特権アクセス

特権アクセス管理では、クラウド環境での管理資格情報と影響の大きい操作を保護するための制御が確立されます。 静的管理者グループを使用する従来のオンプレミス モデルとは異なり、最新のクラウド プラットフォームでは、動的な時間制限付き特権の割り当て、継続的な監視、Just-In-Time アクセスが必要であり、インフラストラクチャの急速な変更や、資格情報の盗難、特権エスカレーション、横移動などの攻撃対象領域の拡大に対処する必要があります。 これらの制御を実装する組織は、運用の機敏性を維持しながら最小限の特権とゼロ トラストの原則を適用しますが、これらの対策を無視する組織は、検出されない資格情報の侵害と無制限の管理アクセスに直面し、テナント全体の侵害を可能にします。

Privileged Access セキュリティ ドメインの 4 つの主要な柱を次に示します。

ユーザー ID を保護する: 一元化された ID 管理、強力な多要素認証、ライフサイクル管理、特権アクセス ワークステーション、緊急アクセス計画を通じて、すべてのユーザー アカウント (特に特権アカウント) のセキュリティを確立します。

関連するコントロール:

• IM-1: 一元化された ID と認証システムを使用する
• IM-2: ID と認証システムを保護する
• IM-5: アプリケーション アクセスにシングル サインオン (SSO) を使用する
• IM-6: 強力な認証コントロールを使用する
• IM-7: 条件に基づいてリソース アクセスを制限する

アプリケーションとシークレットを保護する: 自動化されたサーバー/サービス認証と、API キーと証明書のセキュリティで保護されたシークレット管理を使用して、人間以外の ID を安全に管理します。

関連するコントロール:

• IM-3: アプリケーション ID を安全かつ自動的に管理する
• IM-4: サーバーとサービスを認証する
• IM-8: 資格情報とシークレットの公開を制限する

セキュリティで保護されたアクセス: 時間制限付きアクセス許可、条件付きアクセス ポリシー、クラウド プロバイダーサポートのための制御された外部アクセスを使用して、最小限の特権と十分な管理を適用します。

関連するコントロール:

• PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
• PA-2: ユーザー アカウントとアクセス許可の永続的なアクセスを回避する
• PA-3: ID とエンタイトルメントのライフサイクルを管理する
• PA-5: 緊急アクセスを設定する
• PA-6: 特権アクセス ワークステーションを使用する
• PA-7: 十分な管理 (最小特権) の原則に従う
• PA-8: クラウド プロバイダーサポートのアクセス プロセスを決定する

監視とガバナンス: 定期的なアクセス レビュー、ユーザー権限の調整、異常検出、監査ログを通じて継続的な監視を維持し、適切なアクセス許可とタイムリーな失効を確保します。

関連するコントロール:

• PA-4: ユーザー アクセスを定期的に確認して調整する
• LT-2: ID とアクセス管理の脅威検出を有効にする

PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する

Azure Policy:Azure の組み込みポリシー定義 PA-1 を参照してください。

セキュリティの原則

ビジネスへの影響が大きいすべてのアカウントを特定し、コントロール プレーン、管理プレーン、およびデータ ワークロード プレーン全体の特権管理者アカウントの数を制限して、侵害された資格情報から攻撃対象領域と爆発半径を最小限に抑えます。

軽減すべきリスク

• 特権を超えるアカウントからの未承認のアクセス 敵対者は、管理コンソール、API、機密データ ストアなどの重要なクラウド リソースへの不正アクセスを得るために、過剰なアクセス許可を持つ高い特権を持つアカウントを悪用します。 分離を行わないと、1 つの侵害された管理者アカウントによって、攻撃者は IAM ポリシーの変更、悪意のあるワークロードのデプロイ、テナント全体のデータの流出に無制限のアクセスを提供できます。
• 侵害された管理者資格情報による特権エスカレーション 攻撃者は、侵害された特権資格情報を利用してアクセスをエスカレートし、クラウド テナントまたは重要なインフラストラクチャを制御します。 管理者アカウントが分離されていない環境では、盗まれた資格情報を使用してロールの割り当てを操作したり、新しい特権アカウントを作成したり、セキュリティ制御を無効にしたりして、テナント全体の侵害を可能にすることができます。
• 古い特権アカウントまたは監視されていない特権アカウントからの永続的なアクセス 敵対者は、古いまたは監視されていない特権アカウントを悪用して永続的なアクセスを維持し、最初の侵害後の検出を回避します。 ロールの変更またはプロジェクトの完了後もアクティブな状態を維持する管理者アカウントは、攻撃者に API を呼び出したりリソースを変更したりするための長期的なアクセスを提供し、侵害が長期化するリスクを高めます。

MITRE ATT&CK

• 初期アクセス (TA0001) 有効なアカウント: クラウド アカウント (T1078.004): 高い特権を持つアカウントを侵害してクラウド コンソールまたは API に対して認証し、盗まれた管理者資格情報を使用して重要なリソースにアクセスします。
• 特権エスカレーション (TA0004) 不正使用昇格制御メカニズム: クラウド インフラストラクチャ (T1548.005): スコープ外の特権アカウントを悪用し、IAM ポリシーを変更してアクセスをエスカレートし、テナント全体の制御を取得します。
• 永続化 (TA0003) アカウント操作: 追加のクラウド ロール (T1098.001): 特権アカウントを変更して永続的なロールを追加し、クラウド リソースへの長期的なアクセスを維持します。

PA-1.1: Microsoft Entra で特権の高い管理者ユーザーを制限および限定する

高特権を持つ管理者アカウントを制限すると、許可されていないテナント全体へのアクセスを防ぎ、資格情報の漏洩による影響範囲を最小化できます。 過剰なグローバル管理者を持つ組織は、攻撃者が IAM ポリシーを操作したり、悪意のあるワークロードをデプロイしたり、すべてのリソースにデータを流出させたりする侵害のリスクが高まります。 これらのアカウントを重要な担当者のみに制限すると、最小限の特権が適用され、攻撃対象領域が減少します。

クラウド ID 管理ロールには、次の制限を実装します。

• 重要な組み込みロールを特定 するMicrosoft Entra ID の最も 重要な組み込みロール はグローバル管理者と特権ロール管理者です。これらのロールに割り当てられたユーザーは管理者ロールを委任し、クラウド環境内のすべてのリソースを直接または間接的に読み取り、変更できます。

• カスタム ロールのアクセス許可を評価 ID管理システムのカスタムロールを確認し、ビジネスニーズに基づいて管理する必要がある特権アクセス許可に対して、組み込みの特権ロールと同じ制限を適用します。

• クラウド ID システムを超えて制限を拡張する これらの管理システムの侵害により、攻撃者はクラウド リソースへの横移動のためにそれらを武器化できるため、ビジネスクリティカルな資産 (Active Directory ドメイン コントローラー、セキュリティ監視システム、構成管理ツールなど) への管理アクセスを使用して、オンプレミスの ID システム、セキュリティ ツール、およびシステム管理ツールの特権アカウントを制限します。

PA-1.2: Azure リソース レベルで特権の高い管理ユーザーを制限し、抑制する

リソース レベルで特権ロールを制限すると、クラウド リソースへの未承認のアクセスが防止され、サブスクリプションとリソース グループ間で最小限の特権が適用されます。 サブスクリプション スコープで所有者または共同作成者が過剰に割り当てられている場合、攻撃者はリソースの操作、セキュリティ制御の変更、または初期侵害後の特権のエスカレートを行うことができます。 これらの割り当てを制限すると、爆発半径が減少し、管理アクセスが運用上の責任と一致することが保証されます。

クラウド リソース レベルの管理ロールには、次の制限を適用します。

• 重要な組み込みリソース ロールを制限 するAzure には、広範なアクセス許可を付与する 組み込みロール があります (所有者はロールの割り当てを含むフル アクセスを許可します。共同作成者は、完全なリソース管理を許可します。ユーザー アクセス管理者は、ユーザー アクセス管理を有効にします)。テナント レベルの特権ロールと同じ制限が必要です。

• カスタム リソース ロールの管理 ビジネス ニーズから割り当てられた特権アクセス許可を持つリソース レベルでカスタム ロールを確認して制限し、アクセス許可の組み合わせによって過剰なアクセス権を誤って付与しないようにします。

• 課金とサブスクリプションの管理ロールを制御 するEnterprise Agreement をお持ちのお客様の場合は、Azure Cost Management と Billing の管理ロール (アカウント所有者、エンタープライズ管理者、部門管理者) を制限します。これは、サブスクリプションの直接または間接的な管理、サブスクリプションの作成/削除、および他の管理者の管理が可能であるためです。

実装例

挑戦： 金融サービス組織は、ID レイヤーとリソース 層の両方で過剰な特権アクセスを検出しました。 Microsoft Entra ID の 47 個のグローバル管理者アカウント (6 か月以上使用されていないアカウント) と、Azure のサブスクリプション スコープで所有者ロールを持つ 89 人のユーザーが、大規模な攻撃対象領域を作成し、最小限の特権原則に違反しています。

Solution:

• Entra 特権ロールの監査と削減: すべてのグローバル管理者と特権ロール管理者の割り当ての包括的な監査を実施し、各アカウントの業務上の正当な理由を特定し、運用ニーズに合わせて 47 人から 8 人のグローバル管理者に減らしました。
• Entra でロール固有の割り当てを実装する: Microsoft Entra 組み込みロールを使用して詳細なアクセス許可を適用し、実際のジョブ機能に基づいてグローバル管理者から特定のロール (ユーザー管理者、セキュリティ管理者、コンプライアンス管理者) に移行しました。
• Azure サブスクリプション スコープの割り当てを減らす:Azure ロールベースのアクセス制御 (RBAC) レベルですべての所有者ロールと共同作成者ロールの割り当てを監査し、チームの責任に基づいてロールを特定のリソース グループにスコープすることで、サブスクリプション スコープの所有者の割り当てを 89 から 12 に減らしました。
• リソース グループのスコープを実装します。 サブスクリプション レベルの共同作成者からリソース グループ レベルの共同作成者、または実際のニーズに一致する特定の組み込みロール (仮想マシン共同作成者、ストレージ アカウント共同作成者) に移行された開発チーム。
• 統一されたガバナンスを確立します。 Entra リソース レベルと Azure リソース レベルの両方で新しい特権ロールの割り当てに対して役員とセキュリティ チームのサインオフを要求する承認ワークフローを作成し、四半期ごとのアクセス レビューと、承認されたスコープを超える割り当ての自動アラートを行います。

結果： 組織は、ID 層とリソース 層全体で特権アカウント攻撃対象領域を大幅に削減し、古い管理アクセスを排除し、テナントレベルとサブスクリプション レベルの両方で特権の不備を防ぐ持続可能なガバナンスを確立しました。

重要度レベル

持っている必要があります。

コントロール マッピング

• NIST SP 800-53 Rev.5 AC-2(1)、AC-2(7)、AC-5、AC-6(1)、AC-6(5)
• PCI-DSS v4 7.2.2、7.2.4、8.2.2
• CIS コントロール v8.1 5.4、6.7、6.8
• NIST CSF v2.0 PR。AC-4、PR。AA-1
• ISO 27001:2022 A.5.15、A.5.18、A.8.2
• SOC 2 CC6.1、CC6.2

PA-2: ユーザー アカウントとアクセス許可の永続的なアクセスを回避する

Azure Policy:Azure の組み込みポリシー定義 PA-2 を参照してください。

セキュリティの原則

一時的で期限付きのアクセス許可を割り当てるために、ジャストインタイム（Just-In-Time）特権アクセスメカニズムを実装します。これにより、悪意のあるユーザーや無許可のユーザーが、資格情報の漏洩や内部関係者の行動により、常時有効な管理者アクセスを悪用することを防ぎます。

軽減すべきリスク

• 永続的な特権アカウントからの未承認のアクセス 高い特権ロールを持つことにより、敵対者は、データを流出させる API の呼び出しや悪意のあるワークロードのデプロイなど、クラウド リソースへの不正アクセスのために侵害された資格情報を悪用し、一時的な制限なしに常時オンのアクセス許可を利用できます。
• 侵害された資格情報による特権エスカレーション 永続的な昇格されたロールを持つ侵害されたアカウントを使用すると、攻撃者は、テナント全体の管理ロールの割り当て、時間制限付きアクセスの欠如を利用してサブスクリプションまたはリソースを制御するなど、IAM ポリシーを変更することで特権をエスカレートできます。
• 古いアクセスからの長時間の露出 タスク完了後に未承認のロールは、拡張公開ウィンドウを作成し、敵対者は、忘れたアクセス許可や管理されていないアクセス許可のために、ストレージ アカウントからデータを抽出するなど、未承認のアクセスのために古い資格情報を悪用できるようにします。

MITRE ATT&CK

• 初期アクセス (TA0001) 有効なアカウント: クラウド アカウント (T1078.004): 永続的な認証情報を利用して時間制限なしにリソースにアクセスし、クラウド管理コンソールまたは API に対して認証を行うため、恒常的な高特権の役割を持つアカウントを悪用します。
• 特権エスカレーション (TA0004) 不正使用の昇格制御メカニズム: クラウド インフラストラクチャ (T1548.005): 永続的な特権ロールを利用して IAM ポリシーを変更してアクセスをエスカレートし、常にオンのアクセス許可を利用してサブスクリプションを不正に制御します。
• 永続化 (TA0003) アカウント操作: 追加のクラウド ロール (T1098.001): 侵害されたアカウントに高い特権ロールを追加して永続的なアクセスを維持するようにロールの割り当てを変更し、時間制限付きアクセスの欠如を悪用します。

PA-2.1: Azure リソース アクセスに Just-In-Time (JIT) 制御を使用する

Just-In-Time 特権アクセスは、資格情報の侵害後に承認されていないアクセスを有効にする永続的な管理アクセス許可を防ぎます。 永続的な特権ロールを持つ組織は、時間の制約なしに、攻撃者がデータ流出、特権エスカレーション、または横移動のために常時オンのアクセス許可を利用できる、拡張された露出ウィンドウに直面します。 JIT アクセスを実装すると、アクセス許可が自動的に期限切れになり、爆発半径が制限され、攻撃対象領域が減少します。

次の方法で Just-In-Time アクセスを有効にします。

• Privileged Identity Management の展開Microsoft Entra Privileged Identity Management (PIM) を使用して、Azure リソースと Microsoft Entra ID への Just-In-Time (JIT) 特権アクセスを有効にします。この場合、ユーザーは自動的に期限切れになる特権タスクを実行するための一時的なアクセス許可を受け取り、アクセス許可の有効期限が切れた後に未承認のアクセスを防ぎ、疑わしいアクティビティに対するセキュリティ アラートを生成します。

• 対象となるロールの割り当てを構成する 管理者は、PIM を使用してユーザーまたはグループに適格なロールを割り当て、特権ロールを要求できるユーザーを指定し、承認ワークフロー、MFA 要件、期限付き期間 (通常は 1 ~ 8 時間) を含むアクティブ化要件を定義します。

• アクティブ化ワークフローを確立する ユーザーは、特権アクセスが必要な場合に Azure portal または PIM API を使用してロールのアクティブ化を要求し、正当な理由と時間枠を提供し、承認者はポリシーに基づいて要求を確認し、アクセスを許可または拒否しますが、PIM は監査目的ですべてのアクションをログに記録します。

• 自動有効期限を実装 するアクティブ化期間が終了すると、アクセスは自動的に期限切れになります。または、タスクが完了した場合、ユーザーは早期に手動で非アクティブ化できるため、特権アクセス許可が運用上の必要を超えてアクティブなままでいないようにすることができます。

• 仮想マシン アクセスに対して JIT を有効にするMicrosoft Defender for Cloud からの JIT VM アクセスで Azure Bastion を使用して、受信トラフィックを機密性の高い仮想マシンの管理ポートに制限し、ユーザーが必要な場合にのみアクセスを許可し、期限切れになると自動的に取り消します。

実装例

挑戦 あるグローバル小売企業には、サブスクリプション スコープで永続的な所有者ロールと共同作成者ロールを持つ 156 人のユーザーがいて、管理ニーズが低いにもかかわらず、24 時間 365 日アクティブな永続的な高い特権アクセスを作成しました。

Solution

• Azure リソースに PIM を実装する すべての永続的な所有者ロールと共同作成者ロールの割り当てを PIM の有資格ロールに変換しました。ユーザーは、4 時間の期限付きアクティブ化で管理タスクを実行する場合にのみロールをアクティブ化する必要があります。
• 承認ワークフローを構成する リソース所有者とセキュリティ チームの承認を必要とする所有者ロールのアクティブ化に対する複数ステージの承認を確立し、すべての特権アクセス要求に対する MFA の適用と正当な理由の要件を自動化しました。
• JIT VM アクセスを有効にする Defender for Cloud JIT を使用してデプロイされた Azure Bastion は、運用環境の仮想マシンへの RDP/SSH アクセスを制限し、承認された期限付き要求を介してのみアクセスを許可し、永続的な管理ポートの公開を排除します。

結果 組織は永続的な特権アクセスを排除し、永続的な管理アクセス許可から攻撃対象領域を大幅に削減し、自動有効期限を確立して、昇格されたアクセスを忘れないようにしました。

重要度レベル

持っている必要があります。

コントロール マッピング

• NIST SP 800-53 Rev.5 AC-2(1)、AC-5、AC-6(2)、AC-6(5)、AC-16
• PCI-DSS v4 7.2.2、7.2.5、8.2.8
• CIS コントロール v8.1 5.4、6.8
• NIST CSF v2.0 PR。AC-4、PR。AA-1
• ISO 27001:2022 A.5.15、A.5.18、A.8.2
• SOC 2 CC6.1、CC6.3

PA-3: ID とエンタイトルメントのライフサイクルを管理する

セキュリティの原則

自動化されたプロセスまたは技術コントロールを使用して、要求、レビュー、承認、プロビジョニング、プロビジョニング解除を含む完全な ID とアクセス ライフサイクルを管理し、アクセス許可がビジネス ニーズに合わせて維持され、不要になったときに取り消されるようにします。

