド:アクティブ・ディレクトリ・フェデレーション・サービス(AD FS)アプリケーションの AZURE AD への移行。このソリューション ガイドでは、アプリケーションの移行プロジェクトを計画し、実行する際の 4 つのフェーズを説明しています。これらのフェーズをAD FSからAzure ADにアプリケーションを移行する特定の目的に適用するために、このガイドを確認してください。
  • ツール:Active Directory Federation Services (AD FS) 移行準備スクリプト。このスクリプトは、オンプレミスのAD FS環境で実行して、Azure ADに移行するためのアプリケーションの準備状況を判断することができます。

もちろん、クラウドだけのお客様は、Azure ADとOffice 365、そしてAzure ADに接続/統合されたアプリケーションクラウド間でシングルサインオンを構成することで、同じ生産性のメリットを得ることができるのは言うまでもありません。

そして、実際、現在のほとんどの組織のような方は、おそらくクラウドアプリケーションやアイデンティティを採用する道のどこかにいるのではないでしょうか。Azure AD connectとOffice/Microsoft 365で運用しているかもしれません。一部の主要なワークロードにSaaSクラウド・アプリケーションを設定しているかもしれませんが、すべてではありません。

そうは言っても、多くの組織では、Office 365やAzure ADに統合/接続された他のアプリケーションと一緒に、AD FSなどのローカル認証サービスに直接フェデレーションされたSaaSアプリケーションやカスタムLOBアプリケーションを持っています。

すでにAD FS(Ping Federate、または別のサポートされているローカル認証プロバイダ)を使用している組織の場合、アプリケーションをAzure ADに移行すると、次のようなメリットがあります。

  • より安全なアクセス。
    • Azure ADで条件付きアクセスを使用して、アプリケーションごとにきめ細かなアクセス制御を設定します(「戦略の中心にあるAzure ADでの条件付きアクセス」のセクションを参照)。条件付きアクセスポリシーは、Office/Microsoft 365のために行うことができるのと同じ方法でSaaSアプリケーションだけでなく、カスタムアプリケーションに適用することができます。
    • Azure AD Identity Protection の恩恵を受け、機械学習とヒューリスティックを使用して脅威を検出し、リスクの高いトラフィックを識別することで認証を保護します。
  • Azure AD B2B を通じて安全なコラボレーションを実現します。一度Azure ADでSaaSアプリに接続すると、Azure AD B2Bのコラボレーション機能を使用して、パートナーにクラウドリソースへのアクセスを与えることができます(セクション「パートナーIDの接続」を参照してください)。
  • 簡素化された管理体験とAzure ADの追加機能 SaaSアプリケーションのアイデンティティプロバイダとしてのAzure ADは、以下のような追加機能をサポートしています。
    • アプリケーションごとのトークン署名証明書
    • 構成可能な証明書の有効期限
    • Azure ADのアイデンティティに基づいて、ユーザーアカウントの自動プロビジョニング(市場の主要なアプリケーションで)
  • ローカル ID プロバイダのメリットを維持します。Azure AD のメリットを享受している間は、オンプレミスのソリューションを認証に使用し続けることができます。このようにして、多要素認証ソリューションの使用、ロギング、ローカル監査などの要件は、セキュリティポリシーやその他の規制フレームワークに準拠するために維持されます。
  • ローカル ID プロバイダの削除を支援します。ローカル認証ソリューションをリプレースしたい組織にとって、アプリケーションをAzure ADに移行することで、作業の一部が事実上行われるため、移行が容易になります。

管理者アカウントの数を減らし、ポリシーを実装する

優れた検出および対応ツールを使用していても、攻撃者が防御を突破するリスクはあります。このような場合には、漏洩したアカウントが特権的な役割を持って動作する可能性を最小限に抑える必要があります。

Azure AD Privileged Identity Management (PIM) は、管理ロールに割り当てられたユーザーを可視化し、これらのアカウントを管理するルールとポリシーを確立することができます。

ユーザーを特定したら、特権アクセスを必要としないユーザーを削除し、残りのユーザーの権限を恒久的なものから資格のあるものに移動させることができます。

管理者アクセスの資格を持つユーザは、特権的なタスクを実行するたびにアクセスを要求しなければなりません。すべての特権的な役割に対して多要素認証を有効にして、身元を確認できるようにすることをお勧めします。また、管理者アクセスに時間制限を設けることを推奨します。ユーザーは特権的なタスクを達成するのに十分な時間だけアクセスしなければなりませんが、それ以上のアクセスはできません。これらの手順を踏むことで、攻撃者が最も価値のあるデータやリソースにアクセスすることがはるかに困難になります。

Azure AD PIMは、Azureポータルから設定することで、環境に不審な動きや危険な動きがあった場合にアラートをトリガーし、緩和戦略を推奨することができます。Azure AD Identity Protectionによって特定され報告された脆弱性には、設定されていない多要素認証登録、管理されていないクラウドアプリケーション、Azure AD PIMのセキュリティアラート、Azure AD PIM以外のロールが割り当てられている、または有効化されている頻度が高すぎるなどのリスクが含まれています。組織のセキュリティ姿勢を強化し、攻撃者がこれらの脆弱性を悪用するのを防ぐために、これらの脆弱性に対処する必要があります。

メモ
PIM計画をステップバイステップで実施の目安にすることができます。

ユーザー権限が高いほど、そのようなアカウントが漏洩した場合の被害の可能性は大きくなります。これらの特権を持つアイデンティティを可視化することで、Azure AD PIMはAzure AD Premium P2 Editionの機能であり、これらの重要な管理者ロールの制御、アクセス管理、およびレポート作成を通じて、管理者のアクセス権限に関連するリスクを軽減することができます。

このように、Azure AD PIMは、ジャストインタイムで十分な管理を可能にすることで、歓迎すべき衛生をもたらすのに役立ちます。ジャストインタイムの特権アクセスや永久的な特権の廃止が当たり前になるようにすることです。

