ゼロ トラスト セキュリティ態勢を評価する
開始するにはカテゴリを選択してください
いくつかの質問に答えると、組織のゼロ トラスト成熟度についてのアドバイスを受け取ることができます。実用的な展開のリソースも紹介します。
サイバーセキュリティに対する先回り型のアプローチを取り入れる
エンドポイント • 質問 1 / 9
内部ユーザーに対して多要素認証を有効化済みですか?
エンドポイント • 質問 2 / 9
次のどの形態のパスワードレス認証をユーザーに対して有効化していますか?
エンドポイント • 質問 3 / 9
次のユーザー グループのうち、シングル サインオン (SSO) がプロビジョニングされているのはどれですか?
エンドポイント • 質問 4 / 9
次のセキュリティ ポリシー エンジンのうち、エンタープライズ リソースに対するアクセス権決定にお使いのものはどれですか?
エンドポイント • 質問 5 / 9
レガシ認証を無効化済みですか?
エンドポイント • 質問 6 / 9
アクセス要求を評価するときに、リアルタイムのユーザーとサインインのリスク検出を使用していますか?
エンドポイント • 質問 7 / 9
次のテクノロジのうち、組織の ID とアクセスを管理するソリューションに統合済みのものはどれですか?
エンドポイント • 質問 8 / 9
次のコンテキストのうち、アクセス ポリシーで使用されているのはどれですか?
エンドポイント • 質問 9 / 9
ID セキュリティ スコアをガイダンスとして使用していますか?
回答から判定された、あなたの ID のゼロ トラストのステージは最適です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは上級です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは初期です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
多要素認証を実装しましょう。
- 多要素認証は、組織のアプリケーションの保護に役立ちます。ユーザーが本人であることの確認を、第二の検証ソース (たとえば電話やトークン) を使用して行い、その後でアクセス権を付与します。
- Azure Entra ID は、無料で 多要素認証 を有効にするのに役立ちます。
- 既に Microsoft Entra ID をお使いですか? 今すぐ導入を開始しましょう。
パスワードレス認証を有効にします。
- パスワードレス認証の方法、たとえば Windows Hello や Microsoft Authenticator は、シンプルで安全な認証エクスペリエンスを Web とモバイル デバイスの両方で実現します。最近作成された FIDO2 標準に基づくこれらの方法を利用すると、ユーザーが認証を簡単かつ安全に、パスワード不要で行うことができます。
- Microsoft はパスワードレス認証を今すぐ導入するためのお役に立ちます。 詳細については、パスワードレス認証データシートをダウンロード してください。
- Azure Entra ID を既にお持ちの場合は、 パスワードレス認証を今すぐ有効にする方法をご覧ください。
シングル サインオン (SSO) を実装します。
- SSO は、同じ人物に対する複数の資格情報の管理を不要にすることによってセキュリティを強化するだけでなく、サインイン情報の入力が求められる回数を減らせるため、より良いユーザー エクスペリエンスが実現します。
- Microsoft Entra ID を利用すると、一般的な SaaS (サービスとしてのソフトウェア) アプリ、オンプレミスのアプリ、独自開発のアプリで SSO のエクスペリエンス を実現できます。アプリがどのクラウドに存在するかを問わず、ユーザーのタイプや ID も問いません。
- SSO の展開を計画します。
適応型の、リスクベースのポリシーを使用してアクセス制御を施行します。
- 単純なアクセス/ブロックの判断にとどまらず、リスク アペタイトに基づいて、アクセスを許可する、ブロックする、アクセスを制限する、多要素認証のような追加の証明を要求するなど、判断をカスタマイズすることができます。
- Microsoft Entra ID の条件付きアクセスを使用して、詳細に調整した適応型アクセス制御を施行できます。たとえば、ユーザー コンテキスト、デバイス、場所、セッション リスク情報に基づいて多要素認証を要求できます。
- 条件付きアクセスの展開を計画します。
レガシ認証をブロックします。
- 悪意のあるアクターがよく使う攻撃ベクトルの 1 つは、盗難またはリプレイされた資格情報を SMTP などのレガシのプロトコルに対して使用するというものです。このようなプロトコルでは、モダンなセキュリティ チャレンジを使うことができません。
- Microsoft Entra ID の条件付きアクセスは、レガシ認証をブロックするのに役立ちます。 レガシ認証のブロックに関する詳細情報を参照します。
アイデンティティを侵害から守ります。