軽減すべきリスク

• 過剰なアクセス許可による未承認のアクセス ID は、必要以上に多くのアクセス権を付与し、最小限の特権に違反し、攻撃対象領域を増やしました。
• アンマネージド アカウントからの古いアクセスまたは孤立したアクセス アクセス許可は、不要になった後に保持されるか、ユーザーの出発後にアカウントがアクティブなままになり、潜在的な悪用が可能になります。
• 正しく構成されていないアクセスまたは監視されていないアクセスによる Insider の脅威 承認プロセスのバイパスなど、ポリシーが正しく構成されていないか、監視が不足しているため、承認されたユーザーがアクセス許可を誤って使用しています。
• 規制基準に準拠していない GDPR、HIPAA、SOC 2、ISO 27001 などの標準の違反を危険にさらす、最小限の特権、アクセス監査、またはタイムリーなプロビジョニング解除を強制できない。
• アクセス管理のヒューマン エラー アクセス許可の付与が正しくない、プロビジョニング解除が見落とされる、承認チェーンが正しく構成されていない、などの手動プロセス。
• 監査可能性と追跡可能性の欠如 適切なログ記録とドキュメントがないため、アクセス要求、承認、またはプロビジョニングの追跡が妨げられ、侵害の検出が遅れます。

MITRE ATT&CK

• 侵害された、または古いクラウド資格情報を利用して API または管理コンソールに対する認証を行い、クラウド リソースへの不正アクセスを可能にすることで、有効なアカウント (T1078.004) を悪用する初期アクセス (TA0001)。
• 特権エスカレーション (TA0004) は、正しく構成されていない RBAC ポリシーまたは過剰なアクセス許可を悪用して、昇格制御メカニズム (T1548.005) を悪用して、リソース グループ ロールから昇格されたロールを割り当てます。
• IAM ポリシーを変更するか、MFA を無効にして永続的なアクセスを埋め込むことによってアカウント (T1098.001) を操作する永続性 (TA0003) により、敵対者はクラウド リソースに対する承認されていない制御を保持できます。
• 流出 (TA0010): 過剰な特権アカウントを使用してクラウド ストレージ (T1530) にアクセスし、ストレージ バケットまたはデータベースから機密データを列挙および取得すること。
• 防御回避 (TA0005) は、クラウド監査ログを無効にするか、高い特権アカウントで監視することで防御 (T1562.001) を損ない、リソースの変更などの悪意のあるアクションを隠します。

PA-3.1: ID と権利のライフサイクルを管理する

自動化された ID ライフサイクル管理により、孤立したアカウント、未削除のアクセス許可、ロールの変更や従業員の退職後に保持される過剰なアクセスが防止されます。 手動アクセス管理に依存している組織は、プロビジョニング解除の遅延、承認プロセスの不整合、監査可能性の欠如に直面し、未承認のユーザーがデータ流出または特権エスカレーションのために古い資格情報を悪用するセキュリティ ギャップを作成します。 自動化されたワークフローを実装することで、一貫した要求、承認、プロビジョニング、有効期限のプロセスを通じて、アクセスが現在のビジネス ニーズに合うようにします。

次のアプローチを使用して、自動化された ID とアクセス ライフサイクル管理を確立します。

• アクセス管理の目標とスコープを計画する アクセス管理を必要とする Azure リソース グループ (所有者、共同作成者など) やユーザーまたはワークロードの ID など、アクセスのニーズを定義し、ガバナンスワークフローと承認ワークフローの境界を確立します。

• 責任を割り当てる エン タイトルメント管理 とアクセス パッケージを管理するグローバル管理者、ID ガバナンス管理者、またはカタログ所有者を指定し、特定の Azure リソース グループのアクセス要求を確認および承認するリソース所有者またはプロジェクト マネージャーに委任します。

• アクセス要求ワークフローのエンタイトルメント管理を設定する Microsoft Entra 管理センターでカタログを作成して、関連するリソースとアクセス パッケージを整理し、特定の Azure リソース グループとそのロール (共同作成者、閲覧者など) をカタログ リソースとして追加し、アクセス期間と承認要件と共に、ユーザーが要求できる Azure リソース グループ ロールを指定するアクセス パッケージを定義します。

• アクセス ポリシーを構成するユーザーが Microsoft Entra My Access ポータルを使用してアクセスを要求したり、指定された承認者 (リソース所有者、マネージャーなど) を使用して単一、二重、または複数ステージの承認ワークフローを設定したり、アクセスの有効期限の日付や期限付きのアクセスを自動失効に対して定義したり、要求の送信、承認、拒否、および今後の有効期限のアラートを構成したりできます。

• アクセス要求の処理と確認 ユーザーはマイ アクセス ポータルを使用して Azure リソース グループ ロールのアクセス要求を送信し、指定された承認者とログ要求の詳細を通知する構成済みワークフローをトリガーします。一方、承認者はユーザー ロール、要求されたアクセス、正当な理由に基づいて要求を評価し、必要に応じて明確化を要求してから、文書化された理由で承認または拒否します。

• アクセスのプロビジョニングとプロビジョニング解除を自動的に行う 承認されると、Microsoft Entra は、アクセス権を持つ指定されたリソース グループに対して要求された Azure ロールを自動的にユーザーに割り当て、アクセス パッケージ ポリシーごとに定義済みの有効期限に達したときに自動失効を適用します。一方、有効期限が切れる前にユーザー ロールまたはプロジェクトが変更された場合、管理者またはリソース所有者は手動でアクセスを削除できます。

• 過剰なアクセス許可を検出して適切なサイズに設定するMicrosoft Entra Permissions Management を使用して、マルチクラウド インフラストラクチャ全体でユーザー ID とワークロード ID に割り当てられている未使用の過剰なアクセス許可を特定し、アクセス許可を自動的に適切に設定し、継続的に監視して特権の不調を防ぎます。

実装例

挑戦 40 か国/地域に 8,500 人の従業員を抱える多国籍企業では、要求ごとに 3 ~ 5 営業日を要する手動アクセス プロビジョニングに苦労し、運用上の遅延が発生し、アクティブな特権アクセスを持つ退職した従業員から 450 以上の孤立したアカウントが蓄積されました。

Solution

• エンタイトルメント管理を実装 しました。すべての Azure リソース グループのアクセスパッケージを用いて Microsoft Entra ID エンタイトルメント管理 をデプロイし、要求やマルチステージ承認、期限付きアクセスのための自動化ワークフローを確立し、自動的に有効期限が設定されるようにしました。
• ライフサイクル ワークフローを構成する 新しい従業員の即時プロビジョニング、ロールの変更に対するアクセスの更新、およびすべてのアクセス パッケージと特権グループからの削除による終了時の即時のプロビジョニング解除をトリガーする、自動 参加/mover/leaver ワークフロー を作成しました。
• アクセス許可の管理を展開する マルチクラウド インフラストラクチャ全体で未使用のアクセス許可を検出し、オーバープロビジョニングされたロールを自動的に適切にサイズ変更し、レビューを必要とする特権の不備に対するアラートを生成する継続的な監視を実装しました。

結果 組織は、アクセスプロビジョニング時間を3〜5日から2時間以内に短縮し、自動ディプロビジョニングを通じて孤立アカウントをすべて排除し、完全な承認の履歴文書を用いて、すべてのアクセス要求の100%監査可能性を達成しました。

重要度レベル

持つべきです。

コントロール マッピング

• NIST SP 800-53 Rev.5 AC-2、AC-2(1)、AC-2(3)、AC-2(4)、IA-4
• PCI-DSS v4 7.2.2、7.2.4、8.1.3、8.1.4
• CIS コントロール v8.1 5.1、5.2、5.3、6.1
• NIST CSF v2.0 PR。AA-3、PR。AC-1、PR。AC-4
• ISO 27001:2022 A.5.15、A.5.16、A.5.17、A.5.18
• SOC 2 CC6.1、CC6.2、CC6.3

PA-4: ユーザー アクセスを定期的に確認して調整する

Azure Policy:Azure の組み込みポリシー定義 PA-4 を参照してください。

セキュリティの原則

特権アカウントの権利の定期的な監査を実施して、アクセス許可が承認された管理機能と厳密に一致していることを確認し、最小限の特権の原則に準拠していることを確認します。

軽減すべきリスク

• 過剰なアクセス許可による未承認のアクセス ID は、必要以上に多くのアクセス権を付与し、最小限の特権に違反し、攻撃対象領域を増やしました。
• アンマネージド アカウントからの古いアクセスまたは孤立したアクセス アクセス許可は、不要になった後に保持されるか、ユーザーの出発後にアカウントがアクティブなままになり、潜在的な悪用が可能になります。
• 正しく構成されていないアクセスまたは監視されていないアクセスによる Insider の脅威 承認プロセスのバイパスなど、ポリシーが正しく構成されていないか、監視が不足しているため、承認されたユーザーがアクセス許可を誤って使用しています。
• 規制基準に準拠していない GDPR、HIPAA、SOC 2、ISO 27001 などの標準の違反を危険にさらす、最小限の特権、アクセス監査、またはタイムリーなプロビジョニング解除を強制できない。
• アクセス管理のヒューマン エラー アクセス許可の付与が正しくない、プロビジョニング解除が見落とされる、承認チェーンが正しく構成されていない、などの手動プロセス。
• 監査可能性と追跡可能性の欠如 適切なログ記録とドキュメントがないため、アクセス要求、承認、またはプロビジョニングの追跡が妨げられ、侵害の検出が遅れます。

