ゼロ トラストの原則を Microsoft Copilot for Security に適用する

概要: Microsoft Copilot for Security の環境にゼロ トラストの原則を適用するには、次の 5 つの保護レイヤーを適用する必要があります。

1. ID およびアクセス管理ポリシーを使って、管理者と SecOps スタッフのユーザー アカウントを保護します。
2. 最小限のユーザー アカウント ロールの割り当てを含め、管理者と SecOps スタッフのユーザー アカウントに最小限の特権アクセスを適用します。
3. 管理者と SecOps スタッフのデバイスを管理および保護します。
4. 脅威に対する保護をデプロイまたは検証します。
5. Copilot for Security と統合するサード パーティのセキュリティ製品へのアクセスをセキュリティで保護します。

はじめに

Microsoft Copilot for Security を環境に導入する一環として、Microsoft では、管理者と SecOps スタッフのユーザー アカウントとデバイス用の強力なセキュリティ基盤を構築することをお勧めします。 また、Microsoft は、脅威に対する保護ツールの構成を確認することも推奨しています。 サード パーティのセキュリティ製品を Copilot for Security と統合する場合は、これらの製品と関連データへのアクセスが保護されていることも確認します。

幸いなことに、強力なセキュリティ基盤のガイダンスは、ゼロ トラストのフォームで存在します。 ゼロ トラストセキュリティ戦略では、各接続とリソース要求は、制御されていないネットワークと不適切なアクターから発生したかのように扱われます。 要求の発信元やアクセス先のリソースに関係なく、ゼロ トラストでは「決して信頼しない、常に検証する」と考えます。

Copilot for Security は、セキュリティ ポータル内から、次のサポートに役立つ自然言語の支援型コパイロット エクスペリエンスを提供します。

• インシデント対応、脅威ハンティング、情報収集、態勢管理などのエンド ツー エンドのシナリオに携わるセキュリティ プロフェッショナル。

• ポリシーの評価と構成、デバイスとユーザーのアクセスのトラブルシューティング、パフォーマンスの監視に携わる IT プロフェッショナル。

Copilot for Security では、Microsoft およびサード パーティのサブスクリプションとセキュリティ製品のイベント ログ、アラート、インシデント、ポリシーのデータを使います。 攻撃者が、Copilot for Security ロールが割り当てられている管理者またはセキュリティ スタッフのユーザー アカウントを侵害した場合、Copilot for Security とその結果を使って、SecOps チームが進行中の攻撃にどのように対処しているかを理解できます。 次に、攻撃者はこの情報を使って、インシデント (おそらく自分が開始したもの) に対応しようとする試みを阻止できます。

そのため、環境内に適切な緩和策を確実に適用することが重要です。

論理アーキテクチャ

Copilot for Security を導入するときの防御の最前線は、管理者と SecOps スタッフのアカウントとデバイスにゼロ トラストの原則を適用することです。 組織で最小限の特権の原則が適用されているようにすることも重要です。 Copilot 固有のロールに加えて、セキュリティ ツール内の管理者と SecOps スタッフに割り当てられたロールによって、Copilot for Security の使用中にアクセスできるデータが決まります。

ここで示されている Copilot for Security の論理アーキテクチャを見ると、これらの緩和策がなぜ重要であるかを簡単に理解できます。

図の説明：

• SecOps チームのメンバーは、Copilot for Security、Microsoft Defender XDR、Microsoft Intune によって提供されるようなコパイロット エクスペリエンスを使ってプロンプトを表示できます。

• Copilot for Security コンポーネントには次のものが含まれます。

  • Copilot for Security サービス。ユーザーとスキルベースのプロンプトへの応答を調整します。

  • Copilot for Security 用の大規模言語モデル (LLM) のセット。

  • 特定の製品用のプラグイン。 Microsoft 製品用のプレインストール済みプラグインが提供されています。 これらのプラグインはプロンプトの前処理と後処理を行います。

  • サブスクリプション データ。 サブスクリプションに保存されているイベント ログ、アラート、インシデント、ポリシーの SecOps データ。 詳細については、セキュリティ製品の最も一般的なデータ ソースに関する、この Microsoft Sentinel の記事を参照してください。

  • アップロードするファイル。 Copilot for Security に特定のファイルをアップロードし、それらをプロンプトのスコープに含めることができます。

コパイロット エクスペリエンスを備えた各 Microsoft セキュリティ製品は、イベント ログ、アラート、インシデント、ポリシーなど、その製品に関連付けられたデータ セットにのみアクセスできます。 Copilot for Security は、ユーザーがアクセスできるすべてのデータ セットへのアクセスを提供します。

詳細については、「Microsoft Copilot for Security の概要」を参照してください。

On-Behalf-Of 認証は Copilot for Security でどのように機能しますか?