- リアルタイムのリスク評価は、アイデンティティ侵害に対する防御を、ログイン時点とセッション進行中に行うのに役立ちます。
- Azure Identity Protection は、リアルタイムの継続的検出、自動修復、コネクテッド インテリジェンスが特長であり、リスクのあるユーザーとサインインを調査して潜在的な脆弱性に対処することができます。
- ID 保護を有効化 して開始できます。ユーザー セッション データを Microsoft Cloud App Security から取り込み、認証後の危険なユーザー行動を Microsoft Entra ID に反映して強化することができます。
組織の ID アクセス管理 (IAM) ソリューションを、より多くのデータでエンリッチメントします。
- IAM ソリューションに取り込むデータが多ければ多いほど、きめ細かにアクセス権を決定したり、会社のリソースにアクセスするユーザーに関する可視性を向上させたりすることができ、それによってセキュリティ態勢を改善し、さらにエンドユーザーに合わせたエクスペリエンスにすることができます。
- Microsoft Entra ID、 Microsoft Cloud App Security、 Microsoft Defender for Endpoint のすべてが連携してシグナル処理が強化されることで、より良い意思決定を行うことができます。
- Microsoft Defender for Endpoint、 Microsoft Defender for Identity、 Microsoft Cloud App Security で条件付きアクセスを構成します。
アクセス ポリシーを詳細に調整します。
- エンドポイント、アプリケーション、ネットワークを統合するリスクベースの適応型アクセス ポリシーにより、きめ細かなアクセス制御を実施し、データの保護を強化できます。
- Microsoft Entra ID の条件付きアクセスを利用すると、ユーザー コンテキスト、デバイス、場所、セッション リスク情報に基づき、多要素認証を要求するなど、詳細に調整した適応型アクセス制御を実施できます。
- 条件付きアクセス ポリシーを詳細に調整します。
ID セキュリティ ポスチャを改善できます。
- Microsoft Entra ID のセキュリティ スコアによって、Microsoft が推奨するセキュリティのベストプラクティスに、お使いの環境がどの程度適合しているかを分析することで、組織の ID セキュリティ態勢を評価することができます。
- ID セキュリティ スコアを計算する
エンドポイント • 質問 1 / 7
デバイスは ID プロバイダーに登録されていますか?
エンドポイント • 質問 2 / 7
内部ユーザーのデバイスはモバイル デバイス管理に登録されていますか?
エンドポイント • 質問 3 / 7
マネージド デバイスは、IT 構成ポリシーに準拠していることがアクセス権付与の条件となっていますか?
エンドポイント • 質問 4 / 7
ユーザーが組織のリソースにアンマネージド デバイスからアクセスする場合のモデルは定義済みですか?
エンドポイント • 質問 5 / 7
外部ユーザーのデバイスはモバイル デバイス管理に登録されていますか?
エンドポイント • 質問 6 / 7
データ損失防止ポリシーをマネージドとアンマネージドのすべてのデバイスに適用していますか?
エンドポイント • 質問 7 / 7
リアルタイムのデバイス リスク評価を可能にするためのエンドポイント脅威検出を実装済みですか?
回答から判定された、あなたの ID のゼロ トラストのステージは最適です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは上級です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは初期です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
お使いのデバイスを ID プロバイダーに登録します。
- 1 人のユーザーが使用する複数のエンドポイント全体についてセキュリティとリスクの監視を行うには、リソースにアクセスする可能性のあるすべてのデバイスとアクセス ポイントを可視化する必要があります。
- デバイスを Microsoft Entra ID に登録すると、ネットワークにアクセスするデバイスが可視化され、デバイスの正常性と状態の情報をアクセス権の決定に利用できるようになります。
- デバイスの ID を Microsoft Entra ID で構成して管理する
内部ユーザーのデバイスをモバイル デバイス管理に登録します。
- データ アクセス権を付与した後に、そのユーザーが会社のデータに対して何ができるかを制御することは、リスクを軽減するうえで非常に重要です。
- Microsoft エンドポイント マネージャー を利用すると、エンドポイントのプロビジョニング、構成、自動更新、デバイスのワイプなどのリモート アクションを実行できます。