この機能は、Azureのリソース管理のためのAzureのロールベースアクセス制御(RBAC)とも連携するようになりました。

また、Azure ADでは、従業員やビジネスパートナー(外部ユーザー)の企業全体のリソースへのアクセスを、強力なコンプライアンスと監査のコントロールで管理できるようになりました。

Azure ADのエンタイトルメント管理(最近発表され、このホワイトペーパーの発行日に公開プレビューで利用可能になりました)は、Office/Microsoft 365、何千もの一般的なSaaSアプリケーション、およびAzure ADと統合されたあらゆるLOBアプリケーションの従業員やパートナーのアクセス要求、承認、監査、およびレビューを自動化することで、社内コラボレーションの障壁を取り除きます。

昨年のIgniteカンファレンスで、MicrosoftはAzure ADでリソースへのアクセスを管理するガバナンスと管理のビジョンを概説しました。Azure ADエンタイトルメント管理は、Azure AD内のIDガバナンスの4番目のモジュールであり、他の3つのモジュール、上記で説明したAzure AD PIM、使用条件、およびアクセスの改訂版は既に一般に利用可能です。

ユーザーの行動をローカルで監視する

すでに述べたように、Azure ATPは、オンプレミスのActive Directoryディレクトリからの信号を分析して、高度な脅威、危殆化したアイデンティティ、悪意のある内部ユーザーの行動を検出することができます。

デバイスの管理

ノートパソコン、タブレット、スマートフォンを使用するモバイルワーカーが一般化している現在、デバイスはあらゆる攻撃の主な入力ベクトルであることに変わりはありません。フィッシングメールのリンクをクリックするだけで、マルウェアをインストールしたり、ログイン認証情報を取得して、アプリケーションや企業ネットワークにすぐにアクセスできるようにしたりすることができます。

2018年のVerizonの報告書によると、標的型フィッシング(スピアフィッシング)はデータの漏洩や侵害の93%を占めており、96%のケースではメールが最も利用されています。78%の人はこの手の餌には乗りませんが、3分の2のケースでは端末にマルウェアがインストールされてしまうというケースもあります。境界線の保護だけの環境では、ネットワークに接続された感染したデバイスが1台あるだけでマルウェアの拡散が始まり、標的型攻撃の場合には攻撃者が足がかりを得ることができます。

ゼロトラストのアプローチは、これらの強力な原則でペリメトリックモデルの本質的な弱点に対処します。

  • デバイスは信頼されていないので、フィッシング(など)攻撃から最善の防御を行い、マルウェアにできるだけ抵抗力を持つようにしなければなりません。
  • デバイスは、社外(インターネット)でも社内ネットワークに接続されていても、自分自身を守ることができなければなりません。後者は、侵害されたデバイスをホストしている可能性が高いためここでは、関連する活動を以下のように説明します。、信頼できるとは考えられません。
  • デバイスの異常動作を早期に特定し、標的型攻撃に特徴的な弱い信号を検出し、危殆化の伝播を回避したり、その影響を最小限に抑えようとする必要があります。

デバイスの認証

組織のリソースに接続するあらゆるデバイスのセキュリティを確保するためには、管理対象となるデバイスを把握し、管理ツールで参照する必要があります。そのために好ましいツールは、Windowsデバイスだけでなく、モバイルデバイス、スマートフォン、タブレット(iOS、Android)を管理できるMDM(Mobile Device Management)です。

MDMは、デバイスに知識とコントロールのレベルをもたらし、それに応じて信頼性を高める多くの機能を提供します。デバイスはまず、MDMで参照されるように登録され、証明書を受け取る必要があります。この証明書は、MDMサービスでデバイスを認証し、通信の機密性を確保するために使用されます。これにより、企業が管理するデバイスと、従業員(または攻撃者)が会社のアプリケーションにアクセスするために使用しようとするデバイスを明確に区別することができます。

マイクロソフトのソリューションポートフォリオでは、Azureポータルから直接アクセスできるMicrosoft IntuneによってMDM機能が提供されています。Microsoft IntuneはAzure ADと統合されています。

Microsoft Intuneのおかげで、登録プロセスでは、管理プロファイルを介してセキュリティポリシーや設定オプションなどのデバイス構成オプションのセットを提供しています。Simple Certificate Enrollment Protocol(SCEP)認証証明書を導入して、会社のWi-Fiへの接続を可能にすることができます。

Microsoft Intune は、このホワイトペーパーでさらに詳しく説明する MDM 機能とモバイルアプリケーション管理 (MAM) を組み合わせたエンタープライズモバイル管理システム (EMMS) のより広いカテゴリに属していることに注意する必要があります (セクション「信頼されたモバイルアプリケーションと設定のみへのアクセスを制限する」を参照)。また、Microsoft System Center Configuration Manager (SCCM)などのクライアント管理ツール(CMT)でのみ以前に発見された機能も組み込まれています。

2018年半ばには、Microsoft IntuneはGartner Magic QuadrantのEMMカテゴリでリーダーに位置づけられました。

デバイスの健全性とコンプライアンスの確保

セキュリティポリシーの実施

MDMに登録されると、デバイスはセキュリティの観点から管理可能になります。例えば、複雑なレベルのPINコード、OSのバージョンレベルの最小値、ストレージの暗号化、「脱獄」デバイスの使用禁止など、セキュリティポリシーが選択されたルールを課すように設定されています。

任意の時点で、デバイスが課されたセキュリティポリシーに準拠しなくなった場合、そのデバイスは非準拠とみなされ、会社の特定のリソースへのアクセスを拒否されたり、少なくともアクセスが制限されたりする可能性があります。

上記のiOSの例で定義されたポリシーでは、6文字のパスワード(PINコード)の使用が必要です。さらに、管理者は、制限されたアプリオプションを使用して特定のアプリの使用を禁止しています。

