Open5

SC900対策メモ

takashi sasakitakashi sasaki

第1章 概念理解

共同責任モデル

・SaaS利用において、ユーザー企業が責任を持たないといけないもの。
  ・データ
  ・エンドポイント(業務端末)
  ・アカウント(ID)
  ・アクセス管理(ライセンス許可やサービスのアクセス制御等)

セキュリティの概念

・多層防御 … セキュリティ対策は、1か所だけではなく、複数の対策を行う。
  ・デバイスへのウイルス対策
  ・サインインのセキュリティ
  ・データ暗号化
  ・ファイルサーバやクラウドストレージのアクセス制御

ゼロトラストセキュリティ

・すべてのアクセスを信頼されていないネットワークから発信されたものとして扱うこと。
   ・明示的に確認する。(アクセス時に毎回確認)
   ・最小特権のアクセス
   ・侵害があるものと考える
    ・侵入検知
    ・ログ

takashi sasakitakashi sasaki

第2章 Entra IDの概要

認証と認可(承認)

認証 … ユーザー名やパスワード、生体認証を用いて本人確認を行うプロセス
認可 … 認証されたユーザーがリソースに対して正しいアクセス許可があるかを確認するプロセス

IDプロバイダー(Idp)

認証と認可を行う
  ・Microsoft EntraID
  ・Google
  ・X(Twitter)
  ・GitHub

Microsoft Entra B2C

外部ユーザーがソーシャルIDや電子メールアドレス、任意のOIDCプロバイダーなど、さまざまなIDを使用してサインインすることができる。

Microsoft Entra IDの認証機能

・パスワード認証
 ・多要素認証(Microsoft Entra MFA)知っているもの(知識情報)+ 持っているもの(所持情報)
  ・MFAの有効化の方法
   1)セキュリティの規定値群を有効化する。(既定で有効であり無償ライセンスで利用できる)
   2)ユーザー別の有効化(P1以上のライセンスが必要)
   3)条件付きアクセスポリシーによるMFAの要求(P1以上のライセンスが必要)
   4)Microsoft Entra ID ProtectionによるMFAの要求(P2以上のライセンスが必要)
     →機械学習により、攻撃者からの脅威となるようなサインインを検出するサービス

パスワードレス認証

  • Windows Hello for Business
       パスワードの代わりに生体情報(顔、光彩、指紋)を使用して認証を行う。デバイスの故障など生体認証が使えない場合に備え、PINコードによる認証もサポート
       PINコードは登録されているデバイスでしか使うことができないため、パスワード認証よりも安全。

  • Microsoft Authenticator

  • FIDO2セキュリティキー
    FIDO2(ファイドツー)とは、MicrosoftがGoogleなどの多くの企業が参加しているFIDOアプライアンスと呼ばれる標準規格団体が策定した生体認証技術のこと。
       業界標準のパスワードレス認証で、小さなデバイスをUSB Type-AポートやType-Cポートに挿入して使用する。

セルフサービスによるパスワードリセット(Self Service Password Reset:SSPR)

規定で無効になっているため、有効化する際はEntra ID管理センターから有効化する必要がある。

Entra IDのパスワードポリシー

ディレクトリ同期によってオンプレミスから同期されたアカウントおよびゲストユーザーに対してはポリシーは適用されない。

パスワード保護のカスタム禁止パスワードリスト

ユーザーが特定の文字列をパスワードに使用するのを禁止できる。(P1以上のライセンスが必要)

takashi sasakitakashi sasaki

条件付きアクセスとは?

条件付きアクセスは、Microsoft Entra ID(旧Azure AD)の機能の一つで、ユーザーがクラウド上のリソースにアクセスする際に、特定の条件に基づいてアクセスを制御する仕組みです。これにより、セキュリティを強化しながら、柔軟なアクセス管理が可能になります。Entra ID P1ライセンスが必要。

条件付きアクセスの主な特徴

  • Microsoft Intuneのコンプライアンスポリシーにデバイスが準拠しているかどうかで、アクセスを許可または拒否することができる。
  • アクセス制御の自動化: ユーザーのデバイス、場所、アプリケーション、リスクレベルなどを考慮し、適切なアクセス制御を適用。
  • 多要素認証(MFA)の強制: 高リスクのアクセスにはMFAを要求し、セキュリティを強化。
  • ゼロトラストセキュリティの実現: 「すべてを疑い、常に検証する」ゼロトラストの原則に基づき、アクセスのたびにユーザーとデバイスを検証。
  • コンプライアンス対応: 機密データへのアクセスを厳格に制御し、監査ログを記録することで規制遵守を支援。
takashi sasakitakashi sasaki

覚える

  • 最も一般的な DDoS 攻撃は、リソース層攻撃、プロトコル攻撃、帯域幅消費型攻撃です。
  • 攻撃対象領域の縮小(ASR) では、悪意のあるエンドポイントへのアクセスを処理します。
  • クラウド アクセス セキュリティ ブローカー (CASB)の 4 つの柱は、可視性、コンプライアンス、データ セキュリティ、脅威に対する保護です。
  • Microsoft Entra パスワード保護は、パスワード スプレー攻撃からの保護に役立ちます。
  • ユーザー リスクは、特定の ID またはアカウントが侵害されているおそれがあることを表します。 ユーザー リスクは、高、中、または低の確率で構成できます。 管理者は、ユーザーのサインインを中断せずに、このシグナルを設定できます。
  • Microsoft Entra ID P2 では、アクセス パッケージを実現するエンタイトルメント管理を使用できます。