Copilot for Security は、OAuth 2.0 によって提供される On-Behalf-Of (OBO) 認証を使います。 これは OAuth における委任によって提供される認証フローです。 SecOps ユーザーがプロンプトを発行すると、Copilot for Security は要求チェーンを通じてユーザーの ID とアクセス許可を渡します。 これにより、ユーザーはアクセスすべきではないリソースへのアクセス許可を取得できなくなります。

OBO 認証の詳細については、「Microsoft ID プラットフォームと OAuth2.0 On-Behalf-Of フロー」を参照してください。

Microsoft セキュリティ製品内でのプロンプト: Microsoft Intune の埋め込み例

Copilot for Security の埋め込みエクスペリエンスのいずれかを使う場合、データのスコープは、使っている製品のコンテキストによって決まります。 たとえば、Microsoft Intune 内でプロンプトを発行すると、結果は Microsoft Intune によって提供されるデータとコンテキストのみから生成されます。

Microsoft Intune 埋め込みエクスペリエンス内からプロンプトを発行するときの論理アーキテクチャを次に示します。

図の説明：

• Intune 管理者は、Microsoft Copilot in Intune エクスペリエンスを使ってプロンプトを送信します。

• Copilot for Security コンポーネントは、以下を使ってプロンプトへの応答を調整します。

  • Copilot for Security の LLM。

  • Microsoft Intune のプレインストールされたプラグイン。

  • Microsoft 365 サブスクリプションに保存されているデバイス、ポリシー、セキュリティ態勢の Intune データ。

サード パーティのセキュリティ製品との統合

Copilot for Security は、サード パーティ製品のプラグインをホストする機能を提供します。 これらのサード パーティ製プラグインは、関連データへのアクセスを提供します。 これらのプラグインとその関連データは、Microsoft のセキュリティ信頼境界の外部に存在します。 そのため、これらのアプリケーションとその関連データへのアクセスを確実にセキュリティで保護することが重要です。

サード パーティのセキュリティ製品を使った Copilot for Security の論理アーキテクチャを次に示します。

図の説明：

• Copilot for Security は、プラグインを通じてサード パーティのセキュリティ製品と統合します。
• これらのプラグインは、ログやアラートなど、製品に関連付けられたデータへのアクセスを提供します。
• これらのサード パーティ コンポーネントは、Microsoft のセキュリティ信頼境界の外部に存在します。

Copilot for Security の環境にセキュリティの軽減策を適用する

この記事の残りの部分では、ゼロ トラストの原則を適用して、Copilot for Security 用の環境を準備する手順について説明します。

環境の保護を構成するときに、管理者と SecOps スタッフを Copilot for Security にオンボードするために実行できる方法がいくつかあります。

Copilot for Security へのユーザーごとのオンボード

Copilot for Security のロールを割り当てる前に、少なくとも管理者と SecOps スタッフ向けのチェックリストを確認してください。 これは、テストまたはパイロット グループから始めたい小規模なチームや組織に適しています。

Copilot for Security の段階的デプロイ

大規模な環境の場合は、より標準の段階的なデプロイが適切に機能します。 このモデルでは、ユーザーのグループに同時に対処して、保護を構成し、ロールを割り当てます。

以下にモデルの例を示します。

この図は次のことを示しています。

• 評価フェーズでは、Copilot for Security へのアクセスを許可する少数の管理者ユーザーと SecOps ユーザーを選び、ID、アクセス、デバイス保護を適用します。
• パイロット フェーズでは、次の管理者と SecOps ユーザーのセットを選び、ID、アクセス、デバイス保護を適用します。
• 完全デプロイ フェーズでは、残りの管理者ユーザーと SecOps ユーザーに ID、アクセス、デバイス保護を適用します。
• 各フェーズの最後に、Copilot for Security の適切なロールをユーザー アカウントに割り当てます。