エンドツーエンドのセキュリティソリューションのビジョンの重要な要素は、デバイスの健康状態をほぼリアルタイムで把握し、防御がまだ有効かどうかを検出し、それに応じて適切な対策を講じることです。

図解で見るWindows 10デバイス

Windows 10デバイスの健全性の状態は、「Windows Defender System Guard Runtime Attestation」で判断して検証し、Azure ADの条件付きアクセスポリシーと組み合わせることで、「ゼロトラスト」のアプローチが可能です。

Windows 10の起動時に取られた生の措置は、Trusted Platform Module(TPM)のPlatform Configuration Registers(PCR)に保存され、すべてのイベント(実行パス、認証局など)の詳細はTCGログで確認できます。

Microsoft Defender ATPは、ブートシーケンスにルートキットなどのマルウェアの兆候が含まれているかどうかを判断できます。また、測定コンポーネントと検証コンポーネントを分離するために、ブートログをリモートのヘルス認証サーバに送信することもできます。

Microsoft Intune、またはサードパーティのMDMは、健全性検証サービスによって生成されたレポートを検査し、BitLockerディスク暗号化やアプリケーションコードの完全性制御などのセキュリティ防御がデバイス上で有効であるかどうかを判断することもできます。

コンプライアンス情報の報告

デバイスのコンプライアンス情報を提供するために、Azure ADと統合されるMDMのオプション機能を活用することをお勧めします。この情報は、Azure ADの条件付きアクセス制御評価エンジンの入力基準として利用できるようになります。例えば、Microsoft Intuneは、OSに関係なくデバイスのコンプライアンスをAzure ADに報告することができます。

すると、Azure ADで組織が定義した条件付きアクセスポリシーは、例えば、準拠したデバイスのみがより機密性の高いアプリケーションにアクセスできるように強制することができるようになります。他のアプリケーションについては、アクセスを許可することができますが、制限された方法で、例えば、情報をダウンロードする可能性はなく、読み取りのみを許可することで、アクセスを許可することができます。登録されていないデバイスは、定義上、非準拠とみなされ、関連するポリシーによって制約されます。

デバイスとアプリケーションの更新

すべてのデバイスのオペレーティング・システムを定期的に、可能な限りすぐにアップデートすることは、セキュリティの観点からも必要不可欠です。Windows 10デバイスはMDMによって直接アップデートすることができますが、他のモバイルOSの場合はユーザーアクションが必要なままです。

Windows 10は、デバイスの更新を駆動するために必要なAPIをMDMに提供し、自動更新ポリシーを具体的に強制したり、承認された更新プログラムのリストを指定して、後者のみがインストールされるようにします。

他のOSの場合、MDMはユーザーにデバイスのアップデートを促し、必要に応じて強制的にアップデートさせる機能を持っています。例えば、Microsoft Intuneの場合、ユーザはまず、デバイスをアップデートするまでにあとx日あることを示す一連の電子メールによって通知されます。この遅延が過ぎると、デバイスが事実上の非準拠状態になるため、条件付きアクセス制御ポリシーによって特定のアプリケーションへのアクセスが禁止されることがあります。Microsoft Intune MAM機能のアプリケーション保護ポリシーは、特定のバージョンのOSにMDMで保護されたアプリケーションの使用を継続することを強制するためにも利用できます。

エンドポイントの脅威検知と全デバイスのマルウェア対策ソフトの設定

すべてのデバイスにマルウェア対策ソリューションを搭載することが推奨されています。これらのソリューションは、悪意のあるWi-Fiからのネットワーク保護や、パッチされていない脆弱性の検証なども可能で、クラウドや機械学習を活用して、悪意のあるアプリケーションに関連した不審な動作を検知することができます。MDMでは、登録段階で組織のアプリストアからインストールを課すことができます。

モバイル脅威防御(MTD)として知られるこれらのソリューションは、MDMツールとインターフェイスして、アラートやデバイスの健康状態に関する情報をフィードすることができます。

Intuneでは、Lookout、Symantec Endpoint Protection Mobile、Check Point SandBlast Mobileなど、複数のパートナーソリューションが統合されています。

分析に応じて、脅威レベル (低、中、または高) が返され、Intune はデバイスが準拠しているかどうかを示すためにこの情報を使用します。この情報は、条件付きアクセスポリシーを利用して、特定のアプリケーションへのアクセスを制限したり、禁止したりすることができます。

上記の例では、iOSのコンプライアンスポリシーにより、デバイスがコンプライアンスを遵守しているとみなされなくなったレベルよりも下のレベルを調整することができます。

Windows 10のデバイス(とMac OS X)を例示

Windows 10 デバイスを含むすべてのデバイスのセキュリティを維持することは、ゼロトラストのビジョンと同様に、エンドツーエンドのセキュリティの基礎の一つです。

Windows 10のデバイスには、攻撃面を減らすための保護機構がセットになっています。

  • Windows Defender Exploit Protectionは、「Enhanced Mitigation Experience Toolkit」で利用可能なすべての保護メカニズムを統合することで、さまざまなタイプのエクスプロイトからWindows 10オペレーティングシステムを確実に保護します。
  • Windows Defender System Guardは、UEFI BIOSとTPMモジュールを介して信頼されたルートをハードウェアに固定することで、OSの安全な起動を保証し、その完全性を保証します。継続的なシステムの整合性チェックは、証明書を介してリモートで実行され、アクセス制御の基準として使用されます。
  • Windows Defender Credential Guardは、ローカルセキュリティ機関(LSA)サブシステムと、Hyper-V仮想化に依存したコンテナ内で操作する秘密を分離します。これにより、ユーザーのアイデンティティに関連する秘密を保護し、特権のエスカレーションを伴う横移動に使用されるパスザハッシュやパスザチケットタイプの攻撃を阻止することができます。
  • Windows Defender Application Guardは、ユーザーがEdgeブラウザを介して信頼できないWebサイトにアクセスした際に、OSやその他のアプリケーションを保護します。サイトは隔離されたHyper-Vコンテナ内で開かれるため、悪意のあるサイトであってもホストを危険にさらすことはありません。
  • Windows Defenderアプリケーションコントロールは、ユーザーが実行できるアプリケーションや、システムカーネル内で実行できるコードを制限することで、攻撃対象を減らします。