- 内部ユーザー向けの モバイル デバイス管理 を設定します。
アクセス権を付与する前にコンプライアンスを確認します。
- 会社のリソースにアクセスするエンドポイントすべてのアイデンティティが登録された状態になったら、アクセス権を付与する前に、組織が定める最小セキュリティ要件をそのエンドポイントが満たしているかどうかを確認することをおすすめします。
- Microsoft エンドポイント マネージャー を利用してコンプライアンス ルールを設定すると、デバイスが最小セキュリティ要件を満たしていることを確認してからアクセス権を付与することができます。また、コンプライアンスを満たしていないデバイスに対する修復ルールを設定しておくと、ユーザーが問題の解決方法を知ることができます。
- Microsoft Intune を使用して、組織内のリソースへのアクセスを許可するためのルールをデバイスに対して設定 します。
アンマネージド デバイスに対するアクセスを必要に応じて許可します。
- アンマネージド デバイスからでも従業員が適切なリソースにアクセスできるようにすることは、生産性を保つために重要です。しかし、その場合も組織のデータの保護は必須です。
- Microsoft Intune モバイル アプリケーション管理を利用して、ユーザー用のモバイル アプリの公開、プッシュ、構成、セキュリティ保護、監視、更新を管理者が行うと、ユーザーが業務に必要なアプリに確実にアクセスできるようになります。
- アンマネージド デバイスに対してアクセスを構成します。
外部ユーザーのデバイスをモバイル デバイス管理に登録します。
- 外部ユーザー (契約業者、ベンダー、パートナーなど) が使用する外部デバイスを組織のモバイル デバイス管理ソリューションに登録することは、組織のデータを確実に保護しながら外部ユーザーの業務に必要なアクセス権を付与するための優れた方法です。
- Microsoft エンドポイント マネージャー を使用すると、エンドポイントのプロビジョニング、構成、自動更新、デバイスのワイプなどのリモート アクションを実行できます。
- 外部ユーザー向けのモバイル デバイス管理を設定 します。
データ損失防止ポリシーを組織のデバイスに適用します。
- データ アクセス権が付与された後に、そのユーザーが組織のデータに対して何ができるかを制御することはきわめて重要です。たとえば、ユーザーがアクセスするドキュメントがコーポレート アイデンティティ関連である場合は、保護されていないコンシューマー用のストレージにそのドキュメントが保存されることや、コンシューマー用のコミュニケーション/チャット アプリで共有されることを禁止する必要があります。
- Intune のアプリ保護ポリシー は、デバイスをデバイス管理ソリューションに登録するかどうかにかかわらずデータを保護するのに役立ちます。具体的には、会社のリソースへのアクセスを制限し、データに常に会社の IT 部門の目が届くようにします。
- Intune のアプリ ポリシーの使用を開始します。
リアルタイムのデバイス リスク評価を有効にします。
- 正常で信頼できるデバイスに限定して会社のリソースへのアクセスを許可することは、ゼロ トラスト達成に欠かせないステップの 1 つです。デバイスが ID プロバイダーに登録されたら、そのシグナルをアクセス権決定に取り入れることで、安全でコンプライアンスを満たすデバイスに限定してアクセスを許可することができます。
- Microsoft Entra ID との統合により、Microsoft エンドポイント マネージャーを使用することでさらにきめ細かなアクセス権決定を行うことができ、組織のリスク アペタイトに基づいて条件付きアクセス ポリシーを微調整することができます。たとえば、特定のデバイス プラットフォームから特定アプリへのアクセスを除外するなどが可能です。
- Microsoft Defender for Endpoint で条件付きアクセスを構成する
エンドポイント • 質問 1 / 6
ポリシーベースのアクセス制御をアプリケーションに適用していますか?
エンドポイント • 質問 2 / 6
ポリシーベースのセッション制御をアプリに適用していますか (例: 可視性を制限する、ダウンロードを禁止する)?
エンドポイント • 質問 3 / 6
クラウド データとクラウド脅威の監視を目的として、ビジネス クリティカルなアプリをアプリ セキュリティ プラットフォームに接続済みですか?
エンドポイント • 質問 4 / 6
組織のプライベートのアプリとリソースのうち、VPN や有線接続がなくても利用できるものはいくつありますか?
エンドポイント • 質問 5 / 6
継続的なシャドウ IT 検出、リスク評価、非承認アプリの制御を行っていますか?
エンドポイント • 質問 6 / 6
アプリケーションに管理者がアクセスするときは、恒久的なアクセス許可のリスクの低減を目的として Just-In-Time/Just-Enough 特権が付与されていますか?