MITRE ATT&CK

• 初期アクセス (TA0001) が有効なアカウント (T1078.004) を悪用し、過度に特権を持つサービス アカウントなどの古いクラウド資格情報を利用して API や管理コンソールにアクセスし、アラートを発生させることなくクラウド リソースへの未承認のアクセスを可能にします。
• 特権エスカレーション (TA0004) は、正しく構成されていない RBAC ポリシーまたは過剰なアクセス許可を悪用して昇格制御メカニズム (T1548.005) を悪用し、リソース グループ ロールから管理者特権ロール (テナント全体の管理アクセスなど) を割り当てます。
• IAM ポリシーを変更するか、MFA を無効にして永続的なアクセスを埋め込むことによってアカウント (T1098.001) を操作する永続性 (TA0003) により、敵対者はストレージやコンピューティングなどのクラウド リソースに対する承認されていない制御を保持できます。
• 過剰な特権を持つアカウントを使用してクラウド ストレージ (T1530) からデータにアクセスする流出 (TA0010) は、ストレージ バケットまたはデータベースから機密データを列挙および取得し、未検証のアクセス許可または検証が不十分なアクセス許可を利用します。
• 防御回避 (TA0005) は 、クラウド監査ログを無効にするか、高い特権アカウントを使用して監視することで防御 (T1562.001) を損ない、リソースの変更やデータ アクセスなどの悪意のあるアクションを隠します。

PA-4.1: ユーザー アクセスを定期的に確認して調整する

Azure テナント、Azure サービス、仮想マシン (VM)、サービスとしてのインフラストラクチャ (IaaS)、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールを含む、Microsoft Azure のすべての特権アカウントとアクセス権を確認します。

Microsoft Entra ID アクセス レビューを使用して、Microsoft Entra ロール、Azure リソース アクセス ロール、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセスを評価します。 Microsoft Entra ID レポートには、指定した期間使用されていない古いアカウントまたはアカウントを識別するためのログが用意されています。

さらに、Microsoft Entra Privileged Identity Management (PIM) は、特定のロールに対して過剰な数の管理者アカウントが作成されたときにアラートを送信し、古いまたは正しく構成されていない管理者アカウントを検出するように構成できます。

アクセス レビューのスコープと目標を計画する セキュリティ要件と規制のニーズに基づいて、レビューを必要とする Azure リソース (サブスクリプション、リソース グループ、VM など) と Microsoft Entra ロール (グローバル管理者、ユーザー管理者など) を特定し、レビュー頻度 (毎月、四半期ごとなど) を確立します。

レビューの責任を割り当てる レビューを実施するリソース所有者、セキュリティ チーム、またはロール管理者を指定し、レビュー担当者が PIM で適切なアクセス許可を持っていることを確認します。

Microsoft Entra PIM でアクセス レビューを設定する レビューする特定の Microsoft Entra ロールを選択し、レビュー担当者 (個人、グループ所有者、または自己レビュー) を指定し、期間や繰り返しを含むレビュー パラメーターを設定することで、Entra ロールのアクセス レビューを作成します。 Azure リソースの場合は、サブスクリプションまたはリソース グループを選択し、評価用に Azure リソース ロール (所有者、共同作成者など) を選択し、レビュー担当者を割り当て、開始日/終了日や繰り返しを含むレビュー設定を構成します。

アクセス レビューを実施する レビュー担当者は、ジョブ機能またはプロジェクトのニーズに基づいて、ユーザーが引き続き割り当てられた Microsoft Entra ロールを必要としているかどうかを評価し、ユーザーが特定の Azure リソースとロールへの継続的なアクセスを必要としているかどうかを評価し、現在の責任との整合性を確認し、アクセスを維持する理由をユーザーまたはレビュー担当者に要求して、決定が文書化されていることを確認します。

レビューの結果に基づいてアクションを実行する 不要なアクセスを削除するには、不要なアクセスを取り消し、不要になったユーザーのロールまたはアクセスを取り消し、Microsoft Entra ID レポートと PIM を使用して、最近のアクティビティのないアカウントを識別し、ロールを削除するか、非アクティブ化します。 PIM 機能を利用して調整を強化し、過剰なロールの割り当てを検出し、定義済みのスケジュールで継続的なレビューを自動化することもできます。

実装例

挑戦 年次監査中に 650 個の特権アカウントが検出されたテクノロジ企業では、180 日間で 89 アカウント (14%) が使用されなかったのに対し、ユーザーが管理者以外の役割に変更した場合でも、34 アカウントは昇格されたアクセス許可を保持していました。

Solution

• 四半期ごとのアクセス レビューを実装する すべての Azure サブスクリプションと Entra ロールに対する Microsoft Entra PIM アクセス レビュー を四半期ごとに定期的なスケジュールでデプロイし、リソース所有者をプライマリ レビュー担当者として割り当て、セキュリティ チームを監視のセカンダリ レビュー担当者として割り当てます。
• 自動検出を有効にする 90 日以上使用されていない過剰なロールの割り当て (>8 グローバル管理者) とアカウントに対して PIM アラートを構成し、セキュリティ オペレーション センターへのリアルタイム通知のために Microsoft Sentinel と統合しました。
• 修復ワークフローを確立 標準化された応答手順が作成され、レビュー担当者はアクセスの維持を正当化するか、不要なアクセス権限を即時に取り消すことが求められます。期限切れのレビューは自動的にガバナンスチームにエスカレーションされます。

結果 組織は、89 個の古いアカウントと、適切なサイズの 34 個の過剰プロビジョニングされたアカウントを特定して削除し、全体管理者数を 12 から 6 に減らし、文書化された理由で四半期% 100 のレビュー完了率を達成しました。

重要度レベル

持っている必要があります。

コントロール マッピング

• NIST SP 800-53 Rev.5 AC-2(3)、AC-2(7)、AC-6(7)、IA-4
• PCI-DSS v4 7.2.4、8.1.4、8.2.6
• CIS コントロール v8.1 5.3、5.4、6.2
• NIST CSF v2.0 PR。AA-3、PR。AC-6、DE。CM-3
• ISO 27001:2022 A.5.18、A.8.2、A.8.3
• SOC 2 CC6.1、CC6.2、CC6.3

PA-5: 緊急アクセスを設定する

セキュリティの原則

緊急時に重要なクラウド インフラストラクチャから誤ってロックアウトされないように、緊急アクセスを設定します。 緊急アクセスアカウントはほとんど使用しないでください。侵害された場合は非常に損害を与える可能性がありますが、必要なシナリオでは可用性が非常に重要です。

軽減すべきリスク

• クラウド テナント管理からの管理ロックアウト すべての特権アカウントが MFA の障害、フェデレーションの停止、または侵害/削除されたアカウントによってブロックされ、IAM ポリシーの更新またはリソース管理を妨げている場合に、クラウド テナントへのアクセスが失われます。
• 高い特権を持つアカウントへの未承認のアクセス 弱いセキュリティで保護された資格情報または緊急アカウントへの無制限のアクセスにより、敵対者はクラウド管理コンソールまたは API に対して認証を行い、特権エスカレーションやデータ流出を促進できます。
• 不正使用された緊急アクセスによるインサイダー脅威 標準コントロールをバイパスする緊急アカウントは、緊急以外のタスクに対して承認された担当者によって悪用され、資格情報の漏洩や不正アクセスを危険にさらします。
• 緊急アクセスの監査可能性の欠如 緊急アカウントアクティビティのログ記録や監視が不十分な場合は、不正使用の検出を防ぎ、インシデント対応を遅らせます。
• 未テストの緊急アカウントからの運用エラー 資格情報が古い、または IAM バインドが正しく構成されていない未テストの緊急アカウントは、危機時に失敗し、アクセスの復元を防ぎ、ロックアウトを悪化させる。

MITRE ATT&CK

• 初期アクセス (TA0001) - 有効なアカウント: クラウド アカウント (T1078.004) 高い特権を持つ侵害された緊急アクセス アカウントを利用して、クラウド管理コンソールまたは API に対して認証を行い、安全に保存されていない資格情報を悪用します。
• 特権エスカレーション (TA0004) - 不正使用昇格制御メカニズム: クラウド インフラストラクチャ (T1548.005) 過剰な IAM ロールを持つ過剰な特権を持つ緊急アカウントは、アクセスをエスカレートするために悪用され、敵対者がポリシーを変更したり、テナントレベルの管理アクセス許可を割り当てたりできるようになります。
• 永続化 (TA0003) - アカウント操作: 追加のクラウド資格情報 (T1098.001) 承認されていないアクセスを維持するために、永続的なロールの追加や MFA の無効化などの緊急アカウント構成の変更。
• 防御回避 (TA0005) - 防御の障害: クラウド ログの無効化または変更 (T1562.008) 緊急アカウントを使用して、クラウド環境での監査ログまたは監視を無効にし、悪意のあるアクションを隠します。
• 資格情報アクセス (TA0006) - アプリケーション アクセス トークンの盗み (T1528) クラウド サービスに対して認証するために安全に格納されていない緊急アカウントの資格情報を盗む。

PA-5.1: 緊急アクセスのセットアップ

緊急アクセス アカウント ("緊急事態用アカウント") は、MFA の障害、フェデレーションの停止、または侵害された管理アカウントが発生した時に完全な管理ロックアウトを防ぎます。 これらのアカウントがないと、通常の認証パスが失敗した場合、組織はテナント アクセスを失うリスクがあります。 緊急アクセスを実装すると、制御された資格情報の管理、監視、テストを通じてセキュリティを維持しながら、ビジネス継続性が確保されます。