また、先に述べたWindows Defender Advanced Threat Protection(ATP)は、Windows 10デバイス(最近ではMacにも)に実装可能なマルウェア対策ソリューションで、検知、保護、対応に関する機能を提供しています。クラウドベースのマルウェア対策機能によって保護が確保されており、新興の脅威をほぼ瞬時に検出し、ブロックすることができます。

エンドポイント検出応答(EDR)は、Windows 10デバイスの挙動に関する情報を収集し、組織のみがアクセス可能なクラウドストレージに保存します。すべての Windows 10 デバイスからの情報を分析・相関させ、その結果をセキュリティ ダッシュボードで利用可能にします。アラートが報告されると、組織のSOCアナリストは、リスクがあると特定されたIDやマシンについて調査を実施し、危殆化した状況を完全に把握し、適切な対策を講じることができます。

最後に、以下のスキーマで示されるように、Windows Defender Advanced Threat Protection(ATP)は、Windows 10デバイスのステータスを転送するために、それ自体がAzure ADと統合されているMicrosoft Intuneと統合されています。

アプリケーションの管理

ここでは、リスクの高いアプリから保護する方法を次のように説明します。

  • 信頼できるモバイルアプリと構成のみへのアクセスを制限する。
  • 組織内で使用されているアプリケーションを検出する。
  • アプリケーションセッションの監視と管理。

信頼できるモバイルアプリと構成のみへのアクセスを制限する

前のセクションで詳述した「純粋な」デバイス管理を超えて、モバイルデバイス管理ツールは、従業員のデバイスにインストールされるエンタープライズアプリケーションを管理する機能を提供します。

アプリケーション管理またはモバイルアプリケーション管理(MAM)では、ユーザーのカテゴリやグループごとに、どのアプリケーションをどのモバイルデバイスに展開するかを選択することができます。言語、セキュリティ、企業のカスタマイズなど、各アプリケーションに固有の設定を設定することが可能です。

このアプリケーション制御は、デバイスが MDM に登録されている場合に可能であり、これはデバイスが会社に属し、ユーザーに提供されるという最も制限の多いシナリオです。2番目のより柔軟なタイプのシナリオであるBYOD(Bring-Your-Own-Device)は、従業員が個人用および業務用に自分の個人用デバイスを使用する場合にも可能です。この場合、デバイスはMDMに登録されませんが、管理者はアプリケーションをユーザーグループに割り当てたり、アプリケーションのアンインストールなどの機能が利用できなくても、特定のアプリケーションに保護ポリシーを割り当てたりすることができます。

Microsoft Intuneの場合、第2レベルの制御は、独自の保護ポリシーを組み込んだアプリケーションに適用され、処理するデータに追加のレベルの情報保護を提供するように適応されています。例えば、ビジネスコンテキストでアプリケーションを開くためにPINコードを義務づけたり、アプリケーション間のデータ共有を制御したり、会社のアプリケーションから個人の保存場所へのデータのコピーを防止したりすることが可能かもしれません。

この追加保護レベルは、すべてのOfficeモバイルアプリケーションで利用可能で、開発キットを使用してエンタープライズアプリケーションに実装することができます。

組織内で使用されているアプリケーションを検出する

SaaSモードのアプリケーションが普及し、LOBがそれらを簡単に利用できるようになったことで、「シャドーIT」と呼ばれるものは、企業のセキュリティポリシーを損なう可能性があります。これらのアプリケーションは、社内の IT 部門やセキュリティ・チームによって管理されておらず、セキュリティやコンプライアン ス基準に準拠しているかどうか、また、設置すべきセキュリティ・コントロールが存在するかどうかを保証するものではないため、脅威となります。例えば、LOB は、SaaS アプリケーションに加入し、GDPR などの規制の対象となる企業データを保存することができます。アプリケーションのセキュリティが適切に確保されていない場合、個人データの漏洩が発生した場合、イベントが発生した後に初めて漏洩が発覚する可能性のある組織に重大な影響を及ぼす可能性があります。

「ゼロトラスト」のビジョンでは、インターネットからアクセスできるため、最も露出が多いクラウドアプリケーションを含むアプリケーションを完全に制御することが求められています。しかし、「シャドーIT」は、何の可視性もセキュリティルールの遵守も保証されていないまま、境界線の延長線上にあり、露出を増やしています。

コントロールを取り戻すためのソリューションとして、クラウド発見機能を提供するCASB(Cloud Access Security Broker)ソリューションがあります。CASBは、さまざまなファイアウォールやプロキシのログから発信されるネットワークフローを分析することで、使用されているクラウドアプリケーションを特定し、これらのアプリケーションやアクセスしたユーザーなどに関するレポートを生成します。

Microsoft CASBソリューションは、トラフィックログの解析により16,000以上のクラウドアプリケーションを特定できるクラウドディスカバリー機能を提供するMicrosoft Cloud App Security。アクセスされたすべてのクラウドアプリケーションを横断的に可視化できるだけでなく、組織内の誰がそれらを使用しているかを特定することもできます。必要に応じて、Microsoft Cloud App Security(MCAS)が提供するリスクレベルの評価に頼ることで、非準拠と判断されたアプリケーションへのアクセスをブロックすることができます。

上記のスクリーンショットでは、貴社で利用されているSaaSソリューションが「Microsoft Online Services」と「Salesforce App」の2つのみであることが確認できます(実際の事例を代表するものではありません)。