回答から判定された、あなたの ID のゼロ トラストのステージは最適です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは上級です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは初期です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
使用するアプリに対してポリシーベースのアクセス制御を施行しましょう。
- 単純なアクセス/ブロックの決定から一歩進んで、リスク アペタイトに基づいて決定を行いましょう。たとえば、アクセスを許可するか、禁止するか、アクセスを制限するか、または追加の証明 (たとえば多要素認証) を要求します。
- Microsoft Entra ID の条件付きアクセスを利用すると、ユーザー コンテキスト、デバイス、場所、セッション リスク情報に基づき、多要素認証を要求するなど、詳細に調整した適応型アクセス制御を実施できます。
- アプリのアクセスに対する条件付きアクセスを構成 する
ポリシーベースのセッション制御を施行します。
- 従業員が意図的に、あるいは不注意でデータと組織を危険にさらす前に侵害と漏洩をリアルタイムで阻止することは、アクセス権付与後のリスク軽減の鍵となります。同時に、従業員が自分のデバイスを安全に使用できるようにすることも、ビジネスに不可欠です。
- Microsoft Cloud App Security (MCAS) は Microsoft Entra ID の条件付きアクセスと統合されているため、アプリを "アプリの条件付きアクセス制御" と連携させるように構成することができます。条件付きアクセス (データ流出の防止、ダウンロード時の保護、アップロードの禁止、マルウェアのブロックなど) のあらゆる条件に基づいて、組織内のアプリにアクセス制御とセッション制御を簡単かつ選択的に実施できます。
- Microsoft Cloud App Security セッション ポリシー を作成して開始します。
ビジネスに使用するアプリを CASB (Cloud Application Security Broker) に接続します。
- すべてのアプリとプラットフォームに対する可視性は、ガバナンスのアクション (ファイルの隔離やユーザーの一時停止、および指摘されたリスクの軽減) を実行するために不可欠です。
- Microsoft Cloud App Security (MCAS) にアプリを接続すると、その時点から、この製品に組み込まれている異常検出機能で保護することができます。MCAS はエンティティとユーザーの行動分析 (UEBA) と機械学習を使用して、通常とは異なる行動をすべてのクラウド アプリで検出します。ランサムウェア、侵害されたユーザー、不正アプリなどの脅威を特定するのに役立ちます。
- Microsoft Cloud App Security にビジネス クリティカルなクラウド アプリを接続 します。
オンプレミスのアプリへのリモート アクセスをアプリ プロキシを通して実現します。
- オンプレミスのサーバーで稼働している内部アプリにユーザーが安全にリモート アクセスできるようにすることは、今日の生産性維持に不可欠です。
- Microsoft Entra ID アプリケーション プロキシ を利用すると、オンプレミスの Web アプリへの安全なリモート アクセスを、VPN やデュアル ホーム サーバーとファイアウォール ルールは不要で実現できます。 Microsoft Entra ID および条件付きアクセスと統合されているため、ユーザーが Web アプリにシングル サインオンでアクセスでき、IT 担当者は条件付きアクセス ポリシーを構成してアクセス制御を詳細に調整することができます。
- 今すぐ始めましょう 。
ネットワーク内のシャドウ IT を検出して管理します。
- 従業員がアクセスするアプリの総数は、平均的なエンタープライズ企業で 1,500 を超えています。さまざまなアプリにアップロードされるデータの量は月 80 GB を超えていますが、組織の IT 部門で管理されているのはそのうち 15% 未満です。リモート ワークが多くの人にとって現実になるにつれて、アクセス ポリシーをネットワーク機器に適用するだけでは十分ではなくなりました。
- Microsoft Cloud App Security は、どのアプリが使用されているかを知るのに役立ちます。そのアプリのリスクを調べ、リスクのある新たなアプリの使用を特定するためのポリシーを構成し、そのアプリを非承認にします。そのようなアプリを、既存のプロキシまたはファイアウォール機器を使用してネイティブでブロックすることができます。詳細については、 e-Book をご覧ください。
- クラウド アプリの検出と評価を開始するために、Microsoft Cloud App Security の Cloud Discovery をセットアップします。
仮想マシン アクセスを Just-In-Time を使用して管理します。
- ユーザー アクセスを限定するための Just-In-Time と Just-Enough-Access (JIT/JEA) の権限付与、リスクベースの適応型ポリシーとデータ保護を使用して、データと生産性の両方を安全に守ります。
- Microsoft Azure Virtual Machines への入力方向トラフィックを Azure Security Center の Just-In-Time (JIT) 仮想マシン (VM) アクセス機能で規制します。攻撃への露出を縮小する一方で、VM への接続が必要なときには簡単にアクセスできます。
- JIT 仮想マシン アクセスを有効化します。
エンドポイント • 質問 1 / 9
クラウド インフラストラクチャ保護ソリューションをハイブリッドとマルチクラウドのデジタル資産全体で有効化していますか?