次の構造化されたアプローチを使用して緊急アクセス アカウントを確立します。

• 緊急アクセスアカウントを作成する Microsoft Entra ID でグローバル管理者ロールを持つ (フェデレーションされていない) 少なくとも 2 つのクラウド専用アカウントを構成します。その目的を明確に識別するわかりやすい名前 (EmergencyAccess01、BreakGlass02 など) を使用して、アカウントが特定の個人に割り当てられず、緊急時のシナリオ専用のままにします。

• デュアル コントロールを使用して資格情報をセキュリティで保護 する無期限に構成された少なくとも 32 文字の強力でランダムに生成されたパスワードを生成し、資格情報を別の安全な物理的な場所 (異なるサイトの防火金庫など) に格納された複数の部分に分割して、承認された C レベルの役員またはセキュリティ リーダーシップのみがアクセス可能なデュアル制御メカニズムを実装し、複数人の承認を必要とする取得手順を文書化します。

• 条件付きアクセスの除外を構成する すべての 条件付きアクセス ポリシー と MFA 要件から少なくとも 1 つの緊急アカウントを除外して、サービスの中断中にアクセスを保証します。また、必要に応じて、セキュリティで保護された場所に格納された FIDO2 セキュリティ キー を使用して 2 つ目のアカウントをセキュリティで保護し、資格情報の多様性によって単一ポイント認証エラーから保護します。

• 包括的な監視とアラートを有効にするAzure Monitor または Microsoft Sentinel を構成して、Microsoft Entra ID のサインインと監査ログを分析し、緊急アカウントの認証または構成の変更をトリガーするリアルタイムアラート (電子メールと SMS) を作成し、すべての緊急アカウントの使用に関する即時のセキュリティ チーム通知と理由ドキュメントを必要とするインシデント対応手順を確立します。

• テストとメンテナンスの手順を確立する 四半期ごとに緊急アカウント アクセスをテストし、機能を検証し、90 日ごと、または承認されたユーザーに影響を与える人事変更の直後に資格情報を更新し、資格情報の取得やインシデントドキュメントを含む重大な手順について承認された管理者をトレーニングし、コンプライアンスと運用準備のための完全な緊急アクセス プロセスを文書化した Runbook を作成します。

実装例

挑戦 多国籍金融サービス組織がハイブリッド ID インフラストラクチャに影響を与えるフェデレーション停止を経験し、Microsoft Entra ID への緊急アクセス パスが機能していないことを発見しました。 15 人のグローバル管理者全員がフェデレーション認証に依存していたので、インシデントの間に組織は完全にロックアウトされ、6 時間のダウンタイムの後にアクセスを回復するために Microsoft サポートのエスカレーションが必要になります。

Solution

• 緊急アクセスアカウントを作成する Microsoft Entra ID で永続的なグローバル管理者ロールの割り当てを持つ 2 つのクラウド専用緊急アクセス アカウント (EmergencyAccess01@contoso.onmicrosoft.com、 BreakGlass02@contoso.onmicrosoft.com) をプロビジョニングし、フェデレーション インフラストラクチャへの依存関係を排除するために、アカウントがオンプレミスの Active Directory からフェデレーションまたは同期されていないことを確認しました。

• デュアル コントロールを使用してパスワードレス認証を実装する 資格情報の多様性のために FIDO2 パスキー認証 と BreakGlass02 を使用して EmergencyAccess01 を構成し、資格情報の多様性のために 証明書ベースの認証 を行い、FIDO2 セキュリティ キーを本社とディザスター リカバリー サイトの 2 つの別々の防火金庫に格納します。一方、証明書の秘密キーは、緊急対応手順に記載されている 2 人の承認要件を持つ C レベルの役員のみがアクセスできるハードウェア セキュリティ モジュールに残ります。

• 条件付きアクセスの除外を戦略的に構成する EmergencyAccess01 用の名前付き場所除外ポリシーを作成し、MFA 要件を含むすべての条件付きアクセス ポリシーから除外しますが、BreakGlass02 はフィッシングに強い MFA 要件の対象のままであり、認証サービスの中断時に少なくとも 1 つのアカウントが確実にアクセスを保証するバランスの取れたセキュリティ アプローチを提供します。

• 緊急アカウント活動のための Azure Monitor アラートをデプロイ SigninLogs に対する緊急アカウントオブジェクトIDをクエリするカスタムアラートルールを使用して Log Analytics ワークスペース を構成します。これにより、緊急アカウントが認証されるたびに重大な重大度のアラート (Sev 0) がトリガーされ、直ちにセキュリティオペレーションセンター、CISO、およびITディレクターに電子メールとSMSで通知されます。また、アラートクエリは5分ごとに評価されますSigninLogs | project UserId | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff" 。

• 四半期ごとの検証とテストの手順を確立する 四半期ごとのドリルスケジュールを作成し、指定されたセキュリティチームメンバーが資格情報を保管場所から取得し、緊急アカウントを使用して認証し、Microsoft Graph APIを利用してユーザーリストに問い合わせを行うテスト管理タスクを実施します。この活動をインシデントログに記録し、直ちにセキュリティチームに通知して、アラート機能と資格情報アクセスの検証を行うための事後検証を開始します。資格情報のローテーションは、90日ごと、または権限を持つ個人に影響を与える人事異動後すぐに行われます。

結果 組織は、フェデレーション インフラストラクチャの完全な障害から生き残った回復性のある緊急アクセス機能を確立し、自動アラートを使用して 5 分以内に 100% の緊急アカウント認証を検出し、平均 12 分間の資格情報取得時間で四半期ごとに 4 回の検証訓練を正常に実行し、すべてのテスト アクティビティの包括的な監査証跡を使用して、12 か月間にわたって承認されていない緊急アカウントの使用状況をゼロに維持しました。

重要度レベル

持っている必要があります。

コントロール マッピング

• NIST SP 800-53 Rev.5 AC-2、CP-2、CP-9、IR-4、IA-4
• PCI-DSS v4 8.2.8、8.6.1、12.10.1
• CIS コントロール v8.1 5.4、6.5、17.9
• NIST CSF v2.0 PR。IP-10、RS。CO-3、RS。RP-1
• ISO 27001:2022 A.5.24、A.5.29、A.17.1
• SOC 2 CC6.1、CC7.4、CC9.1

PA-6: 特権アクセス ソリューションを使用する

セキュリティの原則

セキュリティで保護された分離された特権アクセス ソリューションは、管理者、開発者、重要なサービス オペレーターなどの機密性の高いロールのセキュリティにとって非常に重要です。

軽減すべきリスク

• 管理ワークステーションでのマルウェアまたはフィッシングによる資格情報の侵害 攻撃者は、キーロガー、フィッシング ページ、またはメモリスクレーピング マルウェアを強化されていないワークステーションに展開して、API トークンやパスワードなどの特権資格情報をキャプチャし、クラウド管理コンソールまたは API への不正アクセスを可能にします。 たとえば、クラウド ポータルのログイン ページや PAW 以外のデバイス上のトロイの木馬を模倣したフィッシング攻撃では、管理者の資格情報を抽出し、敵対者が API 呼び出しを呼び出したり、IAM ポリシーを変更したり、データを流出させたりすることができます。
• セキュリティで保護されていないワークステーション構成による特権エスカレーション 敵対者は、ローカル管理者権限、パッチが適用されていない脆弱性、または管理ワークステーション上の脆弱なアプリケーション制御を悪用して、特権をエスカレートし、IAM ロールまたはアクセス トークンを操作します。 たとえば、AppLocker ポリシーのないワークステーションでは、悪意のあるスクリプトを実行し、攻撃者がユーザー レベルからテナント全体の管理アクセスに昇格し、仮想マシンやストレージなどのリソースを侵害する可能性があります。
• 安全でないリモート接続による未承認のアクセス 攻撃者は、公開された RDP/SSH エンドポイントまたはセキュリティで保護されていないプロトコルを標的にして、管理者セッションを傍受したり、ブルート フォース攻撃を実行したりして、クラウド リソースにアクセスします。 パブリック IP 経由の直接接続は、セッションのハイジャックや資格情報の詰め込みのリスクを伴い、敵対者が未承認のコマンドを実行したり、仮想マシンやデータベースからデータを抽出したりできます。
• PAW 以外のデバイスでの不正使用された特権アクセスによる Insider の脅威 承認された管理者は、個人のデバイスを使用して、永続的な特権アクセスを誤用したり、制御をバイパスしたりして、資格情報がマルウェアやポリシー違反にさらされる危険性があります。 たとえば、BYOD デバイスで特権タスクを実行している管理者は、資格情報を誤ってスパイウェアに漏らし、未承認の IAM の変更やデータ アクセスを有効にし、最小限の特権原則に違反する可能性があります。
• 管理ワークステーションでのマルウェアの伝播と永続化 敵対者は、ランサムウェアやバックドアなどの永続的なマルウェアを無期限のワークステーションにデプロイして、データを流出させたり、クラウド リソースにピボットしたりします。 実行が制限されていない侵害された管理者デバイスでは、マルウェアが IAM 構成を操作したり、悪意のあるワークロードをデプロイしたりすることができ、古いソフトウェアを利用して長期的なアクセスを維持できます。
• 特権ワークステーション アクティビティの監査可能性と追跡可能性の欠如 ワークステーションでの特権セッションまたは IAM アクションのログ記録が不十分な場合は、承認されていないアクセスの検出を防ぎ、インシデント対応を遅らせます。 コンソール ログインや API 呼び出しなどの監視対象外の管理者アクティビティでは、ログの保持期間 (30 日など) が制限され、フォレンジック分析が妨げられ、攻撃者はクラウド環境で検出されない操作を実行できます。