アプリケーションセッションの監視と管理

これまで見てきたように、「ゼロトラスト」アプローチの実装の核心は、動的に進化する基準に対してアプリケーションへのアクセスを条件とすることです。

スマートフォンを所有していることの証明など、第二の要素を考慮しなければならない可能性のある認証段階を通過したユーザは、プロファイルにリンクされた権限でアプリケーションにアクセスします。しかし、このアクセスに使用されたデバイスが非準拠であると判断された場合、多要素認証を課したことで、ユーザの身元のみが保証されることになります。

非準拠のデバイスからアクセスが行われる場合、アプリケーションへのアクセスを禁止するセキュリ ティポリシーを選択することもできますし、よりニュアンスのある方法では、セッション内でのユーザーの権利を制限しながらアクセスを許可することもできます。例えば、クラウドストレージへのアクセスを許可する場合、ユーザーはドキュメントを開いたり編集したりできますが、ダウンロードや印刷はできません。これにより、信頼されていないデバイスへの情報漏洩のリスクを抑えることができます。

SharePoint Online/OneDrive for BusinessおよびExchange Online

Office/Microsoft 365では、SharePoint OnlineとOneDrive for Businessで、非対応デバイスからのアクセス時にユーザーの権限を制限するように設定することができます。ブラウザの上部に黄色のバナーが表示され、アクセスしたドキュメントのダウンロード、印刷、ローカルでの同期ができないことをユーザーに知らせることができます。

 

ユーザーが文書を開いた場合、ここではWordのオンラインで、バナーがローカルに保存したり、印刷したりすることができないことを警告します。

 

この保護により、意図しない情報漏えいを防ぐことができる一方で、ユーザーは会社の安全なストレージから出られないことを知りながら、自分の文書にアクセスして修正することができるようになります。

この動作は、アドホックな SharePoint Online/OneDrive for Business サービスの構成と一緒に Azure AD で条件付きアクセス制御ポリシーを構成することで可能になります。

Exchange オンラインでは、ユーザーが非準拠のデバイスから電子メールにアクセスした場合でも、同じような制限を受けることができます。ユーザーはメールを読んだり、添付ファイルを読んだり、OneDrive for Businessに保存したりすることができますが、ローカルにコピーすることはできません。

 

上記の例では、メールのトップバナーに表示され、ドキュメントをローカルにダウンロードできないことを指定する警告メッセージが表示されています。ユーザーは、添付されたドキュメントをプレビューするか、OneDrive for Businessに保存するかを選択することができます。

Microsoft Cloud App Securityでセッションを制御する

SharePoint Online/OneDrive for BusinessとExchange Online以外にも、条件付きアクセス制御を使用して、Azure ADでSAML 2.0とOpenID connectプロトコル(OIDC)を使用してシングルサインオン(SSO)として構成されたアプリケーションセッションや、Azure ADアプリケーションプロキシで構成されたローカルでホストされたWebアプリケーションを制御することができます。

これはMCASのリバースプロキシ機能に依存しており、セッションを制御することで、ダウンロードをブロックしたり、ダウンロードを許可しても暗号化して保護するなどの制限を適用することができます。

 

上のスクリーンショットは、ユーザが非準拠デバイスにローカルにコピーしようとした場合に、Salesforce からの機密文書のダウンロードをブロックする方法を示しています。Salesforce アプリケーションは、SAML 2.0 プロトコルを使用して Azure AD との連携シングルサインオンで事前に構成されています (記事「チュートリアル:AZURE ACTIVE DIRECTORYとSALESFORCEの統合」を参照)。そして、特定の条件の下でダウンロードブロッキングアクションを引き起こすためのポリシーをMCASで作成しました。

 

上記のスナップショットは、Salesforce から非準拠デバイスにアップロードされたすべてのドキュメントに Confidential ラベルを適用するように定義した MCAS で定義されたポリシーの画面の一部を示しています。このようなドキュメントはすべて、Azure Information Protection によって暗号化されています。

データの保護

「ゼロトラスト」モデルの原則の 1 つは、すべてのリソースは安全でなければならないと規定しています。すでに強調されているように、リソースは、アプリケーションだけでなく、それらが操作したり保存したりするデータも含みます。

以前に紹介したForrester社のホワイトペーパー「ゼロトラストネットワーク、ロードマップへのForresterの5つのステップ:セキュリティアーキテクチャと運用のPlaybook」(2018年10月1日)では、最初のステップとして、センシティブなデータを優先的に保護するための識別を提案しています。

実際、すべてのデータが同じ感度を持っているわけではないことは明らかです。感度が低く、組織外に公開しても影響が少ないデータもあれば、逆に重要なデータであり、公開すると深刻な結果を招く可能性があるデータもあります。これには、組織の戦略や成果に関する機密情報、多額の投資を伴う研究開発文書、その漏洩が会社の生命を脅かす可能性のある特許、規制の対象となるデータ(GDPRに提出された個人データなど)が含まれ、その漏洩が会社のイメージを損ない、高額の罰金にさらされる可能性があります。

導入される保護メカニズムは、データの機密性に関連していなければなりません。その結果、組織は、最も重要なデータが適切に保護され、許可されたユーザーのみがアクセスできるように、効果的な分類システムを設定する必要があります。

このためには、以下のことが必要です。

  • ユーザーが機密性に基づいてデータにラベル付けできるようにする
  • 静止時と移動中に暗号化を適用する
  • ラベリングや暗号化を自動的に適用するためのルールや条件の設定

ユーザーが機密性に基づいてデータにラベル付けできるようにする

利用者は主に情報の生産者であり、その結果、利用者が作成・操作するデータの機密性を評価することができるのは、 利用者が最も得意とするところです。前提条件として、情報保護の重要性を認識させ、組織が文書にラベルを割り当てて分類するために利用できる簡単なツールを使用するための訓練を受けている必要があります。

 

