この記事は、開発者がゼロ トラストの基本原則を理解し、アプリケーションのセキュリティを向上させるために役立ちます。 組織のセキュリティで重要な役割を果たします。 アプリケーションとその開発者は、ネットワーク境界がセキュリティで保護されていると想定できなくなりました。 侵害されたアプリケーションは、組織全体に影響を与える可能性があります。
組織は、複雑な最新の環境に適応し、モバイル従業員を受け入れる新しいセキュリティ モデルをデプロイしています。 新しいモデルでは、ユーザー、デバイス、アプリケーション、データがどこにあっても保護されます。 組織は、次の基本原則に従ってアプリケーションを設計および実装するためのセキュリティ戦略とアプローチである ゼロ トラストの実現に取り組んでいます。
- 明示的に検証する
- 最小限の特権アクセスを使用する
- 侵害が起こることを前提とする
会社のファイアウォールの内側にあるものはすべて安全であると考えるのではなく、ゼロ トラスト モデルでは、侵害を想定し、各要求が制御されていないネットワークから送信されたかのように検証します。 要求の発生元やアクセスするリソースに関係なく、ゼロ トラスト モデルでは 、信頼しない、常に検証する必要があります。
ゼロ トラストはセキュリティの基礎に代わるものではないことを理解してください。 あらゆるデバイスのどこからでも作業を行う場合は、開発サイクル全体にゼロ トラスト原則を組み込むようにアプリケーションを設計します。
ゼロ トラストの観点で開発する理由
- サイバーセキュリティ攻撃の高度なレベルが上がっています。
- あらゆる場所からの作業によって、セキュリティ境界が再定義されました。 データは企業ネットワークの外部でアクセスされ、パートナーやベンダーなどの外部コラボレーターと共有されています。
- 企業のアプリケーションとデータは、オンプレミスからハイブリッド環境とクラウド環境に移行しています。 従来のネットワーク制御は、セキュリティに依存できなくなりました。 コントロールは、デバイスとアプリ内のデータが存在する場所に移動する必要があります。
このセクションの開発ガイダンスは、セキュリティを強化し、セキュリティ インシデントの爆発半径を減らし、Microsoft テクノロジを使用して迅速に復旧するのに役立ちます。
開発者向けガイダンスの概要
- ゼロ トラスト コンプライアンスとはどういう意味ですか? では、ゼロ トラストの基本原則に対処するための開発者の観点からアプリケーション セキュリティの概要を示します。
- 「ゼロ トラスト ID およびアクセス管理の開発のベスト プラクティス」をアプリケーション開発ライフサイクルで使用して、セキュリティで保護されたアプリケーションを作成します。
- 標準ベースの開発手法 では、サポートされている標準とその利点の概要が示されます。
- アプリケーションの登録、承認、アクセスに関する開発者と管理者の責任は、 IT 担当者との共同作業を改善するのに役立ちます。
アクセス許可とアクセス権
- 「アクセス許可と同意によって ID をセキュリティで保護するアプリを構築する」では、アクセス許可とアクセスのベスト プラクティスの概要について説明します。
- アプリケーションを Microsoft Entra ID と Microsoft ID プラットフォームと統合することで、 開発者は IT 担当者が企業内でセキュリティで保護できるアプリを構築および統合できます。
- アプリケーション登録は、開発者がアプリケーション登録プロセスとその要件について学ぶためのものです。 これは、アプリが最小限の特権アクセスを使用するゼロ トラスト原則を満たし、侵害を想定するのに役立ちます。
- シングルテナント アプリとマルチテナント アプリでサポートされている ID とアカウントの種類 では、Microsoft Entra テナントのユーザー、Microsoft Entra テナントのユーザー、または個人用 Microsoft アカウントを持つユーザーのみをアプリで許可するかどうかを選択する方法について説明します。
- ゼロ トラストのユーザーの認証 は、開発者がゼロ トラスト アプリケーション開発でアプリケーション ユーザーを認証するためのベスト プラクティスを学習するのに役立ちます。 最小限の特権のゼロ トラスト原則を使用してアプリケーションのセキュリティを強化し、明示的に検証する方法について説明します。