MITRE ATT&CK

• 資格情報アクセス (TA0006) キーロガー、フィッシング、またはメモリスクレーピング マルウェア (T1552.001) を介して、保護されていない管理ワークステーションから資格情報 (パスワード、API トークンなど) を盗み、キャプチャした資格情報を使用してクラウド管理コンソールまたは API に対して承認されていないアクセスを認証します。
• 特権エスカレーション (TA0004) PAW 以外のデバイスでローカル管理者権限または修正プログラムが適用されていない脆弱性を悪用して特権をエスカレートする (T1068)、IAM ロールまたはアクセス トークンを操作してテナント全体の管理アクセスを取得する (クラウド リソース ポリシーの変更など)。
• 初期アクセス (TA0001) セキュリティで保護されていないリモート接続からの侵害された管理者セッションを使用してコマンドを実行したり、機密データにアクセスしたりすることで、ブルート フォースまたはセッションインターセプト (T1133) を介して、クラウド リソース上の公開 RDP/SSH エンドポイントをターゲットにします。
• 永続化 (TA0003) 悪意のないワークステーション (T1547.001) にマルウェアまたはバックドアをデプロイして永続的なアクセスを確立し、クラウド IAM 構成に繰り返しアクセスしたり、悪意のあるワークロードをデプロイしたりするための管理デバイスの制御を維持します。
• 防御回避 (TA0005) PAW 以外のデバイス (T1562.008) で侵害された管理者アカウントを介してクラウド ログまたは監視サービスを無効にし、監査証跡を抑制することで未承認の IAM 変更やリソース操作を隠します。

PA-6.1: 特権アクセス ソリューションを使用する

Privileged Access Workstations (PAW) は、セキュリティが強化された分離された環境を提供し、マルウェアからの資格情報の盗難、フィッシング、および管理デバイスへの未承認のアクセスを防ぎます。 PAW がない場合、標準ワークステーションまたは個人用デバイスを使用する管理者は、キーロガー、メモリスクレーピング マルウェア、セッション ハイジャックに特権資格情報を公開し、攻撃者がクラウド テナントを侵害できるようにします。 デバイスのセキュリティ強化、強力な認証、セキュリティで保護されたリモート アクセスを使用して PAW を実装すると、管理操作がエンドポイントベースの攻撃から保護されたままになります。

次の構造化アプローチを使用して、特権アクセス ワークステーションを展開します。

強化された PAW デバイスのプロビジョニングと構成 専用 Windows デバイスを PAW (物理ワークステーションまたは Azure VM) として展開し、一元管理のために Microsoft Intune に登録し、 Microsoft Defender for Endpoint セキュリティ ベースライン を適用してローカル管理者権限を削除し、 BitLocker を使用してデバイス暗号化を適用し、 Windows Defender アプリケーション制御 (WDAC) または AppLocker ポリシー を構成します承認された管理ツールのみにアプリケーションの実行を制限する (Azure portal、PowerShell、Azure CLI、Visual Studio Code)。

デバイス コンプライアンスとアプリケーション制御を実装 する無効なローカル管理者アカウント、非アクティブ状態の 5 分後の必須画面ロック、リムーバブル 記憶域デバイスのブロック、制限付き Microsoft Store インストールなどのセキュリティ ポリシーを適用する Intune デバイス構成プロファイルを構成し、マネージド アプリケーション配信用に ポータル サイト アプリ を展開することで、承認されたツールのみが PAW に到達し、 Microsoft Defender for Cloud Apps 統合によって個人アプリケーションとコンシューマー クラウド サービスがブロックされるようにします。

脅威の検出と監視を有効にする Microsoft Defender for Endpoint をすべての PAW に統合して、資格情報の盗難の試行、疑わしいプロセスの実行、マルウェアアクティビティを検出するリアルタイムの行動監視を行い、Office マクロ、スクリプトベースのマルウェア、資格情報ダンプ ツールをブロックする 攻撃面の減少ルール を構成し、緊急調査が必要な重大度の高い脅威に対するセキュリティ チームの通知をトリガーする自動アラートを使用します。

ID とアクセス制御を適用する PAW から Azure portal および Microsoft 365 へのすべての特権アカウントへのアクセスに対してフィッシング耐性 MFA (FIDO2 セキュリティ キーまたは証明書ベースの認証) を必要とする Microsoft Entra 条件付きアクセス ポリシーを策定し、BYOD シナリオをブロックしながら Entra 参加済み PAW または Intune 準拠 PAW のみにアクセスを制限するデバイスベースのフィルターを構築し、承認と正当な理由を必要とするジャストインタイム ロール アクティベーションにおいて Microsoft Entra Privileged Identity Management (PIM) を有効にし、時間制限付き管理アクセス許可を付与します。

クラウド リソースのセキュリティで保護されたリモート アクセスをデプロイする Azure Bastion を仮想ネットワークで完全にプラットフォーム管理された PaaS サービスとしてプロビジョニングします。これにより、パブリック IP の公開なしで Azure portal 経由で直接 Azure VM への RDP/SSH 接続が可能になり、Ssh 秘密キーが シークレットとして Azure Key Vault に格納され、Entra ID ベースのアクセス ポリシーによって承認された PAW デバイスへのキーの使用が制限され、 ネットワーク セキュリティ グループ (NSG) が 構成されます。ソース IP 範囲とプロトコルによる Bastion トラフィックの制限、構成の変更や未承認のアクセス試行に関するアラートの Azure Monitor との統合。

PAW の使用ポリシーとトレーニングを確立する Azure portal のアクセス、PowerShell 管理、インフラストラクチャの変更、技術的な制御とポリシーの適用による非 PAW デバイスからの特権アカウントの使用の禁止、PAW アクセス手順に関する管理者のトレーニング、承認されたツールの使用、インシデント レポート プロトコルなど、すべての特権操作に対する必須の PAW 使用要件を文書化します。また、PAW のみの管理アクセスへの準拠を確認する四半期ごとのコンプライアンス レビューが含まれます。

実装例

挑戦 医療組織は、個人のノート PC と標準の企業ワークステーションを使用する 23 人の管理者を検出し、無制限のローカル管理者権限を持つ運用 Azure リソースを管理し、保護された正常性情報 (PHI) を含む運用 Azure リソースを管理し、エンドポイント保護、アプリケーション制御、またはアクティビティ監視なしでマルウェアやフィッシング攻撃に特権資格情報を公開し、HIPAA コンプライアンス リスクを生み出し、潜在的な資格情報の盗難を可能にしました。

Solution

• 専用の PAW インフラストラクチャをデプロイする 25 台の専用 Windows 11 Enterprise デバイスをプロビジョニングし、これらは Microsoft Intune に厳しいデバイス コンプライアンス ポリシーの下で PAW として登録されています。Microsoft Defender for Endpoint セキュリティ ベースラインを適用し、すべてのローカル管理者権限を削除、TPM 保護を使って BitLocker の完全ディスク暗号化を有効化しました。また、承認された管理ツール (Azure portal、PowerShell 7、Azure CLI、Visual Studio Code、Microsoft リモート デスクトップ) のみを Windows Defender Application Control (WDAC) でホワイトリストに登録し、アプリケーション ガード モードでの Edge を除き、Office 生産性スイートやその他の Web ブラウザーを含むすべてのアプリケーション実行をブロックするように構成されています。

• デバイスの包括的なセキュリティ強化を実装する Windows Hello 認証による必須の 5 分間の画面ロック、USB ストレージデバイスと外部メディアのブロック、カメラとマイクのアクセス無効化、ローカル資格情報キャッシュの防止、承認済みの管理ツールへインストールを制限するためのマネージドアプリ配信用の企業ポータル、そしてネットワークトラフィック検査を通じてDropbox、個人用OneDrive、Gmailなどのコンシューマークラウドストレージサービスへのアクセスをブロックします。

• 高度な脅威防御を有効にする すべての PAW に統合された Microsoft Defender for Endpoint を用いて、攻撃面削減ルールにより Office マクロ、スクリプトベースの脅威、資格情報収集ツール（Mimikatz）、疑わしいプロセスインジェクションをブロックし、重大度の高い脅威に対する自動調査と修復を行うように設定されたエンドポイント検出と応答 (EDR) を構成し、セキュリティ制御を無効化されないようにする改ざん防止を有効にし、重大な PAW セキュリティイベントに対する 15 分間の応答 SLA を伴うセキュリティオペレーションセンター (SOC) アラートを確立しました。