例として、上のスクリーンショットは、ユーザーが編集した文書を分類するために利用できるWordのインターフェースを示しています。分類バナーは、文書が機密に分類されていることを示しており、一連のボタンを使って感度のレベルを変更するオプションを提供しています。各ボタンには、選択されたレベルについての説明があり、ユーザーをガイドし、知らせることができます。

Microsoft Information Protection(MIP)プラットフォームは、他のサービスや機能の中でも、Azure Information ProtectionとOffice 365の間で統一されたラベルシステムを提供し、セキュリティとコンプライアンスセンターの1つのポータルからすべてのラベルを管理します。つまり、センシティブなデータを分類して保護するためのラベルや、データのライフサイクルに関連した保持を管理するためのラベル(例えば、データの保持や有効期限など)を一箇所から作成することができます。

ラベルは、独自の分類ポリシーに従って定義され、情報を操作するために使用されるアプリケーションのユーザーに表示されます。Office Suite(Word、Excel、PowerPoint、Outlook)のプログラムでは、Windowsシステム上で、インターフェイスから文書や電子メールを分類することができます。ユーザーは、MacOS X (Word、PowerPoint、Excel) プラットフォームや、iOS および Android 用のモバイル Office アプリケーション (公開時プレリリース中) で文書の分類にアクセスすることもできます。

Windowsでは、ファイルエクスプローラーには、選択したファイルを分類するための右クリックオプションもあります。

 

最近では、分類のサポート – 関連する暗号化の可能性を持つ – Windows用のAdobe Acrobat Readerで利用可能です。

 

分類ラベルを適用すると、暗号化で保護されたPDF文書であっても、ユーザが認証して十分な権限を持っていれば、Acrobat ReaderからPDF文書を開くことができるようになります。情報バナーには、分類レベルに対応したラベルが表示され、ファイルのセキュリティ設定を表示することで、権限の詳細を確認することができます。

静止時と移動中に暗号化を適用する

暗号化とは、モバイルデバイスに保存されているデータであっても、通信チャネルを介して伝送されているデータであっても、アプリケーション自体に存在しているデータであっても、データセンター内でデータの機密性を保護するための手段です。

オンプレミスのアプリケーションの場合、保管時の暗号化により、内部の不正な管理者によるアクセスのリスクを処理したり、クラウド上のアプリケーションの場合は、通常、規制要件に対処するための問題を処理することができます。

すべてのOffice Services/Microsoft 365サービスは、ローカルのハードウェアセキュリティモジュール(HSM)で暗号化キーを生成し、BYOK(Bring-Your-Your-Own-Key)機能を介して安全にインポートする機能を備えた独自の暗号化キー(Customer Managed KeyまたはCMK)を使用することで、静止時の暗号化をネイティブに提供しています。

Azureストレージサービス(ブロブ、キュー、テーブルまたはファイルストレージ)は、アプリケーションや開発者にとって透過的に、安静時のデータを体系的に暗号化します。Azure SQLデータベース、Azure Cosmos DB、Azure Data Lakeなどの高レベルのサービスも、ホストするデータを暗号化して保護し、独自の暗号化キー(CMK)を使用するオプションやBYOKのサポートを提供しています。

メモ
上記のサービスでBYOKを導入する方法の詳細については、ホワイトペーパー「Office 365とAZUREのAZURE KEY VAULTで自分のキー(BYOK)を使用する」を参照。

エンド・ツー・エンドの保護が原則とされる「ゼロトラスト」の状況下では、モバイル・デバイスのデータ保護は、最も露出度が高く、盗難に遭う可能性が高いため、非常に重要な意味を持ちます。盗難が発生した場合に機密データが開示されないようにするために、デバイスのストレージスペースを暗号化する必要があります。Windows 10の場合、BitLockerはデバイスのストレージ メディアの暗号化をネイティブに提供します。Windows Information Protection (WIP) は、組織のデータをファイルレベルで暗号化することで、ユーザーエクスペリエンスを妨げることなく情報漏洩の可能性を制限することで、組織のデータをさらに保護します。

最近では、BitLockerが提供する第一レベルの暗号化に加えて、WIPがファイルの分類を考慮に入れて、機密性の高いファイルに自動的に暗号化を適用できるようになったことが発表されました。

Azure 情報保護は、ラベリングによって分類を管理し、必要に応じて Azure Rights Management (Azure RMS) を活用して、会社が定義したポリシーによって重要と分類された文書やメールを暗号化することができます。このサービスは、コンテンツを暗号化し、ID関連のアクセス権を適用することで保護を適用します。ファイルの場合、安全でないストレージにコピーされたり、社外に流出した場合でも、その保護が組み込まれており、権限のある者のみがアクセスできるようになります。

転送中のデータ保護は、機密性を確保することで盗聴のリスクに対処します。Officeサービス/Microsoft 365へのアクセス(Exchangeオンラインでの電子メール、SharePoint OnlineまたはOneDrive for Businessに保存されたドキュメント)は、すべての交換にTLS 1.2を使用しています。また、他のOffice 365のお客様に送信されるすべての電子メールメッセージは、TLSプロトコルを使用して暗号化された接続を経由して送信され、PFS(Perfect Forward Secrecy)を使用して安全に保護されています。

Azureの場合、Azureサービスへのクライアントアクセスも、TLSプロトコルに関連付けられた暗号化によって保護されています。RDP や SSH を通じての管理者アクセスも暗号化の恩恵を受けます。

ラベリングや暗号化を自動的に適用するためのルールや条件の設定

ラベリングは、前に「ユーザーが機密性に基づいてデータにラベル付けできるようにする」で見たように、ユーザーが直接行うことができますが、管理者によって定義されたルールやポリシーに従って自動的に行うこともできます。

Office/Microsoft 365では、管理者は、センシティブなデータおよび/または規制の対象となるデータを検出するための事前定義の検出ルールを選択することができるようになります。例えば、運転免許証番号、パスポート、IDカード番号などを、既存の関数や正規表現を使って認識することができます。

