この記事は、「 特権アクセス アーキテクチャの実装 」ソリューション ガイドの一部です。
特権アクセスでは、ID システム、クラウドコントロール プレーン、ビジネスクリティカルな資産を直接制御できるため、ほとんどの組織で重大なセキュリティ リスクが発生します。
セキュリティで 保護された特権アクセス アーキテクチャ が、このリスクを軽減し、機密性の高いシステムに対する制御を強化することで、ビジネス シナリオ ( 重要なビジネス資産の保護 ) で重要な役割を果たすしくみについて説明します。
この記事では、ソリューションのフェーズ 2 について説明します。 特権アクティビティは信頼されたデバイスからのみ発生するように、Privileged Access Workstations (PAW) を展開して強化します。 フェーズ 1 に基づいて構築され、フェーズ 3 で適用するために使用されるデバイス信頼シグナル (Intune コンプライアンスとMicrosoft Defender for Endpoint リスク) が生成されます。
保護の目標
フェーズ 2 では、次の特権アクセスが保証されます。
- 信頼されたセキュリティで強化されたデバイスからのみ発生します。
- リスクの高い生産性アクティビティから分離されています。
- 後で適用できるように、クリーンで信頼性の高いデバイス信号を生成します。
- 資格情報の盗難、トークンの再生、セッションハイジャックのリスクを軽減します。
- デバイスが侵害された場合は、ブラスト半径を制限します。
保護スコープ
特権アクセスは、生成元のデバイスと同じくらい信頼できます。 MFA、承認、ロールのアクティブ化などの ID 保護機能では、侵害を受けたワークステーションを補うことはできません。 攻撃者が特権アクセスに使用するデバイスを制御すると、次のことができます。
- MFA の完了後に認証トークンを盗みます。
- 管理セッションに悪意のあるプロセスを挿入する。
- メモリから資格情報またはトークンを再生します。
- 正当なユーザーとして動作することで、承認ワークフローをバイパスします。
特権ロールの場合、1 つの侵害されたワークステーションで、テナント全体またはエンタープライズ全体の制御への迅速なエスカレーションを有効にすることができます。 その結果、デバイス セキュリティは特権アクセスの信頼の上限を定義します。 したがって、特権アクセス ポリシーは、管理セッションが最高のセキュリティ バーを満たすデバイスから発信されていることを前提としています。 これらのデバイスは、特権操作の信頼境界を形成します。
特権アクセス ワークステーション (PAW)
PAW は、特権タスク専用に設計された、強化されたマネージド Windows ワークステーションです。 PAW は、特権アクセスのデバイス信頼境界を定義し、一般的な攻撃ベクトルから分離されます。
- 電子メール、一般的な Web 閲覧、生産性のワークロードから分離されています。
- Microsoft Intune経由で登録および管理されます。
- ID 統合にはMicrosoft Entra IDを使用します。
- Microsoft Defender for Endpointによって監視されます。
- 強固なハードウェアベースの信頼の基点を提供します。
セキュリティ レベル/プロファイルの観点から PAW がどのように適合するかを次に示します。
| セキュリティ レベル | デバイス プロファイル |
|---|---|
| エンタープライズ ユーザー | 標準管理対象デバイス |
| 特殊な演算子 | セキュリティ強化されたマネージド デバイス |
| 特権管理者 (コントロールプレーン管理者) | PAW |
軽減されたリスク
| リスク | 重要な理由 | フェーズ 1 の軽減策 |
|---|---|---|
| MFA 後に攻撃者が認証トークンを盗む | MFA は、実行環境ではなく認証を保護します。 ワークステーションが侵害された場合、攻撃者は認証後にトークンを盗み、それらを再利用して特権ユーザーを偽装することができます。 | PAW は、攻撃対象領域を減らし、資格情報保護 (Credential Guard)、継続的な監視を行って、セキュリティ強化されたデバイスでの特権作業を分離し、侵害された生産性デバイスからのトークンの盗難を防ぎます。 |
| 管理セッションへの悪意のあるプロセスの挿入 | 攻撃者は、侵害されたデバイス上の管理ツールまたはブラウザー セッションにコードを挿入し、ID が保護されている場合でも特権操作を制御できます。 | アプリケーションの制御、ローカル管理者権限の削除、PAW での制限付きアプリケーションの実行により、管理セッション中に未承認のコードが実行されるのを防ぎます。 |
