注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
ID とアクセス管理の推奨事項は、ID ベースのアクセス制御、管理アクセスのロックダウン、ID 関連のイベントに関するアラート、異常なアカウント動作、ロールベースのアクセス制御に関連する問題への対処に重点を置きます。
3.1: 管理アカウントのインベントリを維持する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.1 | 4.1 | カスタマー |
Azure AD には、明示的に割り当てる必要があり、クエリ可能な組み込みロールがあります。 Azure AD PowerShell モジュールを使用してアドホック クエリを実行し、管理グループのメンバーであるアカウントを検出します。
3.2: 既定のパスワードを変更する (該当する場合)
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.2 | 4.2 | カスタマー |
Azure AD には、既定のパスワードの概念がありません。 パスワードを必要とする他の Azure リソースでは、複雑さの要件とパスワードの最小長を使用してパスワードを強制的に作成します。パスワードの長さはサービスによって異なります。 お客様は、既定のパスワードを使用する可能性があるサードパーティのアプリケーションおよびマーケットプレース サービスに対して責任を負います。
3.3: 専用管理者アカウントを使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.3 | 4.3 | カスタマー |
専用の管理アカウントの使用に関する標準的な操作手順を作成します。 Azure Security Center の "アクセスとアクセス許可の管理" セキュリティ制御の推奨事項を使用して、管理アカウントの数を監視します。
また、Azure AD Privileged Identity Management Privileged Roles for Microsoft Services と Azure Resource Manager を使用して、Just-In-Time/Just-Enough-Access を有効にすることもできます。
3.4: Azure Active Directory でシングル サインオン (SSO) を使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.4 | 4.4. | カスタマー |
可能な限り、サービスごとに個々のスタンドアロン資格情報を構成するのではなく、Azure Active Directory SSO を使用してください。 Azure Security Center の "アクセスとアクセス許可の管理" セキュリティ制御の推奨事項を使用します。
3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.5 | 4.5, 11.5, 12.11, 16.3 | カスタマー |
Azure AD MFA を有効にし、Azure Security Center の ID とアクセス管理の推奨事項に従います。
Azure で MFA を有効にする方法
3.6: すべての管理タスクに専用マシン (特権アクセス ワークステーション) を使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | カスタマー |
MFA が構成された PAW (特権アクセス ワークステーション) を使用して、Azure リソースにログインして構成します。
Azure で MFA を有効にする方法
3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.7 | 4.8, 4.9 | カスタマー |
環境内で疑わしいアクティビティまたは安全でないアクティビティが発生した場合のログとアラートの生成には、Azure Active Directory セキュリティ レポートを使用します。 Azure Security Center を使用して、ID とアクセス アクティビティを監視します。
3.8: 承認された場所からのみ Azure リソースを管理する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.8 | 11.7 | カスタマー |
条件付きアクセスの名前付き場所を使用して、IP アドレス範囲または国/地域の特定の論理グループからのアクセスのみを許可します。
3.9: Azure Active Directory を使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | カスタマー |
中央認証および承認システムとして Azure Active Directory を使用します。 Azure AD は、保存データと転送中のデータに対して強力な暗号化を使用してデータを保護します。 Azure AD では、ユーザーの資格情報をソルト化し、ハッシュし、安全に格納します。
3.10: ユーザー アクセスを定期的に確認および調整する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.10 | 16.9, 16.10 | カスタマー |
Azure AD には、古いアカウントの検出に役立つログが用意されています。 さらに、Azure Identity Access Reviews を使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理します。 ユーザー アクセスを定期的に確認して、適切なユーザーのみが引き続きアクセスできることを確認できます。
3.11: 非アクティブ化された資格情報へのアクセスの試行を監視する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.11 | 16.12 | カスタマー |
Azure AD サインイン アクティビティ、監査、およびリスク イベント のログ ソースにアクセスできます。これにより、任意の SIEM/監視ツールと統合できます。
このプロセスを効率化するには、Azure Active Directory ユーザー アカウントの診断設定を作成し、監査ログとサインイン ログを Log Analytics ワークスペースに送信します。 Log Analytics ワークスペース内で必要なアラートを構成できます。
3.12: アカウントログイン動作の逸脱に関するアラート
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.12 | 16.13 | カスタマー |
Azure AD のリスクと Identity Protection の機能を使用して、ユーザー ID に関連する検出された疑わしいアクションに対する自動応答を構成します。 さらに調査するために、Azure Sentinel にデータを取り込むこともできます。
3.13: サポート シナリオ中に関連する顧客データへのアクセスを Microsoft に提供する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 3.13 | 16 | カスタマー |
Microsoft が顧客データにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスには、顧客データ アクセス要求を確認し、承認または拒否するためのインターフェイスが用意されています。
次のステップ
- 次のセキュリティコントロールを参照してください: データ保護