エンドポイント • 質問 2 / 9
各ワークロードにアプリ ID が割り当てられていますか?
エンドポイント • 質問 3 / 9
ユーザーとリソース (マシン ツー マシン) のアクセスは、ワークロードごとにセグメント化されていますか?
エンドポイント • 質問 4 / 9
セキュリティ オペレーション チームは、エンドポイント、メール、ID への攻撃を見つけるための専用の脅威検出ツールにアクセスできますか?
エンドポイント • 質問 5 / 9
セキュリティ オペレーション チームは、複数のソースにわたってイベントを集計して分析するためのセキュリティ情報とイベント管理 (SIEM) ソリューションにアクセスできていますか?
エンドポイント • 質問 6 / 9
セキュリティ オペレーション チームは、行動分析を利用して脅威の検出と調査を行っていますか?
エンドポイント • 質問 7 / 9
セキュリティ オペレーション チームは、脅威への対応における手作業を減らすためのセキュリティ オーケストレーション自動応答 (SOAR) ツールを使用していますか?
エンドポイント • 質問 8 / 9
管理者には必要な管理権限だけが付与されていることを確実にするために、管理特権の見直しを定期的に (少なくとも 180 日ごとに) 行っていますか?
エンドポイント • 質問 9 / 9
サーバーやその他のインフラストラクチャの管理に対して Just-in-Time アクセスを有効化していますか?
回答から判定された、あなたの ID のゼロ トラストのステージは最適です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは上級です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは初期です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
クラウド ワークロード保護ソリューションを使用しましょう。
- 組織のクラウド ワークロードすべてを包括的に把握することは、分散化が進んだ環境においてリソースの安全を維持するうえで不可欠です。
- Azure Security Center は、統合型のインフラストラクチャ セキュリティ管理システムです。組織のデータ センターのセキュリティ態勢を強化し、高度な脅威対策をすべてのハイブリッド ワークロードに対して、クラウドが Azure かどうかを問わず、さらにオンプレミスも含めて行います。
- Azure Security Center を構成する
アプリ ID を割り当てます。
- アプリ ID を割り当てることは、サービス間の通信をセキュリティ保護するために不可欠です。
- Microsoft Entra ID のマネージド ID が Azure でサポートされる ので、Microsoft Entra ID で保護される他のリソース (たとえば、シークレットや資格情報が安全に保管される Azure Key Vault) へのアクセスが簡単になります。
- アプリ ID を Azure portal で割り当てる
ユーザーとリソースのアクセスをセグメント化します。
- 各ワークロードに対するアクセスをセグメント化することは、ゼロ トラスト達成の鍵となるステップの 1 つです。
- Microsoft Azure には、ユーザーとリソースのアクセスの管理を目的としてワークロードをセグメント化するためのさまざまな方法があります。ネットワーク セグメント化は全体的なアプローチであり、Azure の中ではリソースをサブスクリプション レベルで分離することができます。そのための機能として Virtual Network (VNet)、VNet ピアリング ルール、ネットワーク セキュリティ グループ (NSG)、アプリケーション セキュリティ グループ (ASG)、Azure Firewall があります。
- Azure のリソースどうしが安全に通信できるようにするために、 Microsoft Azure Virtual Network を作成します。
脅威検出ツールを実装します。
- 高度な脅威の阻止、検出、調査、対応をハイブリッド インフラストラクチャ全体で行うことは、セキュリティ態勢の向上に役立ちます。
- Microsoft Defender for Endpoint Advanced Threat Protection はエンタープライズ企業向けのエンドポイント セキュリティ プラットフォームであり、エンタープライズ ネットワークにおける高度な脅威の阻止、検出、調査、対応に役立ちます。
- Microsoft Defender for Endpoint Advanced Threat Protection の展開を計画する
セキュリティ情報イベント管理 (SIEM) ソリューションを展開します。