- 「リソースにアクセスするための承認の取得」は、アプリケーション用にリソースのアクセス許可を取得するときにゼロ トラストを確保する最善の方法を理解するのに役立ちます。
- 委任されたアクセス許可戦略を開発 すると、アプリケーションでアクセス許可を管理するための最適なアプローチを実装し、ゼロ トラスト原則を使用して開発することができます。
- 「アプリケーションのアクセス許可戦略の策定」は、資格情報管理に対するアプリケーションのアクセス許可のアプローチを決定するのに役立ちます。
- 管理者の同意を必要とするアクセス許可を要求すると 、アプリケーションのアクセス許可に管理者の同意が必要な場合のアクセス許可と同意エクスペリエンスが記述されます。
- 特権が高いアクセス許可とアプリを減らすと 、アクセスを管理し、セキュリティを強化するための特権を制限できます。
- Azure リソースに対するサービス (非ユーザー アプリケーション) のマネージド ID のベスト プラクティスについて説明します。ユーザーがいない場合は、アプリケーションの ID 資格情報を指定します。
- ゼロ トラストのトークンの管理 は、開発者が Microsoft ID プラットフォームから受け取ることができる ID トークン、アクセス トークン、およびセキュリティ トークンを使用してアプリケーションにセキュリティを組み込むのに役立ちます。
- 「トークンをカスタマイズする」では、Microsoft Entra トークンで受け取ることができる情報と、トークンをカスタマイズする方法について説明します。
- 継続的アクセス評価を使用してアプリケーションをセキュリティで保護 すると、開発者は継続的アクセス評価を使用してアプリケーションのセキュリティを向上させることができます。 Microsoft Entra ID からアクセス トークンを取得するときにリソースにアクセスするための承認を受けるアプリで ゼロ トラスト サポートを確保 する方法について説明します。
- トークンでグループ要求とアプリ ロールを構成 すると、アプリロール定義を使用してアプリを構成し、セキュリティ グループを割り当てる方法が示されます。
- API 保護では、登録を通じて API を保護し、アクセス許可と同意を定義し、ゼロ トラストの目標を達成するためのアクセスを強制するためのベスト プラクティスについて説明します。
- Microsoft ID 同意フレームワーク によって保護される API の例では、最適なユーザー エクスペリエンスを実現するための最小特権アプリケーション アクセス許可戦略を設計する方法を説明します。
- 別の API から API を呼び出 すと、別の API を呼び出す必要がある API がある場合にゼロ トラストを確保できます。 ユーザーの代わりにアプリケーションが動作する場合に、アプリケーションを安全に開発する方法について説明します。
- 承認のベスト プラクティスは 、アプリケーションに最適な承認、アクセス許可、および同意モデルを実装するのに役立ちます。
ゼロ トラスト DevSecOps
- ゼロ トラスト用のセキュリティで保護された DevOps 環境 では、DevOps 環境をセキュリティで保護するためのベスト プラクティスについて説明します。
- DevOps プラットフォーム環境をセキュリティで保護すると、DevOps プラットフォーム環境にゼロ トラスト原則を実装するのに役立ち、シークレットと証明書の管理に関するベスト プラクティスが強調されます。
- 「開発者環境のセキュリティ保護」は、最小限の特権、ブランチ セキュリティ、および信頼性ツール、拡張機能、統合に関するベスト プラクティスを使用して、開発環境にゼロ トラストの原則を実装する上で役に立ちます。
- ゼロ トラスト セキュリティを開発者ワークフローに埋め込むこと は、迅速かつ安全にイノベーションを行うのに役立ちます。
ゼロ トラストに関するその他のドキュメント
組織のドキュメント セットまたはロールに基づいて、次のゼロ トラスト コンテンツを参照します。
ドキュメントセット
ニーズに最適なゼロ トラスト ドキュメント セットについては、次の表を参照してください。
| ドキュメントセット | 役に立ちます... | 役割 |
|---|---|---|