DLP(データ漏洩防止)戦略モデルは、企業ポリシーの開発の出発点として利用できます。ポリシーは、検出と分類の後に、透かしの追加、特定のヘッダーやフッターの追加、Azure RMSに基づく暗号化保護など、どのようなアクションを適用すべきかを定義します。

サイバー攻撃の阻止

ゼロトラスト・ネットワークの最初の実装(セクション「理論から最初の実践的実装」を参照)や拡張アプローチ(セクション「第二の「反復」」を参照)でさえも、サイバー攻撃の二大要素である検知と対応に取り組んでいませんでした。

上述したように、「侵害を想定する」(セクション「エンドツーエンドのセキュリティ」を参照)という現代のセキュリティのアプローチは、最も自動化された対応の可能性に関連した検知システムを設定することを含みます。効果的であるためには、検出は、関与するすべての要素、すなわち、アイデンティティ、デバイス、リソー ス、およびディレクトリ、認証などのサービスを提供するシステムに適用されるべきです。

また、大量のアラートが殺到しないようにするためには – その一方で、個々の弱い信号を識別することができ、相関している場合は、進行中の攻撃の指標となる可能性があります-、非常に大量のイベントを効果的に処理し、誤検知を最小限に抑え、ほとんどのアラートを自動処理することで、SOC のアナリストが最も深刻なアラートの調査に集中できるようにする必要があります。

今日では、人工知能アルゴリズムに基づいた検知ソリューションがクラウド上でホストされており、事実上無限の処理能力とストレージ能力を活用して、人手で処理するアラートの数を大幅に制限しながら、人間の能力を超えた正確さでこれらのタスクを実行することができます。

したがって、サイバー攻撃を阻止する能力は、ますます重要になっている一連の信号を処理し、リアルタイムで、可能であればすべての脅威に自動的に反応して、可能な限り迅速にサイバー攻撃を阻止または取り締まることができる能力にかかっています。

それは、以下の機能に要約することができます。

  • 侵害されたIDのブロックまたは更新。
  • セッションリスクを軽減するために多要素認証を適切に実施する。
  • 感染したデバイスへのアクセスを拒否する。
  • リスクのある文書へのアクセスを取り消す。
  • 新たな脅威に対する自動防御。

侵害されたIDのブロックまたは更新

アイデンティティへの攻撃を検知して、アイデンティティが侵害されたり、サービスへのゲートウェイになったりするのを防ぐことは非常に重要です。これは、機密情報にアクセスしたり、サービスやプラットフォームの管理に責任を持つ特権アカウントでは、さらに重要になります。

前述したように(セクション「AZURE ADでの条件付きアクセスポリシーの設定」を参照)、Azure ADのアイデンティティ保護は、機械学習アルゴリズムと適応型ヒューリスティックテンプレートを使用して、侵害された可能性のあるアイデンティティを明らかにする異常や不審なインシデントを検出します。これにより、漏洩したアイデンティティの悪用を未然に防ぎ、組織のアイデンティティに影響を与える可能性のある脆弱性を検出し、検出された不審なアクションに対する自動応答を構成し、疑わしいインシデントを調査して適切な対処を行って解決します。

セッションリスクを軽減するために多要素認証を適切に実施する

すでに述べたように、ユーザーが認証を行うと、Azure AD Identity Protectionは接続要求を分析し、一定の基準に従ってリスクレベル(低、中、高)を割り当てます。例えば、不可能なトリップであるため接続が怪しい場合、ユーザーが見知らぬ場所から初めてログインした場合、Tor型ブラウザで匿名のIPアドレスを使用した場合など、リスクレベルが中程度または高程度の接続が関連付けられます。

危険な接続からの自動保護を有効にするには、管理者は、ユーザーに多要素認証を課すAzure ADの条件付きアクセスポリシーを設定することができます(セクション「多要素認証の使用」を参照してください)。

メモ
この機能の詳細については、「HOW TO: SING-IN RISK POLICY の設定」および「認証方法とは何か」の記事を参照。

感染したデバイスへのアクセスを拒否する

すべてのデバイスには、デバイスの健康状態のアラートや情報を追跡するために、MDM ツールとインターフェイスできるモバイル脅威防御(MTD)マルウェア保護ソリューションを装備することをお勧めします。

その分析に基づいて、MTDソリューションは脅威レベルを低、中、または高のいずれかで返し、Intuneはデバイスが準拠しているかどうかを示すために使用します。この情報は、サービスやアプリケーションへのアクセスを制限または拒否するために、Azure ADの条件付きアクセスポリシーによって考慮することができます。

リスクのある文書へのアクセスを取り消す

ドキュメントがAzureの情報保護によって保護され、電子メールを送信したり、クラウド共有サイトで利用できるようにしたりするなど、さまざまな方法でさまざまな人と共有されている場合、ドキュメントの所有者は、ドキュメント追跡サイトを通じてその使用状況を追跡することができます。所有者は、誰がドキュメントにどの場所からアクセスしたか(アクセスには認証が必要なため)、アクセスしようとしたが認証に失敗したユーザーを確認できます。また、セキュリティ上の理由から、権限のある人物の1人のIDが不正使用されたと考えた場合、いつでもドキュメントへのアクセスを取り消すことができます。

トラッキングポータルへのアクセスは、Officeアプリケーション(下図のWordのように)から、またはファイルエクスプローラから可能です。

 

ポータルにアクセスすると、ユーザーはアクセスの取り消しボタンでアクセスを取り消すことができます。

 

新たな脅威に対する自動防御

脅威の検出には、企業の内部ネットワーク上であれ、クラウド上であれ、デバイス、ユーザー、サーバーのレベルで異常なフローや行動を分析する必要があります。

Microsoft は、さまざまなスコープに対応し、既存のソリューションと統合可能なソリューションのポートフォリオを提供しています。Azure Advanced Threat ProtectionはActive Directoryドメインコントローラの分析を通じて内部ネットワークの監視に特化しており、Microsoft Defender Advanced Threat ProtectionはWindows 10とMacOS Xのデバイス挙動分析に依存しており、Azure Security Centerはワークロードのセキュリティ態勢を強化し、脅威を検知します。最後に、Azure SentinelはSIEMタイプのソリューションで、グローバルな検知と対応を提供します。