- デジタル情報の価値が上昇を続けるのに合わせて、攻撃の数と巧妙さも上昇しています。SIEM は、組織の資産全体の脅威軽減を一元化する手段となります。
- Azure Sentinel は、クラウド ネイティブのセキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動応答 (SOAR) のソリューションであり、エンタープライズ企業のセキュリティ オペレーション センター (SOC) がこれを利用するとすべてのセキュリティ イベントを 1 つの画面で監視できるようになります。組織のすべての資産を保護するために、ハイブリッド組織全体からシグナルを収集し、インテリジェントな分析を適用して脅威をすばやく特定します。
- Sentinel を展開して開始します。
行動分析を実装します。
- 新しいインフラストラクチャを作成するときは、監視とアラート発出のルールを確立することも必要です。これは、リソースが予期しない行動を見せたことを特定する鍵となります。
- Microsoft Defender for Identity を利用すると、組織に向けられた高度な脅威、侵害されたアイデンティティ、悪意のあるインサイダーによるアクションを、収集されたシグナルに基づいて特定し、検出し、調査することができます。
- Microsoft Defender for Identity の詳細情報を参照します
自動調査をセットアップします。
- セキュリティ オペレーション チームは、次々と現れる脅威から発せられる大量のアラートに対応するという課題に直面しています。自動調査と応答 (AIR) が可能なソリューションを実装することは、セキュリティ オペレーション チームが効率的かつ効果的に脅威に対処するのに役立ちます。
- Microsoft Defender for Endpoint Advanced Threat Protection には自動調査と応答の機能が含まれており、侵害を解決するためにアラートを調べて即座にアクションを取るのに役立ちます。これらの機能によってアラートの量が大幅に減少するため、セキュリティ オペレーション チームがより巧妙な脅威やその他の高価値のイニシアティブに専念できるようになります。
- 自動調査に関する詳細情報を参照します。
特権リソースへのアクセスを統制します。
- 管理者アクセス権は使いすぎないようにする必要があります。管理機能を実行する必要があるときは、ユーザーに一時的な管理者アクセス権を付与します。
- Microsoft Entra ID の Privileged Identity Management (PIM) を利用すると、特権付き ID のアクセス権の検出、制限、監視を行うことができます。PIM を使用して、Just-In-Time、有効期限、ロールベースのアクセス制御を使用して重要な業務へのアクセスを制限することにより、管理者アカウントの安全性を確保することができます。
- Privileged Identity Management を展開して開始します
特権アカウントに Just-in-Time アクセスを許可します。
- 管理者アクセス権は使いすぎないようにする必要があります。管理機能を実行する必要があるときは、ユーザーに一時的な管理者アクセス権を付与します。
- Microsoft Entra ID の Privileged Identity Management (PIM) を利用すると、特権付き ID のアクセス権の検出、制限、監視を行うことができます。PIM を使用して、Just-In-Time、有効期限、ロールベースのアクセス制御を使用して重要な業務へのアクセスを制限することにより、管理者アカウントの安全性を確保することができます。
- Privileged Identity Management を展開して開始します。
エンドポイント • 質問 1 / 6
組織のデータ分類体系は定義済みですか?
エンドポイント • 質問 2 / 6
アクセス権決定はデータの秘密度に基づいて統制されていますか? (単純なネットワーク境界制御ではなく)
エンドポイント • 質問 3 / 6
会社のデータの検出は、その場所を問わず、秘密度に基づいて積極的かつ継続的に行われていますか?
エンドポイント • 質問 4 / 6
データ アクセス権決定はポリシーによって統制され、クラウド セキュリティ ポリシー エンジンによって施行されていますか? (例: インターネット上のどこでも利用できる)
エンドポイント • 質問 5 / 6
最高機密のファイルは、許可のないアクセスと使用を防ぐために暗号化によって恒久的に保護されていますか?
エンドポイント • 質問 6 / 6
データ損失防止のためのコントロールが存在し、機密情報の流れの監視、アラート発信、制限 (例: メール送信、アップロード、USB へのコピーの禁止) が行われていますか?