• フィッシングに強い認証を適用する 作成された Microsoft Entra 条件付きアクセス ポリシーでは、AZURE portal と Microsoft 365 に PAW からアクセスするすべての特権アカウントに対して FIDO2 セキュリティ キー認証を必要とし、準拠したセキュリティ体制を持つ Intune で管理された PAW からの専用のアクセスを許可するデバイス コンプライアンス フィルターを実装し、レガシ認証プロトコル (Basic 認証、POP3、IMAP) をブロックし、承認ワークフローを必要とする Microsoft Entra PIM を有効化し、所有者および共同作成者の役割に対して 4 時間の時間制限によるアクティブ化を有効にしました。必須の正当な理由に関するドキュメントが必要です。

• セキュリティで保護されたリモート アクセス インフラストラクチャをデプロイする Azure VM へのブラウザーベースの RDP/SSH アクセスを有効にするすべての運用仮想ネットワークで Standard SKU でプロビジョニングされた Azure Bastion。パブリック IP の公開なしで Azure VM にアクセスできます。HSM 保護を使用して Azure Key Vault Premium に格納された SSH 秘密キーと、特定の PAW デバイス ID へのキーの使用を制限する Entra ID ベースのアクセス ポリシー、Bastion サブネット トラフィックを企業ネットワークと PAW サブネットから承認されたソース IP 範囲に制限する構成済みの NSG、 Bastion 構成の変更、未承認のアクセスの試行、または 8 時間を超えるセッション期間をトリガーするアラート ルールを備えた統合 Azure Monitor。

• 必須の PAW 使用ガバナンスを確立する 条件付きアクセス ブロックを介した非 PAW デバイスからの特権アカウントの使用を禁止するゼロトレランス ポリシーを文書化し、適用しました。FIDO2 キーの使用、承認されたツールの制限、インシデント報告プロトコルを含む PAW アクセス手順に関して、23 人の管理者をトレーニングし、ハンズオン ワークショップを実施しました。準拠している PAW から発生した 100% の特権操作を検証するため、自動 Intune レポートによる四半期ごとのコンプライアンス監査を実装し、ポリシー違反を迅速に調査、修復するためのエグゼクティブ エスカレーションを確立しました。

結果 組織は、セキュリティで保護されていない 23 台の管理デバイスから資格情報の漏洩リスクを排除し、6 か月間に 25 台のデバイス間でセキュリティ ベースライン違反のない特権アクセスに対して 100% PAW 導入を達成し、自動資格情報盗難ツール ブロックを使用して Defender for Endpoint によって検出された 12 回のフィッシング試行を防ぎ、フィッシングに対する耐性のある認証とデバイスのセキュリティ強化によって特権アカウントの侵害リスクを 87% 減らしました。 すべての特権操作の完全な監査証跡を使用して、管理アクセス制御に対する HIPAA コンプライアンスを達成しました。

重要度レベル

持っている必要があります。

コントロール マッピング

• NIST SP 800-53 Rev.5 AC-2、AC-3、AC-6、IA-2、IA-5、IA-8、SI-4
• PCI-DSS v4 2.2.1、7.2.5、8.2.8、8.4.2
• CIS コントロール v8.1 4.1、5.4、6.3、6.4
• NIST CSF v2.0 PR。AC-7、PR。PT-3、DE。CM-1
• ISO 27001:2022 A.5.15、A.8.5、A.8.16
• SOC 2 CC6.1、CC6.6、CC6.7

PA-7: 必要十分な管理 (最小限の特権) の原則に従う

Azure Policy:Azure の組み込みポリシー定義 PA-7 を参照してください。

セキュリティの原則

十分な管理 (最小限の特権) の原則に従って、きめ細かいレベルでアクセス許可を管理します。 ロールベースのアクセス制御 (RBAC) などの機能を使用して、ロールの割り当てを使用してリソース アクセスを管理します。

軽減すべきリスク

• 過剰なアクセス許可による未承認のアクセス 攻撃者は、ロールに必要な以上のアクセス許可を持つ特権を持つアカウントを悪用し、ストレージ アカウント、仮想マシン、データベースなどの機密性の高いクラウド リソースへの未承認のアクセスを可能にします。 クラウド環境では、多くの場合、過剰なアクセス許可は、広範なロールの割り当て (サブスクリプション スコープで共同作成者ではなく所有者を付与するなど) によって発生し、敵対者がデータ流出、リソース削除、IAM ポリシーの変更などのアクションを実行できるようにします。 たとえば、ストレージ アカウントへの不要な書き込みアクセス権を持つユーザーは、機密データを抽出したり、悪意のあるコンテンツを展開したりして、攻撃対象領域を拡大することができます。
• 正しく構成されていないロールの割り当てからの特権エスカレーション 敵対者は、誤って構成されたロールまたは過度に制限されたロールの割り当てを利用して特権をエスカレートし、クラウド リソースまたはテナント全体を不正に制御します。 詳細な RBAC ポリシーがないと、一見低い特権ロール (リソース グループ スコープの閲覧者など) を持つユーザーが、継承されたアクセス許可やロールの構成ミスを悪用して、サブスクリプション レベルの所有者など、より高い特権を自分自身に割り当てる可能性があります。 これにより、テナント全体の侵害につながる可能性があります。これにより、攻撃者は IAM 構成を操作したり、悪意のあるワークロードをデプロイしたり、セキュリティ制御を無効にしたりできるようになります。
• 無制限のアクセスによる Insider の脅威 承認されたユーザーは、意図的または意図せず、重大なリソースの変更や機密データへのアクセスなど、承認されていないアクションを実行するために広範なアクセス特権を悪用します。 クラウド プラットフォームでは、過剰なアクセス許可を付与するロールを持つ内部関係者 (複数のリソース グループ間の共同作成者など) は、仮想マシンの構成の変更、データベースからのデータの抽出、または検出なしでサービスの中断を行うことができます。 最小限の特権の適用がない場合、このようなアクションは標準的な監視をバイパスし、データ侵害や運用の中断のリスクを高めます。
• クラウド リソース間の横移動 攻撃者は、特権を超えるアカウントを悪用してクラウド リソース間を横方向に移動し、1 つのアカウントを侵害した後に関連のないシステムやデータにアクセスします。 クラウド テナントでは、複数のリソース グループ (サブスクリプション スコープの共同作成者など) へのアクセスを許可するロールを持つ侵害されたアカウントを使用すると、敵対者は 1 つのリソース (仮想マシンなど) から別のリソース (ストレージ アカウントなど) にピボットし、その影響をエスカレートできます。 このリスクは、ロールの割り当てにリソース固有のスコープがない場合に高まり、攻撃者は相互接続されたリソースを列挙して悪用できます。

MITRE ATT&CK

• 初期アクセス (TA0001) 有効なアカウント: クラウド アカウント (T1078.004): 広範な RBAC ロールを持つ特権超過アカウント (サブスクリプション スコープの所有者など) を侵害してクラウド管理コンソールまたは API に対して認証を行い、敵対者がストレージ アカウントや仮想マシンなどの機密性の高いリソースに検出なしでアクセスできるようにします。
• 特権エスカレーション (TA0004) 不正使用昇格制御メカニズム: クラウド インフラストラクチャ (T1548.005): 過剰なアクセス許可を持つ正しく構成されていない RBAC ロールを悪用して、リソース グループ スコープからテナント全体の管理ロールを割り当てる IAM ポリシーの変更、クラウド リソースに対する未承認の制御の付与など、特権をエスカレートします。
• 永続化 (TA0003) アカウント操作: 追加のクラウド ロール (T1098.001): RBAC ロールの割り当てを変更して、侵害されたアカウントに永続的な高い特権ロールを追加し、敵対者が未承認のロール バインドを介してデータベースやコンピューティング インスタンスなどのクラウド リソースへのアクセスを維持できるようにします。
• 流出 (TA0010) クラウド ストレージからのデータ (T1530): RBAC ロールが過度に許可されているアカウントを使用してクラウド ストレージから機密データにアクセスし抽出することで、敵対者がスコープが不明確なアクセス許可によってストレージ バケットから機密ファイルの一覧を作成し、ダウンロードできることを可能にします。
• 防御回避 (TA0005) 防御の損ない: クラウド ログの無効化または変更 (T1562.008): 過剰な RBAC アクセス許可を持つアカウントを使用して監査ログや監視サービスを無効にし、クラウドネイティブの監査証跡を抑制することで、リソースの変更や IAM の変更などの悪意のあるアクションを隠します。

PA-7.1: Azure RBAC を使用して Azure リソース アクセスを管理する

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ロールの割り当てを使用して Azure リソース アクセスを管理します。 RBAC を使用して、ユーザー、グループ、サービス プリンシパル、マネージド ID にロールを割り当てることができます。 特定のリソースには定義済みの組み込みロールがあり、これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたはクエリを実行できます。

Azure RBAC を使用してリソースに割り当てる特権は、常にロールに必要なものに制限する必要があります。 制限付き特権は、Microsoft Entra ID Privileged Identity Management (PIM) の Just-In-Time (JIT) アプローチを補完し、それらの特権を定期的に確認する必要があります。 必要に応じて、PIM を使用して期限付き割り当てを定義することもできます。これは、ユーザーが指定した開始日と終了日内にのみロールをアクティブ化できるロールの割り当ての条件です。

注: Azure 組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。

実装例

挑戦 あるソフトウェア会社は、便宜上、サブスクリプション スコープで 145 人の開発者の所有者ロールを付与し、データベースの削除、ネットワーク セキュリティ グループの変更、および IAM ポリシーの変更を可能にする過剰なアクセス許可を提供します。これは、開発ニーズをはるかに超えています。