Azure Advanced Threat protection は、Active Directory ドメインコントローラとイベントログからのトラフィックを収集して内部ネットワークを監視し、大量の情報の中から、攻撃の重要な指標となり得る不審な行動を分析して検出します。このサービスは、内部ネットワーク内の「通常の」行動のベースラインを確立することで、攻撃の好ましいベクトルであるアイデンティティの監視に焦点を当て、一般的なノイズの中から不審な行動をより効果的に識別し、最終的に関連するアラートを発生させることができるようにします。

Azure Advanced Threat Protection は、攻撃者によって開始された内部攻撃の試みを検出し、侵害された ID を特定し、Pass-The-Hash (PtH) または Pass-The-Ticket (PtT) 攻撃に基づいた横方向の動きを検出したり、侵害されたドメインコントローラを強調したりすることができます。Azure ATPは、潜在的な攻撃の試みを可能な限り早期に検出し、セキュリティチームが対策を講じて伝播を防ぐのに役立ちます。

Microsoft Defender Advanced Threat Protectionは、Windows 10デバイスや最近ではMac OS Xデバイスから収集したイベントを分析することで、脅威の検出と保護ツールのカテゴリに分類されます。一連の不審なイベントに一致する脅威が検出されると、アラートが作成されます。複数のアラートが相関している場合、それらはインシデントとしてグループ化され、セキュリティオペレーションセンターやSOCで監視を担当するセキュリティアナリストの調査作業を容易にします。

Azure Security Centerは、AzureのPaaSサービスだけでなく、Azureやオンプレミスの仮想マシンやサーバーを継続的に監視するクラウドベースのセキュリティ管理ソリューションです。PaaSサービスは、監視エージェントのインストールが必要なWindowsまたはLinuxのVMをネイティブで管理します(AzureのVMではデフォルトで自動的に実行されます)。設定データとイベントログは、お客様が所有するワークスペースで分析のために収集されます。

このデータの分析結果は、ダッシュボードを通じて、すべてのリソースのセキュリティ状態を提供することで、環境のセキュリ ティ姿勢の全体像を提供します。また、事前に定義されたセキュリティポリシーに関連した設定ミスや、状況に合わせて適用した設定ミスがハイライトされ、改善のために適用すべき推奨事項が提供されます。最後に、ネットワークマッピングツールは、ワークロードのネットワークトポロジーを表示します。

まとめると、Azure Security Centerは、インフラの導入を必要としないクラウドサービスの利点を活かしつつ、必要なだけのストレージや計算リソースをネイティブに提供することで、セキュリティ態勢を強化し、脅威を検知して自らを守ることができます。

Microsoft Azure Sentinelは、Azureクラウドをベースにしたセキュリティ情報・イベント管理(SIEM)およびセキュリティ・オーケストレーテッド自動応答(SOAR)ソリューションで、企業のさまざまなソースからデータを収集してグローバルに脅威を検知するように設計されています。Microsoftのサービス(Azure AD、Office 365、Azure Security Centerなど)、サードパーティのソリューション(Cisco、Fortinet、Palo Altoなど)、他のクラウドから、またはSyslog形式でログを収集するためのコネクタが多数用意されています。

Azure Sentinelはこのデータを分析し、不審な項目がある場合には、インシデントの形で集約されたアラートを生成し、調査ツールのおかげでアナリストが詳細を知ることができます。環境に合わせた独自の検出ルール(Kusto Query LanguageまたはKQLで書かれている)を作成することが可能です – GitHubで多くの例が公開されています。分析は、事前に定義された機械学習モデルに基づいて行われ、独自のデータセットに適用されます。データサイエンティストが開発した独自のアルゴリズムを使用することもできます。

また、オープンソースのMISPプラットフォームなどの外部ソースや、独自の内部ソースから脅威指標やTIをインポートすることもできます。最後に、自動化およびオーケストレーションソリューションは「プレイブック」の形で提供されており、コーディングなしで、人間の介入なしで、特定のアラートシナリオへの極めて迅速な応答を作成することができます。

 

上の図では、Azure Sentinelのダッシュボードで収集・分析されたイベント数(44億件)とその分布をグラフ化しています。世界地図に描かれているように、特にアジアの2つの地域から多くの潜在的な脅威が検出されているにもかかわらず、アラートは発生していません。

結論

前述でゼロトラスト・アプローチを構築するために議論された原則は、Azure ADを使用してIDインフラストラクチャを保護するための5つの主要なステップに従っており、このように基本を提供しています。

  1. クレデンシャルを強化する。ID システムのユーザーが弱いパスワードを使用し、多要素認証 (MFA) で強化していない場合は、いつ侵害されるかではなく、どれくらいの頻度で侵害されるかが問題です。
  2. 攻撃対象を減らす。攻撃者の生活をより困難にするには、古いプロトコルや安全性の低いプロトコルの使用を排除し、アクセスポイントを制限し、リソースへの管理者アクセスをより有意義に制御します。
  3. 脅威への対応を自動化する。攻撃者が環境内にいる時間を短縮することで、コストとリスクを削減します。
  4. セキュリティアラートの監査と監視により、意識レベルを向上させる。セキュリティ関連イベントと関連するアラートの監査とロギングを使用して、内部攻撃やネットワークへの外部からの侵入が成功したことを示すパターンを検出するのに役立ちます。
  5. より完全で予測可能なエンドユーザーセキュリティのためのセルフヘルプを可能にする。ユーザーが生産性を維持しながら警戒心を保つことができるようにすることで、摩擦を軽減します。

コメント

タイトルとURLをコピーしました