IT 環境に脅威をマップする

この記事では、組織の主要な IT 環境を図に示し、脅威マップを作成する方法について説明します。 これらの図は、堅牢な防御セキュリティ層を計画および構築するための貴重なツールです。 適切な保護を提供するために必要なセキュリティ サービスを特定するには、IT 環境とそのアーキテクチャを理解することが重要です。

コンピューター システムには、生成する組織だけでなく、悪意のあるアクターにとって価値のある情報も保持されます。 これらのアクターは、個人またはグループを問わず、企業のコンピューター、デバイス、システム、ネットワークを侵害したり損傷したりすることを目的とした有害な活動を行います。 多くの場合、マルウェアやブルート フォース攻撃などの脅威を使用して機密データを盗んだり、破損したりすることが目的です。

この記事では、IT 環境に対する脅威をマッピングする方法について説明します。これにより、セキュリティ戦略の一環として Microsoft セキュリティ サービスの実装を計画できます。

幸い、脅威マップを一から作成する必要はありません。 MITRE ATT&CK マトリックスが、その作成に役立つ優れたリソースを提供します。 MITRE ATT&CKは、実際的な戦術と手法に基づいて現実世界の脅威をマッピングするグローバルなナレッジ ベースです。 MITRE Corporation は、既知の脅威をすべて詳細に文書化し、これらの脅威がどのように動作するものであり、どのように防御できるかについての貴重な分析情報を提供します。 この公開リソースは、MITRE ATT&CK® からオンラインで入手できます。

この記事では、これらの脅威のサブセットを使用して、IT 環境に対して脅威をマッピングする方法を説明します。

考えられるユース ケース

脅威には、あらゆる業界に共通しているものがあり、これにはランサムウェア、DDoS 攻撃、クロスサイト スクリプティング、SQL インジェクションなどが含まれます。 その一方で多くの組織は、業界特有の脅威や、過去に遭遇したサイバー攻撃に基づく特定の脅威に直面しています。 この記事の図は、悪意のあるアクターのターゲットとなる可能性が最も高い領域を特定することで、組織に対する脅威のマッピングに役立ちます。 脅威マップを作成すると、環境の安全性向上のために必要な防御レイヤーを計画できるようになります。

この図を調整して、攻撃のさまざまな組み合わせをモデル化し、攻撃を防止および軽減する方法をより深く理解することができます。 MITRE ATT&CK フレームワークは役立つ参考資料ですが、必須ではありません。 Microsoft Sentinel やその他の Microsoft セキュリティ サービスも MITRE と連携して、さまざまな脅威に関する貴重な分析情報を提供します。

一部の組織では、Lockheed Martin の手法である Cyber Kill Chain® を使用して、IT 環境に対して攻撃または一連の攻撃がどのように実行されるかをマップして理解します。 Cyber Kill Chain は、MITRE ATT&CK フレームワークよりも少ない戦術と手法を考慮して脅威と攻撃を整理します。 それでも、脅威とその実行方法を理解するのに効果的です。 この手法の詳細については、「 Cyber Kill Chain」を参照してください。

アーキテクチャ

このアーキテクチャの Visio ファイルをダウンロードします。

©2021 The MITRE Corporation。 本作品は MITRE Corporation の許可を得て再現・配布しています。

組織の IT 環境では、Azure と Microsoft 365 に対してのみコンポーネントを指定します。 特定の IT 環境には、さまざまなテクノロジー プロバイダーのデバイス、アプライアンス、テクノロジーが含まれる場合があります。

Azure 環境の場合、次のテーブルのリストにあるコンポーネントが図に表示されます。

この図は、次のテーブルにリストされているコンポーネントの Microsoft 365 を表しています。

Workflow

これらの脅威が IT 環境のどの部分を攻撃する可能性が高いかを理解するために、このアーティクルのアーキテクチャ図は、オンプレミス システム、Microsoft 365 サブスクリプション、Azure サブスクリプションなどを持つ組織の典型的な IT 環境に基づいています。 これらの各レイヤーのリソースは、多くの企業に共通するサービスです。 これらは、Microsoft ゼロトラスト の柱 (ネットワーク、インフラストラクチャ、エンドポイント、アプリ、データ、ID) に従って図に分類されています。 ゼロトラストの詳細については、「ゼロトラストを使用したプロアクティブなセキュリティの受け入れ」を参照してください。

アーキテクチャ図には、次のレイヤーが含まれています:

1. オンプレミス

   この図には、サーバー (VM)、ネットワーク アプライアンス、ドメイン ネーム システム (DNS) など、いくつかの重要なサービスが含まれています。 これには、ほとんどの IT 環境で見つかり、仮想マシン (VM) または物理サーバー上で実行される一般的なアプリケーションが含まれます。 また、さまざまな種類のデータベース (SQLと非SQLの両方) も含まれます。 組織には通常、企業全体でファイルを共有するファイル サーバーがあります。 最後に、広範なインフラストラクチャ コンポーネントである Active Directory ドメイン サービスがユーザー資格情報を処理します。 この図には、オンプレミス環境のすべてのコンポーネントが含まれています。

2. Office 365 環境

   この環境の例には、Word、Excel、PowerPoint、Outlook、OneNote などの従来の Office アプリが含まれています。 ライセンスの種類によっては、OneDrive、Exchange、Sharepoint、Teams など、他のアプリも含まれる場合があります。 この図では、これらは Microsoft 365 (以前の Office 365) アプリのアイコンと、Microsoft Entra ID のアイコンで表されています。 Microsoft 365 アプリへのアクセスを取得するには、ユーザーを認証する必要があり、Microsoft Entra ID は ID プロバイダーとして機能します。 Microsoft 365 は、Azure が使用するのと同じ種類の Microsoft Entra ID に対してユーザーを認証します。 ほとんどの組織では、Microsoft Entra ID テナントは Azure と Microsoft 365 の両方で同じです。