回答から判定された、あなたの ID のゼロ トラストのステージは最適です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは上級です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは初期です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
分類体系を定義します。
- 適切なラベル分類体系と保護ポリシーを定義することは、データ保護戦略における最重要ステップであるため、初めに組織の情報に対する秘密度要件を反映してラベル付け戦略を作成します。
- データ分類について学びます。
- 準備ができたら、 秘密度ラベルの使用を開始します。
アクセス権決定を秘密度に基づいて統制します。
- データの秘密度が高いほど、より大きな保護コントロールと施行が必要になります。同様に、そのコントロールは、データへのアクセス方法とアクセス元に伴うリスクの性質に釣り合うものであることが必要です (たとえば、要求元がアンマネージド デバイスまたは外部ユーザーであるかどうか)。 Microsoft Information Protection では、データの秘密度とリスクに基づいた柔軟な保護コントロールが可能です。
- 機密データの中には、暗号化を強制するポリシーでの保護を必要とするものもあります。承認を受けたユーザーだけがそのデータにアクセスできるようにするためです。
- 秘密度ラベルを設定する ことで、アクセス権決定が統制されます。新しい Azure Purview は Microsoft Information Protection を基盤とする統合型のデータ ガバナンス サービスです。詳細については、 お知らせのブログ
- をご覧ください。
堅牢なデータ分類とラベル付けの戦略を実行に移します。
- エンタープライズ企業は大量のデータを保有していますが、適切なラベル付けと分類が簡単ではないこともあります。機械学習を使用してスマートに、自動的に分類することは、エンド ユーザーの負担を軽減するのに役立ち、ラベル付け方法の一貫性にもつながります。
- Microsoft 365 では、コンテンツを分類する方法として、手動、 自動パターン マッチング、新しい トレーニング可能な分類子の 3 つがあります。トレーニング可能な分類子は、手動や自動パターン マッチングという方法では簡単に特定できないコンテンツに適しています。オンプレミスのファイル リポジトリやオンプレミスの SharePoint 2013 以降のサイトについては、 Azure Information Protection (AIP) スキャナー が機密情報の検出、ラベル付け、保護に役立ちます。
- 使用を開始するには、 ラベル付け展開ガイダンス をご覧ください。
アクセス権決定をポリシーに基づいて統制します。
- 単純なアクセス/ブロックの決定から一歩進んで、リスク アペタイトに基づいてデータ アクセスの決定を行います。たとえば、アクセスを許可するか、禁止するか、アクセスを制限するか、または追加の証明 (たとえば多要素認証) を要求します。
- Azure AD の条件付きアクセス を利用すると、詳細に調整した適応型アクセス制御を施行できます。たとえば、ユーザー コンテキスト、デバイス、場所、セッション リスク情報に基づいて多要素認証を要求します。
- Microsoft Cloud App Security と Azure Information Protection を統合 して、条件付きアクセス ポリシーを有効にします。
会社の境界の外で共有されるデータに対するアクセスと使用の権利を施行します。
- 生産性を低下させることなくリスクを適切に軽減するためには、社外と共有するメール、ドキュメント、機密データを制御してセキュリティで保護できることが必要です。
- Azure Information Protection は、メール、ドキュメント、機密データを会社の内外で安全に守るのに役立ちます。簡単な分類から、埋め込みのラベルとアクセス許可まで、データ保護を Azure Information Protection で常時強化します。データがどこに保管されているか、誰と共有されるかを問いません。
- 開始するには、展開の計画を立てます。
データ損失防止 (DLP) ポリシーを実装します。
- ビジネス標準と業界の規制を遵守するために、組織は機密情報を保護するとともに意図しない公開を防止する必要があります。機密情報の例としては、金銭に関するデータや個人を特定できる情報、たとえばクレジット カード番号、社会保障番号、医療記録などがあります。
- Microsoft 365 で多様な DLP ポリシー を使用して、機密性の高いアイテムの特定、監視、自動保護をサービス横断で行います。これに含まれるものとしては Teams、Exchange、SharePoint、OneDrive、Office アプリ (Word、Excel、PowerPoint など)、Windows 10 エンドポイント、Microsoft 以外のクラウドのアプリ、オンプレミスのファイル共有と SharePoint、Microsoft Cloud App Security があります。
エンドポイント • 質問 1 / 5
ネットワークは、横移動を阻止するためにセグメント化されていますか?
エンドポイント • 質問 2 / 5
ネットワークを守るためにどのような保護を利用していますか?
エンドポイント • 質問 3 / 5
ネットワークを保護するために、安全なアクセス制御を使用していますか?
エンドポイント • 質問 4 / 5
すべてのネットワーク通信 (これにはマシン ツー マシンも含まれます) を、証明書を使用して暗号化していますか?
エンドポイント • 質問 5 / 5
機械学習 (ML) ベースの脅威対策とフィルタリングをコンテキストベースのシグナルとともに使用していますか?