組織が異なると、環境にゼロ トラスト保護をデプロイするさまざまな段階にある可能性があるため、各手順は次のようになります。

• この手順で説明されている保護機能を使っていない場合は、Copilot for Security を含むロールを割り当てる前に、時間をかけて試験的に管理者と SecOps スタッフにデプロイします。
• この手順で説明されている保護の一部を既に使っている場合は、手順の情報をチェックリストとして使い、Copilot for Security を含むロールを割り当てる前に、記載されている各保護のパイロットが実施されデプロイされていることを確認します。

ステップ 1. 管理者と SecOps スタッフの ID およびアクセス管理ポリシーをデプロイまたは検証する

悪意のあるユーザーが Copilot for Security を使ってサイバー攻撃に関する情報をすばやく取得することを防ぐには、最初の手順として、そのユーザーがアクセスできないようにする必要があります。 管理者と SecOps スタッフが以下のことを行っていることを確認する必要があります。

• ユーザー アカウントは多要素認証 (MFA) を使う必要があり (ユーザー パスワードの推測だけでアクセスが侵害されることがありません)、リスクの高いアクティビティが検出された場合はパスワードを変更する必要があります。
• デバイスは、Intune 管理ポリシーとデバイス コンプライアンス ポリシーに準拠している必要があります。

ID およびアクセス管理ポリシーの推奨事項については、Microsoft Copilot for Microsoft 365 のゼロ トラストに関する記事の ID およびアクセス管理の手順を参照してください。 この記事の推奨事項に基づいて、結果の構成がすべての SecOps スタッフのユーザー アカウントとそのデバイスに次のポリシーを適用するようにします。

• サインインには常に MFA を使います
• 最新の認証をサポートしていないクライアントをブロックします
• 準拠した PC とモバイル デバイスが必要です
• 高リスクのユーザーはパスワードを変更する必要があります (Microsoft 365 E5 のみ)
• Intune デバイス コンプライアンス ポリシーへの準拠が必要です

これらの推奨事項は、Microsoft のゼロ トラスト ID およびデバイス アクセス ポリシーの特化されたセキュリティ保護レベルに準拠しています。 次の図は、推奨される 3 つの保護レベル (開始点、エンタープライズ、特化された) を示しています。 エンタープライズ保護レベルは、特権アカウントの最小値として推奨されます。

この図では、Microsoft Entra 条件付きアクセス、Intune デバイス コンプライアンス、Intune アプリ保護の推奨ポリシーが 3 つのレベルごとに示されています。

• 開始点。デバイス管理は必要ありません。
• エンタープライズはゼロ トラストに推奨され、Copilot for Security、サード パーティのセキュリティ製品および関連データへの最小限のアクセスとして推奨されます。
• Copilot for Security、サード パーティのセキュリティ製品および関連データへのアクセスには、特化されたセキュリティをお勧めします。

これらの各ポリシーについては、Microsoft 365 組織向けの共通のゼロ トラスト ID とデバイス アクセス ポリシーに関する記事で詳しく説明されています。

特権ユーザー用に個別のポリシー セットを構成する

管理者と SecOps スタッフに対してこれらのポリシーを構成する場合は、これらの特権ユーザーに対して個別のポリシー セットを作成します。 たとえば、Microsoft 365 や Salesforce などのアプリへの特権のないユーザーのアクセスを管理する同じポリシー セットに管理者を追加しないでください。 特権アカウントに適切な保護を備えた専用のポリシー セットを使います。

条件付きアクセス ポリシーのスコープにセキュリティ ツールを含める

現時点では、Copilot for Security の条件付きアクセスを構成する簡単な方法はありません。 ただし、セキュリティ ツール内のデータにアクセスするために On-Behalf-Of 認証が使われるため、Microsoft Entra ID や Microsoft Intune を含めることができる、これらのツールに対して条件付きアクセスが構成されていることを確認します。

ステップ 2. 管理者と SecOps ユーザー アカウントに最小限の特権を適用する

この手順には、Copilot for Security 内で適切なロールを構成することが含まれます。 また、管理者アカウントと SecOps ユーザー アカウントを確認して、目的の作業に対して最小限の特権が割り当てられていることを確認することも含まれます。

ユーザー アカウントを Copilot for Security ロールに割り当てる

Copilot for Security のアクセス許可モデルには、Microsoft Entra ID と Copilot for Security の両方のロールが含まれています。

