Aug 16,2022

ゼロトラストへのジャーニー：顧客の安全を確保するためのプロアクティブなアプローチ

ゼロトラストへのジャーニー：顧客の安全を確保するためのプロアクティブなアプローチ

この記事はMicrosoft Partner Network – MPN Blogs site に掲載された記事Journey to Zero Trust: a proactive approach to securing your customersの翻訳です。最新情報についてはリンク元のページをご参照ください。

「そのユーザーアカウントに多要素認証が適用されていれば…」これは、インシデントを調査するセキュリティレスポンダーにとって、あまりに身近なフレーズとなっています。Brute Force、Password Spraying、Phishingなどの攻撃は、攻撃者にとってシステムへの不正アクセスを可能にする効果的な手段であり続けています。これらの技術に対抗するため、私たちは、顧客とパートナーエコシステム全体を保護するゼロトラストへのジャーニーの次のステップとして、Microsoft Azure Active Directoryのセキュリティの規定値を顧客が有効化できるようにしました。本ブログでは、顧客テナントを管理されているパートナー様に、この変更について理解いただき、顧客が規定値を有効にできるよう、積極的に協力いただくことを目的としています。

Azure Active Directoryのセキュリティ規定値について

先日のブログで、既存のAzure Active Directoryのテナントに対して、セキュリティの規定値を展開することを発表しました。多要素認証（MFA）は、セキュリティ規定値の重要な要素であり、ID関連の攻撃の99.9%に対して有効であることが証明され続けています。この展開には、マイクロソフトパートナー様が管理する顧客テナントが含まれます。以下の基準の1つ以上に該当する顧客テナントは、現在、セキュリティ規定値群の展開対象ではありません。このような場合は、パートナー様は顧客と協力し、顧客のAzure ADテナントの全アカウントでMFAが有効になっていることを確認いただくようお願いいたします。

現在条件付きアクセスポリシーを使用しているテナント。新しい条件付きアクセスの概要ページを使用して、既存の条件付きアクセスポリシーを確認したり、既存のポリシーや適用範囲を改善する方法についてのインサイトを得たりすることが可能です。
過去にセキュリティの規定値群をオフにしたことがあるテナント。
現在、レガシー認証を使用しているアプリがあるテナント。この記事に従って、顧客がレガシー認証を使用するアプリを使用しているかどうかを確認ください。

顧客は、Azure Active Directory 環境を攻撃者から保護するために、パートナー様を頼りにしています。この課題に取り組むため、顧客がまだ条件付きアクセスポリシーを使用して MFA を適用していない場合、弊社から顧客に展開するのを待つのではなく、パートナー様にて顧客のAzure AD テナントで今すぐセキュリティの規定値をオンにすることをお勧めします。以下に、パートナー様がこちらを展開するための手順を示しますのでご覧ください。

セキュリティの規定値をオンにする

Azure ADのセキュリティの規定値をオンにするのは非常に簡単で、以下に示す5つのステップに沿って実行いただけます。

Azure Portalに、セキュリティ管理者、条件付きアクセス管理者、またはグローバル管理者としてサインインします。
Azure Active Directory > プロパティと進みます。
セキュリティの規定値の管理を選択してください。
セキュリティの規定値の有効化を Yes に設定します。
保存を選択し、終了です。

多要素認証の登録をする

顧客の Azure Active Directory テナントでセキュリティの既定値を有効にすると、そのテナント内のユーザーは Microsoft Authenticator モバイルアプリを使用して MFA に登録する必要があります。なお、この登録を 14 日間保留することが可能です。また、グローバル管理者ロールを持つユーザーは、電話番号の入力が必要になります。以下は、セキュリティの規定値が有効になっている場合に、ユーザーとグローバル管理者がログイン時に表示される内容の例です。

重要：以下のレポートより、MFA登録の進捗状況を追跡いただけます。MFAに登録しないユーザーには、必ずフォローアップを行ってください。また、無効化されたアカウントを発見する絶好の機会でもあります。注意：MFA未登録で休眠状態のユーザーアカウントは、攻撃者にとって格好のターゲットとなります。

ログイン動作の変化

MFAに登録されたユーザーは、場所、デバイス、ロール、タスクなどの要素に基づき、必要に応じてMFAを要求されるようになります。管理者が持つ権限により、特定のAzure AD管理者ロールを持つユーザーは、ログインするたびにMFAの要求が表示されるようになります。これらのAzure ADの管理者ロールは、こちらで確認できます。

顧客のMFA導入を支援する

顧客の中には、MFAを導入する準備ができていない、あるいはログイン時に混乱が生じるという理由で導入に反対している方がいらっしゃるかと思います。ここでは、セキュリティの規定値について顧客と話し合う際に役立つ、トークポイントをいくつかご紹介します。

Azure ADの管理者ロールを持たないユーザーの場合、Azure ADがアカウントおよび/またはログインに疑わしい動きがあると判断した場合にのみ、MFAの要求が表示されます。セキュリティの規定値では、Azure ADの管理者ロールを持たないユーザーにはログインごとにMFA要求を表示させません。
Azure AD 特権管理者ロールが割り当てられているユーザーの場合、より頻繁に MFA 要求が表示されるのは、そのロールの露出度が高いためです。Privileged Identity Management (PIM) を使用して、アカウントにおけるロールの変換が可能です。Just-In-Timeアクセスで、特権タスクを実行する必要があるときのみ、そのアカウントを特権ロールに変換いただけるのです。PIMは、ユーザーアカウントが常時管理者アクセス権を持たないことを保証します。 Zero Trustの重要な柱である最小特権とJust-In-Timeアクセスを実現するためのベストプラクティスは、以下のリンクを参照してください。Azure AD ロールのベストプラクティス
MFAを有効にすべき理由を示すために、次の統計を使用してください。

・MFAは、ID関連の攻撃を99.9%阻止することができます。
・セキュリティの規定値を有効にしている組織では、すべてのAzure ADテナントと比較して79% も侵害が少なくなっています。

アカウントがMFAで保護されていない限り、顧客が管理ロールや、Azureサブスクリプションのコントリビューター権を持てないようにする契約文言を検討してください。これにより、MFA を使用しない顧客のユーザーアカウントが侵害された場合に発生する影響を制限できます。

セキュリティの規定値をオプトアウトする場合

セキュリティの規定値による保護について説明しても、なお顧客がセキュリティの規定値の適用を固辞する場合は、Azure Active Directory のプロパティページまたは Microsoft 365 管理センターよりセキュリティの規定値をオフにすることができます。以下のように、セキュリティの規定値の有効化 オプションを いいえ に切り替えた際に表示されるダイアログに、顧客がオプトアウトを希望した理由を必ず記入してください。今後のリリースでこの機能を改善するのに役立ちます。