回答から判定された、あなたの ID のゼロ トラストのステージは最適です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは上級です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
回答から判定された、あなたの ID のゼロ トラストのステージは初期です。
セキュリティに対する包括的なアプローチをゼロ トラストとともに作ります。
ネットワークをセグメント化しましょう。
- ネットワークをセグメント化するためにソフトウェア定義境界を実装するとともに制御の粒度を高めると、攻撃者から見てそのネットワークを通した拡散のコストが増加するため、脅威の横移動が大幅に減少します。
- Azure には、ユーザーとリソースのアクセスの管理を目的としてネットワークをセグメント化するためのさまざまな方法があります。ネットワークのセグメント化は、全体的なアプローチです。Azure の中ではリソースをサブスクリプション レベルで分離することができます。そのための機能として仮想ネットワーク、仮想ネットワーク ピアリング ルール、ネットワーク セキュリティ グループ、アプリケーション セキュリティ グループ、Azure Firewall があります。
- セグメント化戦略を計画します。
ネットワーク保護を実施します。
- クラウド アプリケーションによってエンドポイントが外部環境 (たとえばインターネットや、オンプレミスのシステム) に対して開かれる場合は、その環境からの攻撃のリスクがあります。トラフィックをスキャンして悪意のあるペイロードやロジックを見つけることは必須です。
- Azure には、 Azure DDoS Protection Service、 Azure Firewall、 Azure Web Application Firewall など、脅威に対する包括的な保護を提供するサービスがあります。
- ネットワーク保護ツールをセットアップします
暗号化された管理者アクセスをセットアップします。
- 管理者アクセス権は、致命的な脅威ベクトルとなることがあります。アクセスをセキュリティで保護することは、侵害を防ぐためにきわめて重要です。
- Azure VPN Gateway は、クラウドネイティブで高スケールの VPN サービスであり、ユーザー向けに Microsoft Entra ID と完全に統合されたリモート アクセス、条件付きアクセス、多要素認証を実現できます。 Azure の Azure Virtual Desktop を使用すると、どこからでも安全なリモート デスクトップ エクスペリエンスを実現できます。Azure の Microsoft Entra ID アプリケーション プロキシによって管理され、ゼロ トラスト アクセス アプローチを使用してオンプレミスの Web アプリが公開されます。
- Azure Bastion は、このサービスがプロビジョニングされている仮想ネットワーク内のすべての仮想マシンへの、安全なリモート デスクトップ プロトコル (RDP) とセキュア シェル プロトコル (SSH) の接続を可能にするものです。Azure Bastion は、仮想マシンが RDP/SSH ポートから外部に公開されないよう保護しながら RDP/SSH での安全なアクセスを実現するのに役立ちます。
- Azure Bastion を展開します。
すべてのネットワーク トラフィックを暗号化します。
- 組織のデータは転送中も適切に保護されている必要があります。そうでない場合は、中間者攻撃、傍受、セッション ハイジャックを受けやすくなります。これらの攻撃は、攻撃者が秘密データへのアクセス権を獲得するための第一歩となることがあります。
- エンドツーエンドの暗号化は、Azure への接続から始まり、バックエンドのアプリケーションやリソースまで続きます。 Azure VPN Gateway を利用すると、暗号化されたトンネルを通して Azure に接続するのが簡単になります。 Azure Front Door と Application Gateway は、SSL オフロード、WAF 検査、再暗号化に役立ちます。お客様は、トラフィックがエンドツーエンドで SSL を介して流れるように設計することができます。 Azure Firewall Premium TLS 検査 を利用すると、暗号化された接続の中での悪意のあるトラフィックの可視化、検出、ブロックを、高度な IDPS エンジンを介して行うことができます。 Azure Application Gateway でのエンドツーエンド TLS 暗号化 は、機密データを暗号化して安全にバックエンドに送信すると同時にレイヤ 7 負荷分散機能を活用するのに役立ちます。 Azure Application Gateway でのエンドツーエンド TLS 暗号化 を Azure Application Gateway で行います。
機械学習ベースの脅威対策とフィルタリングを実装します。
- 攻撃の巧妙さと頻度が上昇を続けているため、それに対応するための備えが必要です。機械学習ベースの脅威対策とフィルタリングは、組織がよりすばやく対応し、調査を向上し、自動的に修復し、規模の管理を容易にするのに役立ちます。これに加えて、さまざまなサービスからのイベント (DDoS、WAF、FW) を集約して Microsoft の SIEM である Azure Sentinel に送り、インテリジェントなセキュリティ分析を行うことができます。
- Azure DDoS Protection では機械学習が使用されており、Azure でホストされるアプリケーション トラフィックを監視し、ボリューム型トラフィック フラッドのベースライン設定と検出を行い、自動修復を適用するのに役立ちます。
- Azure DDoS Protection Standard を有効にします。
Microsoft Security をフォロー