| 主要なビジネス ソリューションと成果に関するフェーズとステップのガイダンスを提供する採用フレームワーク | 経営幹部から IT 実装に至るまでゼロ トラスト保護を適用する。 | セキュリティ アーキテクト、IT チーム、プロジェクト マネージャー |
| テクノロジ領域の一般的な展開ガイダンスに関する概念と展開の目標 | テクノロジ領域に合わせてゼロ トラスト保護を適用します。 | IT チームとセキュリティ スタッフ |
| 中小企業向けのゼロ トラスト | ゼロ トラストの原則を中小企業のお客様に適用する。 | Microsoft 365 for business を使うお客様とパートナー |
| ゼロ トラストの急速な近代化計画 (RaMP) は、簡単に成功を収めるためのプロジェクト管理ガイダンスとチェックリストです。 | ゼロ トラスト保護の主要なレイヤーをすばやく実装します。 | セキュリティ アーキテクトと IT 実装者 |
| 段階的で詳細な設計と展開のガイダンスのための Microsoft 365 によるゼロ トラスト展開計画 | Microsoft 365 テナントにゼロ トラスト保護を適用する。 | IT チームとセキュリティ スタッフ |
| 設計とデプロイに関する段階的かつ詳細なガイダンスを提供する Microsoft Copilots のゼロ トラスト | Microsoft Copilots にゼロ トラスト保護を適用します。 | IT チームとセキュリティ スタッフ |
| Azure サービス向けのゼロ トラスト の段階的で詳細な設計と展開に関するガイダンス | Azure のワークロードとサービスにゼロ トラスト保護を適用します。 | IT チームとセキュリティ スタッフ |
| ゼロトラストとの< c0>パートナーシップ連携によるテクノロジー分野と専門分野に関する設計ガイダンス | パートナーの Microsoft クラウド ソリューションにゼロ トラスト保護を適用します。 | パートナー開発者、IT チーム、セキュリティ スタッフ |
あなたの役割
組織内の役割に最適なドキュメント セットについては、次の表を参照してください。
| 役割 | ドキュメントセット | 役に立ちます... |
|---|---|---|
| セキュリティ アーキテクト IT プロジェクト マネージャー IT 実装者 |
主要なビジネス ソリューションと成果に関するフェーズとステップのガイダンスを提供する採用フレームワーク | 経営幹部から IT 実装に至るまでゼロ トラスト保護を適用する。 |
| IT チームまたはセキュリティ チームのメンバー | テクノロジ領域の一般的な展開ガイダンスに関する概念と展開の目標 | テクノロジ領域に合わせてゼロ トラスト保護を適用します。 |
| Microsoft 365 for business のお客様またはパートナー | 中小企業向けのゼロ トラスト | ゼロ トラストの原則を中小企業のお客様に適用する。 |
| セキュリティ アーキテクト IT 実装者 |
ゼロ トラストの急速な近代化計画 (RaMP) は、簡単に成功を収めるためのプロジェクト管理ガイダンスとチェックリストです。 | ゼロ トラスト保護の主要なレイヤーをすばやく実装します。 |
| Microsoft 365 の IT またはセキュリティ チームのメンバー | Microsoft 365 向けの段階的で詳細な設計と展開のガイダンスのための Microsoft 365 によるゼロ トラスト展開計画 | Microsoft 365 テナントにゼロ トラスト保護を適用する。 |
| Microsoft Copilots の IT またはセキュリティ チームのメンバー | 設計とデプロイに関する段階的かつ詳細なガイダンスを提供する Microsoft Copilots のゼロ トラスト | Microsoft Copilots にゼロ トラスト保護を適用します。 |
| Azure サービスの IT チームまたはセキュリティ チームのメンバー | Azure サービス向けのゼロ トラスト の段階的で詳細な設計と展開に関するガイダンス | Azure のワークロードとサービスにゼロ トラスト保護を適用します。 |
| パートナー開発者、または IT チームまたはセキュリティ チームのメンバー | ゼロトラストとの< c0>パートナーシップ連携によるテクノロジー分野と専門分野に関する設計ガイダンス | パートナーの Microsoft クラウド ソリューションにゼロ トラスト保護を適用します。 |