覚書 22-09 で取り上げられている他のゼロ トラストの領域

  • [アーティクル]

このガイダンスの他の記事では、米国行政管理予算局 (OMB) M 22-09 行政府の長に対する覚書に記載されているように、ゼロ トラスト原則の ID の柱について説明します。 この記事では、ID の柱を超えたゼロ トラストの成熟度モデル領域について、次のテーマを用いて説明します。

  • 可視性
  • Analytics
  • オートメーションとオーケストレーション
  • ガバナンス

視程

Microsoft Entra テナントを監視することが重要です。 侵害があることを想定して、覚書 22-09 と覚書 21-31 の準拠基準を満たします。 セキュリティの分析とインジェストには、3 つの主要なログの種類が使用されます。

  • Azure 監査ログでは、ユーザーやグループなどのオブジェクトの作成、削除、更新といった、ディレクトリの操作アクティビティを監視します
    • 条件付きアクセス ポリシーの変更など、Microsoft Entra 構成を変更する場合にも使用します
    • Microsoft Entra ID の監査ログ」を参照してください
  • プロビジョニング ログには、Microsoft Identity Manager を使用して、Microsoft Entra から Service Now のようなアプリケーションに同期されたオブジェクトに関する情報が含まれます
  • Microsoft Entra サインイン ログでは、ユーザー、アプリケーション、およびサービス プリンシパルに関連しているサインイン アクティビティを監視します。
    • サインイン ログには、識別用のカテゴリがあります
    • 対話型サインインでは、成功したサインインと失敗したサインイン、適用されたポリシー、およびその他のメタデータが表示されます
    • 非対話型ユーザー サインインでは、サインイン中の対話は表示されません (ユーザーの代わりにサインインする、モバイル アプリケーションや電子メール クライアントなどのクライアント)
    • サービス プリンシパルのサインインには、サービス プリンシパルまたはアプリケーション サインインが表示されます (REST API を介してサービス、アプリケーション、または Microsoft Entra ディレクトリにアクセスするサービスまたはアプリケーション)
    • Azure リソース サインイン用のマネージド ID (Azure SQL バックエンドに対して認証する Web アプリケーション サービスなどの Azure リソースにアクセスする Azure リソースまたはアプリケション)
    • Microsoft Entra ID のサインイン ログ (プレビュー)」を参照してください

Microsoft Entra ID 無料テナントでは、ログ エントリは 7 日間保存されます。 Microsoft Entra ID P1 または P2 ライセンスを持つテナントは、ログ エントリを 30 日間保持します。

セキュリティ情報およびイベント管理 (SIEM) ツールがログを取り込んでいることを確認します。 サインインと監査のイベントを使用して、アプリケーション、インフラストラクチャ、データ、デバイス、ネットワーク ログに関連付けます。

Microsoft Entra ログを Microsoft Sentinel と統合することをお勧めします。 Microsoft Entra テナント ログを取り込むコネクタを構成します。

詳細情報:

Microsoft Entra テナントについては、診断設定を構成して、データを Azure Storage アカウント、Azure Event Hubs、Log Analytics ワークスペースのいずれかに送信することができます。 これらのストレージ オプションを使用して、データを収集する他の SIEM ツールを統合します。

詳細情報:

Analytics

次のツールで分析を使って、Microsoft Entra ID から情報を集計し、セキュリティ体制の傾向をベースラインと比較して示すことができます。 また、Microsoft Entra ID 全体のパターンや脅威を評価して探すために、分析を使うこともできます。

  • Microsoft Entra ID Protection では、サインインと他のテレメトリ ソースを分析して、危険な行動を探します
    • Identity Protection が、サインイン イベントにリスク スコアを割り当てます
    • サインインを禁止したり、ステップアップ認証を強制して、リソースやアプリケーションへリスク スコアに基づいてアクセスします
    • Identity Protection とは」を参照してください
  • Microsoft Entra の使用状況と分析情報のレポートには、使用量が最も多いアプリケーションや、サインインの傾向など、Azure Sentinel ブックと似た情報が含まれます。
  • Microsoft Sentinel を使って Microsoft Entra ID の情報を分析します。

オートメーションとオーケストレーション

ゼロ トラストのオートメーションは、脅威やセキュリティの変更によるアラートの修復に役立ちます。 Microsoft Entra ID では、オートメーション統合により、セキュリティ体制を改善するためのアクションを明確にすることができます。 オートメーションのベースになるのが、監視と分析から受け取った情報です。

Microsoft Graph API REST 呼び出しを使用して、Microsoft Entra ID にプログラムでアクセスします。 このアクセスには、承認とスコープを持つMicrosoft Entra ID が必要です。 Graph API を使用することで、他のツールを統合します。

システム割り当てマネージド ID を使用するように Azure 関数や Azure ロジック アプリを設定することをお勧めします。 このロジック アプリや機能には、アクションをオートメーション化するステップやコードがあります。 サービス プリンシパルのディレクトリ アクセス許可を付与するためのアクセス許可をマネージド ID に割り当てて、アクションを実行します。 マネージド ID に最小限の権限を付与します。

詳しくは、「Azure リソースのマネージド ID とは」を参照してください

もうひとつのオートメーション統合ポイントが、Microsoft Graph PowerShell モジュールです。 Microsoft Graph PowerShell を使用して、Microsoft Entra ID で一般的なタスクや構成を実行するか、Azure 関数または Azure Automation Runbook に組み込みます。

ガバナンス

Microsoft Entra 環境を運用するためのプロセスを文書化します。 Microsoft Entra ID のスコープに適用されるガバナンス機能には、Microsoft Entra 機能を使用します。

詳細情報:

次のステップ