既定では、"テナント内のすべてのユーザーに Copilot 共同作成者アクセス権が付与されている" ことを知ることが重要です。 この構成では、セキュリティ ツール データへのアクセスは、各セキュリティ ツールに対して構成したアクセス許可によって管理されます。 この構成の利点は、管理者や SecOps スタッフが毎日使う製品内で、Copilot for Security の埋め込みエクスペリエンスをすぐに利用できることです。 これは、組織内で最小限の特権アクセスの強力なプラクティスを既に採用している場合にうまく機能します。

組織内の最小限の特権アクセスを調整しながら、管理者や SecOps スタッフに Copilot for Security を段階的に導入したい場合は、準備ができたら Copilot 共同作成者ロールからすべてのユーザーを削除し、セキュリティ グループを追加します。

詳細については、次の Microsoft Copilot for Security リソースを参照してください。

• 開始するには
• 認証について

管理者と SecOps ユーザー アカウントの最小限の特権アクセスの構成または確認

Copilot for Security の導入は、管理者と SecOps スタッフのユーザー アカウントのアクセスを確認し、特定の製品へのアクセスに対する最小限の特権の原則に従っていることを確認するのに最適の機会です。 これには次のようなタスクがあります。

• 管理者と SecOps スタッフが使う特定の製品に付与されている特権を確認します。 たとえば、Microsoft Entra の場合は、「タスク別の最小限の特権ロール」を参照してください。
• Microsoft Entra Privileged Identity Management (PIM) を使って、Copilot for Security へのアクセスをより詳細に制御します。
• Microsoft Purview 特権アクセス管理を使って、Office 365 の特権管理タスクに対するきめ細かなアクセス制御を構成します。

Microsoft Entra Privileged Identity Management と Copilot for Security の併用

Microsoft Entra Privileged Identity Management (PIM) を使うと、Copilot for Security へのアクセスに必要なロールを管理、制御、監視できます。 PIM を使うと、次のことが可能になります。

• 時間ベースのロールのアクティブ化を提供します。
• 特権ロールをアクティブ化するために承認を要求する。
• MFA を適用して任意のロールをアクティブ化します。
• 特権ロールがアクティブ化されたときに通知を受ける。
• アクセス レビューを実施して、管理者と SecOps スタッフのユーザー アカウントに割り当てられたロールが引き続き必要であることを確認します。
• 管理者と SecOps スタッフのアクセスとロールの変更について監査を実行します。

特権アクセス管理と Copilot for Security の併用

Microsoft Purview 特権アクセス管理は、機密データへの永続的なアクセスや重要な構成設定へのアクセスを制限することで、組織を侵害から保護し、コンプライアンスのベスト プラクティスを満たすのに役立ちます。 管理者が常にアクセスできるようにする代わりに、アクセス許可の昇格が必要なタスクに対してジャストインタイム アクセス ルールが実装されます。 管理者が常にアクセスできるようにする代わりに、アクセス許可の昇格が必要なタスクに対してジャストインタイム アクセス ルールが実装されます。 詳細については、「特権アクセス管理」を参照してください。

手順 3. 特権アクセスのためにデバイスをセキュリティで保護する

手順 1 では、管理者と SecOps スタッフ用のマネージド デバイスと準拠デバイスを必要とする条件付きアクセス ポリシーを構成しました。 セキュリティを強化するために、Copilot for Security などのセキュリティ ツールやデータにアクセスするときにスタッフが使用できる特権アクセス デバイスをデプロイできます。 特権アクセス デバイスは、明確なアプリケーション制御とアプリケーション保護を備えた強化されたワークステーションです。 ワークステーションは、資格情報の保護、デバイス保護、アプリ保護、悪用からの保護を使ってホストを攻撃者から保護します。

特権アクセス用にデバイスを構成する方法の詳細については、「特権アクセスの一部としてデバイスをセキュリティで保護する」を参照してください。

これらのデバイスを要求するには、必ず Intune デバイス コンプライアンス ポリシーを更新します。 管理者と SecOps スタッフを強化されたデバイスに移行する場合は、セキュリティ グループを元のデバイス コンプライアンス ポリシーから新しいポリシーに移行します。 条件付きアクセス規則は同じままにすることができます。