Solution

• 最小権限のRBACを実装する 実際のアクセス許可要件を分析し、開発者を特定のリソース グループへのアクセスを制限したスコープ付きカスタムロールに再割り当てしました。これにより、App Servicesには細かな許可設定で読み取り/書き込みが可能となり、Key Vaultには読み取り専用のアクセスが許可され、ネットワークやIAMリソースへのアクセスは許可されません。
• 期限付きの割り当てのために PIM をデプロイする 開発者が 4 時間のウィンドウ中で必要に応じて共同編集者ロールをアクティブ化できるよう、承認済みの正当性を持つ特権アクセスのために Microsoft Entra PIM を構成し、常時の所有者割り当てをオンデマンドアクセスに置き換えました。
• RBAC ガバナンスを確立する PIM アクセス レビューを使用して、すべてのロールの割り当ての自動月次レビューを作成しました。リソース所有者は、継続的なアクセスを正当化し、セキュリティ チーム レビューのリソース グループ スコープよりも広い範囲のロールの割り当てを自動的にフラグ付けする必要があります。

結果 組織は、145 の永続的な所有者の割り当てを 0 に減らし、カスタム ロールの平均 8 アクセス許可と以前の 100 以上の所有者アクセス許可を持つ 23 のスコープリソース グループへの開発者アクセスを制限し、制限付きアクセスによって第 1 四半期に 3 件の偶発的な運用削除を防止しました。

重要度レベル

持っている必要があります。

コントロール マッピング

• NIST SP 800-53 Rev.5 AC-2、AC-3、AC-5、AC-6、AC-6(1)、AC-6(2)
• PCI-DSS v4 7.2.1、7.2.2、7.2.3、8.2.2
• CIS コントロール v8.1 3.3、5.4、6.1、6.8
• NIST CSF v2.0 PR。AC-4、PR。AC-7、PR。AA-1
• ISO 27001:2022 A.5.15、A.5.18、A.8.2、A.8.3
• SOC 2 CC6.1、CC6.3、CC6.7

PA-8: クラウド プロバイダーサポートのアクセス プロセスを決定する

セキュリティの原則

ベンダー サポート要求を要求および承認するための承認プロセスとアクセス パスを確立し、セキュリティで保護されたチャネルを介してデータに一時的にアクセスします。

軽減すべきリスク

• クラウド プロバイダーサポートによる未承認のデータ アクセス クラウド プロバイダーのサポート担当者が明示的な同意なしに顧客データ ストアにアクセスするリスク。診断またはメンテナンス操作中に特権資格情報が悪用される可能性があります。
• プロバイダー アクセスによる Insider の脅威の悪用 悪意のある、または過失なクラウド プロバイダーの内部関係者が特権アクセスを悪用し、顧客テナント内のデータ流出や未承認の変更につながる可能性があります。
• 可視性のない不透明なアクセス操作 データ アクセス イベントの可視性がないため、追跡とアカウンタビリティが妨げられ、信頼が損なわれ、監査要件に違反する可能性があります。
• 過剰な特権エスカレーション クラウド プロバイダーのサポート エンジニアが過度に広範なアクセス スコープを取得し、最小限の特権原則を超え、クラウド リソース内の攻撃対象領域を増やすリスク。
• 監査要件に準拠していない規制 制御されていないデータ アクセスがデータ保護フレームワーク (GDPR、HIPAA、CCPA など) に違反し、アクセス ガバナンスが不十分なためにコンプライアンス違反のペナルティが発生するリスクがあります。
• サポート操作中のデータの公開 顧客ガバナンスなしで、リモート デスクトップ セッションやログ分析などのサポート アクティビティ中に機密データが漏えいしたり、誤って処理されたりする可能性があります。

MITRE ATT&CK

• 有効なアカウント (T1078.004) セキュリティ侵害または悪用されたクラウド アカウントの資格情報 (サポート担当者など) を悪用して、クラウド環境の顧客データにアクセスし、標準の認証制御をバイパスします。
• アカウント操作 (T1098.001) キーやトークンなどの承認されていない資格情報をクラウド ID サービスまたはアプリケーションに追加し、サポート操作中に顧客リソースに永続的にアクセスできるようにします。
• ブルート フォース (T1110) トラブルシューティング アクティビティ中に顧客データへの不正アクセスを取得するために、サポート エンジニアが使用するものなど、クラウド アカウントの資格情報を推測しようとする繰り返しの試行。
• アプリケーション アクセス トークンを盗む (T1528) サポート担当者が顧客のクラウド リソースとやり取りするために使用するアクセス トークンの盗難。テナント内での未承認のデータ アクセスまたは横移動を促進します。
• OS 資格情報のダンプ (T1003.006) 一時的な昇格されたアクセス権を持つ内部関係者によるクラウド ID サービスからの資格情報の抽出。これにより、永続的なアクセスのための機密 ID データの同期が可能になります。

PA-8.1: Azure カスタマー ロックボックスを使用する

カスタマー ロックボックス は、Microsoft サポート エンジニアのデータ アクセスに対して明示的な承認制御を提供し、お客様がトラブルシューティング中にクラウド リソースにアクセスするユーザーに対するガバナンスを維持できるようにします。 Lockbox がないと、サポート エンジニアは明示的な同意なしに顧客データにアクセスでき、コンプライアンス リスクが生じ、ベンダー アクセス アクティビティの可視性が低下します。 Lockbox を実装すると、すべてのサポート データ アクセス要求に顧客の承認が必要になり、監査証跡と規制コンプライアンスが維持されます。

次のプロセスを使用してカスタマー ロックボックスを実装します。

• ロックボックスを有効にする グローバル管理者は、Azure portal の管理モジュールを介してテナント レベルでカスタマー ロックボックスを有効にします。対象となるテナントの下にあるすべてのサブスクリプションとリソースを含む Azure サポート プラン (開発者以上) が必要です。

• サポート 要求を開始する ユーザーはワークロードの問題について Azure portal でサポート チケットを開きます。ここで、Microsoft サポート エンジニアはチケットを確認し、標準的なトラブルシューティング ツール以外にデータ アクセスが必要かどうかを判断します。

• 昇格されたアクセスを要求する 標準ツールで問題を解決できない場合、エンジニアは Just-In-Time (JIT) アクセス サービスを介して昇格されたアクセス許可を要求し、目的、期間、リソースを指定する直接データ アクセス (仮想マシン リモート デスクトップなど) のロックボックス要求を作成します。

• 指定された承認者に通知する 指定された承認者 (サブスクリプション所有者、グローバル管理者、または Azure カスタマー ロックボックス承認者) は、要求の詳細と [ロックボックス] ブレードへのリンクを含む電子メール通知を受け取り、メールが有効になっていないアカウントまたはサービス プリンシパルに対して代替メール通知を構成できます。

• レビューと承認または拒否 承認者は Azure portal にサインインして、要求と関連するサポート チケットを確認し、4 日以内に承認または拒否します。承認では、アクセスを制限付き時間 (既定: 8 時間) に付与し、アクセスを拒否または期限切れで禁止します。

実装例

挑戦 金融サービス組織では、規制要件のために Microsoft サポート データ アクセスに対する明示的な承認制御が必要でしたが、コンプライアンス監査のためのサポート エンジニアのアクセス要求と承認ワークフローの可視性が不足しています。

Solution

• カスタマー ロックボックスを有効にする グローバル管理者の承認を必要とするすべてのサブスクリプションに対してテナント レベルで カスタマー ロックボックス をアクティブ化し、指定されたサブスクリプション所有者と Azure カスタマー ロックボックス承認者がすべてのデータ アクセス要求に対する自動電子メール通知を受信して、文書化された承認プロセスを確立します。
• 承認ワークフローを構成する 必須の承認者の正当な理由に関するドキュメントを使用して、すべての Lockbox 要求の 4 日間のレビュー 期間を確立し、サービス プリンシパルの代替電子メール通知を構成し、時間に依存するサポート シナリオのエスカレーション手順を実装します。
• 監視と監査ログの実装 統合されたカスタマー ロックボックス承認イベントと Microsoft Sentinel がセキュリティ チームのリアルタイム アラートを生成し、すべてのサポート アクセス要求、承認の決定、および規制レポートのアクセス期間の包括的な監査証跡を有効にします。

結果 組織は、平均 2 時間の承認待ち時間で Microsoft サポート データ アクセスに対する 100% の明示的な承認を達成し、規制コンプライアンスのために 6 か月間にわたって 47 件のロックボックス要求の完全な監査証跡を維持し、ガバナンス制御を示す承認基準を満たしていない 3 つの要求を拒否しました。

重要度レベル

持っている必要があります。

コントロール マッピング

• NIST SP 800-53 Rev.5 AC-2、AC-3、AC-6(2)、AU-6、CA-3
• PCI-DSS v4 8.2.2、10.2.2、12.8.2、12.8.5
• CIS コントロール v8.1 5.4、6.8、8.2、8.11
• NIST CSF v2.0 PR。AC-4、PR。PT-2、DE。AE-3
• ISO 27001:2022 A.5.19、A.5.20、A.5.23、A.8.2
• SOC 2 CC6.3、CC6.7、CC7.2