3. Azure 環境

   このレイヤーは、VM、仮想ネットワーク、サービスとしてのプラットフォーム、Web アプリケーション、データベース、ストレージ、ID サービスなどの Azure パブリック クラウド サービスを表します。 Azure の詳細については、「Azure のドキュメント」を参照してください。

4. MITRE ATT&CK の戦術と手法

   この図は、MITRE Corporation が公開した戦術と手法に従って、上位 16 の脅威を示したものです。 赤い線では、混合型攻撃の例を示しています。これは、悪意のあるアクターが複数の攻撃を同時に調整する場合があることを意味します。

MITRE ATT&CK フレームワークの使用方法

まず、脅威の名前または攻撃コードの名前をメイン Web ページ MITRE ATT&CK® で簡単に検索できます。

また、戦術や手法のページで脅威を参照することもできます。

• エンタープライズ戦術
• Enterprise 技術

MITRE が提供する直感的なツールである MITRE ATT&CK® Navigator を引き続き使用して、脅威に関する戦術、手法、詳細を検出できます。

コンポーネント

このアーティクルのアーキテクチャ例では、次の Azure コンポーネントを使用します:

• Microsoft Entra ID は、内部および外部リソースへの安全なアクセスを可能にするクラウドベースの ID およびアクセス管理サービスです。 このアーキテクチャでは、Azure と Microsoft 365 の両方のサービスのユーザーを認証します。 これは、環境全体で中央 ID プロバイダーとして機能します。

• Azure Virtual Network は、Azure リソース、インターネット、およびオンプレミス ネットワーク間のセキュリティで保護された通信を可能にする Azure のネットワーク サービスです。 このアーキテクチャでは、ワークロードをホストし、トラフィック制御を適用するための分離されたスケーラブルなネットワーク インフラストラクチャを提供します。

• Azure Load Balancer は、伝送制御プロトコル (TCP) およびユーザー データグラム プロトコル (UDP) トラフィック用の高パフォーマンスレイヤー 4 負荷分散サービスです。 このアーキテクチャでは、VM とサービス間で受信トラフィックと送信トラフィックを分散することで、高可用性とスケーラビリティを確保します。

• Azure Virtual Machines は、柔軟なオンデマンド コンピューティング リソースを提供するサービスとしてのインフラストラクチャ (IaaS) オファリングです。 このアーキテクチャでは、VM は組織の IT 環境の一部であり、脅威マッピングの対象となるアプリケーションとサービスをホストします。

• Azure Kubernetes サービス (AKS) は、コンテナー化されたアプリケーションをデプロイおよび管理するためのマネージド Kubernetes サービスです。 このアーキテクチャでは、コンテナー化されたアプリケーションを実行し、脅威の表面の一部としてエンタープライズ レベルのセキュリティとガバナンスをサポートします。

• Virtual Desktop は、リモート ユーザー向けのデスクトップを提供するためにクラウド上で実行されるデスクトップおよびアプリ仮想化サービスです。 このアーキテクチャでは、リモート ユーザーに安全なアクセスを提供し、潜在的な攻撃ベクトルとして脅威マップに含まれています。

• Azure App Service の Web Apps 機能は、Web アプリケーション、REST API、モバイル バックエンドをホストします。 選択した言語で開発できます。 アプリケーションの実行とスケーリングは、Windows ベースの環境と Linux ベースの環境の両方で容易に行うことができます。 このアーキテクチャでは、Web Apps は、トランスポート層セキュリティ (TLS) やプライベート エンドポイントなどの統合セキュリティ機能によって保護される HTTP ベースのアプリケーションをホストします。

• Azure Storage は、オブジェクト、BLOB、ファイル、ディスク、キュー、テーブル ストレージなど、クラウド内のさまざまなデータ オブジェクトに対するスケーラブルで安全なストレージ サービスです。 Azure Storage は、ストレージ アカウントに書き込まれるすべてのデータを暗号化します。 データへのアクセスをきめ細かく制御できます。 このアーキテクチャでは、アプリケーションとシステムのデータを格納し、データ保護とアクセス制御における役割のために脅威マップに含まれています。

• SQL Database は、修正プログラムの適用、バックアップ、監視を自動化するマネージド リレーショナル データベース エンジンです。 このアーキテクチャでは、構造化されたデータを格納し、脅威を軽減するための組み込みのセキュリティとコンプライアンス機能をサポートします。

貢献者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

主著者

• Rudnei Oliveira | シニア Azure セキュリティ エンジニア

その他の共同作成者:

• Gary Moore | プログラマー/ライター
• Andrew Nathan | シニアカスタマーエンジニアリングマネージャー

次の手順

このドキュメントでは、一部のサービス、テクノロジー、用語などについて説明します。 それらの詳細については、次のリソースを参照してください:

• MITRE ATT&CK®
• ATT&CK® ナビゲーター)
• サイバーキルチェーン®
• ゼロ トラストを使用してプロアクティブなセキュリティを採用する
• ウィキぺディアにおける混合脅威
• Microsoft セキュリティ ブログの新しい Microsoft Digital Defense レポートに従ってサイバー攻撃がどのように変化しているか

関連リソース

この参照アーキテクチャの詳細については、このシリーズの他の記事を参照してください。

• パート 2: Azure Security Services を使用して防御の第 1 層を構築する
• パート 3: Microsoft Defender XDR セキュリティ サービスを使用して第 2 の防御レイヤーを構築
• パート 4: Azure と Microsoft Defender XDR セキュリティ サービスを統合