ステップ 4: 脅威に対する保護サービスを配置または確認する

悪意のあるユーザーのアクティビティを検出し、Copilot for Security へのアクセスを阻止するには、Microsoft 365 での Microsoft Defender XDR、Microsoft Sentinel、その他のセキュリティ サービスおよび製品を含む包括的な脅威に対する保護サービス スイートを使い、セキュリティ インシデントを検出して対応できるようにします。

次のリソースを参照してください。

ステップ 5： サード パーティのセキュリティ製品とデータへのアクセスをセキュリティで保護する

サード パーティのセキュリティ製品を Copilot for Security と統合する場合は、これらの製品と関連データへのアクセスが保護されていることを確認します。 Microsoft ゼロ トラスト ガイダンスには、SaaS アプリへのアクセスをセキュリティで保護するための推奨事項が含まれています。 これらの推奨事項は、サード パーティのセキュリティ製品に使用できます。

ID とデバイス アクセス ポリシーによる保護の場合、SaaS アプリの共通ポリシーへの変更は、次の図で赤で囲まれています。 これらは、サード パーティのセキュリティ製品を追加できるポリシーです。

サード パーティのセキュリティ製品およびアプリについては、専用のポリシー セットを作成することを検討してください。 これにより、Dropbox や Salesforce などの生産性アプリと比較して、セキュリティ製品をより厳しい要件で扱うことができます。 たとえば、Tanium と他のすべてのサード パーティ セキュリティ製品を同じ条件付きアクセス ポリシー セットに追加します。 管理者と SecOps スタッフに対してデバイス用のより厳格な要件を適用する場合は、Intune デバイス コンプライアンスと Intune アプリ保護用の独自のポリシーも構成し、これらのポリシーを管理者と SecOps スタッフに割り当てます。

Microsoft Entra ID と条件付きアクセスおよび関連ポリシーのスコープへのセキュリティ製品の追加 (または新しいポリシー セットの構成) の詳細については、「SaaS アプリを Microsoft Entra ID とポリシーのスコープに追加する」を参照してください。

セキュリティ製品によっては、Microsoft Defender for Cloud Apps を使って、これらのアプリの使用を監視し、セッション制御を適用することが適切な場合があります。 さらに、これらのセキュリティ アプリに Microsoft Purview でサポートされているいずれかのファイルの種類のデータのストレージが含まれている場合は、Defender for Cloud を使って、秘密度ラベルとデータ損失防止 (DLP) ポリシーを使ってこのデータを監視し、保護できます。 詳細については、「ゼロ トラスト用の SaaS アプリを Microsoft 365 と統合する」を参照してください。

Tanium SSO の例

Tanium はエンドポイント管理ツールのプロバイダーであり、Copilot for Security 用のカスタム Tanium Skills プラグインを提供しています。 このプラグインは、Tanium が収集した情報と分析情報を利用したプロンプトと応答の根拠付けに役立ちます。

以下は、Tanium Skills プラグインを使った Copilot for Security の論理アーキテクチャです。

図の説明：

• Tanium Skills は、Microsoft Copilot for Security 用のカスタム プラグインです。
• Tanium Skills は、Tanium が収集した情報と分析情報を使ったプロンプトと応答の両方へのアクセスを提供し、その根拠付けに役立ちます。

Tanium 製品と関連データへのアクセスをセキュリティで保護するには:

1. Microsoft Entra ID アプリケーション ギャラリーを使って、Tanium SSO を検索し、テナントに追加します。 「エンタープライズ アプリケーションの追加」を参照してください。 Tanium 固有の例については、「Microsoft Entra SSO と Tanium SSO の統合」を参照してください。
2. ゼロ トラストの ID およびアクセス管理ポリシーのスコープに Tanium SSO を追加します。

次のステップ

Microsoft Copilot for Security についての動画をご覧ください。

ゼロ トラストと Microsoft の Copilot については、次の追加記事を参照してください。

• 概要
• Microsoft Copilot
• Microsoft Copilot for Microsoft 365

Microsoft Copilot for Security のドキュメントも参照してください。

関連情報

この記事でメンションされているさまざまなサービスとテクノロジについては、次のリンクを参照してください。

• Microsoft Copilot for Security の概要
• Copilot for Security へのオンボード
• Microsoft Sentinel のデータ ソース
• Microsoft Entra Privileged Identity Management (PIM)
• 特権アクセス管理
• 特権アクセス デバイス