| メモリ上の認証情報のリプレイ | 攻撃者は、侵害されたワークステーション上のメモリから資格情報またはトークンを抽出し、それらを再生して特権をエスカレートしたり、横方向に移動したりすることができます。 | PAW は、仮想化ベースのセキュリティと強化された OS 構成を使用して資格情報の分離を強制し、メモリ内の資格情報の露出を減らし、再生の機会を制限します。 |
| 侵害されたデバイスからバイパスされた承認ワークフロー | 承認ベースのロールのアクティブ化でも、ワークステーションを制御する攻撃者は承認されたセッションをハイジャックし、特権を迅速にエスカレートできます。 | デバイスの信頼は、特権作業の前提条件になります。 PAW により、承認と管理アクションは、侵害に抵抗するように設計されたデバイスからのみ行われます。 |
| 侵害されたワークステーションからの迅速なエスカレーション | セキュリティが侵害された 1 台の管理者ワークステーションを使用すると、攻撃者は ID システム、コントロール プレーン、および企業全体の管理にすばやくピボットできます。 | デバイス セキュリティは、信頼の上限を設定します。 PAW は最高のセキュリティ バーを提供するため、侵害されたエンドポイントを使用して特権ロールにエスカレートできる可能性が低くなります。 |
フェーズの結果
フェーズ 2 を完了した後:
- 1 つ以上の専用 PAW デバイスが設定されています。
- 特権管理作業は PAW からのみ発生します。
- PAW は通常の業務利用から隔離されています。
- デバイスは一元的に管理され、監視され、回復可能です。
- デバイスの信頼の前提条件は明示的で強制可能です。
- 後のフェーズでは、条件付きアクセスと監視を安全に適用できます。
前提条件
この記事の手順を構成する前に、
- フェーズ 1 の手順が完了していることを確認します。
- 特権アクセス ストーリーのデバイス セキュリティについて説明します。
- 次のサービスを使用できる必要があります。
- ID プロバイダーとしての Microsoft Entra ID
- デバイス管理のMicrosoft Intune。
- 脅威保護のMicrosoft Defender for Endpoint。
- 以下をサポートする最新のWindows ハードウェアを使用して、管理者ごとに少なくとも 1 つのサポートされているWindows デバイスが必要です。
- TPM 2.0
- UEFI セキュア ブート
- BitLocker
- 仮想化ベースのセキュリティ (VBS/HVCI)
- Windows Update経由でサービスを提供するファームウェアとドライバー。
このバーを満たしていないデバイスは、特権アクセスに使用しないでください。
手順 1: PAW のプロビジョニング/ライフサイクルを定義する
どのデバイスが PAW に該当するか、またそれらがどのように作成、登録、管理され、準備が整う前に使用されないようにするかを定義します。
PAW デバイス グループを作成する
このグループには PAW デバイスが含まれており、次の目的で使用されます。
- 登録のターゲット設定
- プロファイルのセキュリティ強化
- コンプライアンスの評価
- 後のフェーズでの条件付きアクセスの適用。
次のように作成します。
Microsoft Entra管理センターで、Microsoft Entra ID>Groups>New グループに移動します。
グループ設定を構成し、[ 作成] を選択します。
- グループの種類: セキュリティ
- グループ名: セキュリティで保護されたワークステーション デバイス
- メンバーシップの種類: 動的デバイス
[ 動的クエリの追加] を選択し、次の構文でルールを追加します 。device.devicePhysicalIds -any _ -contains "[OrderID]: PAW"
[保存]>[作成] の順に選択します。
PAW Autopilot グループ タグで登録されたデバイスは、PAW 動的デバイス ルールによって識別され、特権アクセス ワークステーションとして扱われます。
PAW を作成できるユーザーを制御する
PAW が意図的かつ安全に登録されていることを確認します。
- Microsoft Entra ID にデバイスを参加させることができるユーザーを制限します。
- デバイスに参加するには MFA が必要です。
- 参加時に自動的にローカル管理者権限を削除します。
- Entra 管理センターで、 Devices>Device 設定に移動します。
- ユーザーがデバイスを Microsoft Entra ID に参加させることを許可する>選択済みの場合は、Secure Workstation Users を選択します。
- [ デバイスへの参加に多要素認証を要求する] で、[ はい] を選択します。
- Microsoft Entra参加済みデバイスの追加のローカル管理者で、[なし] を選択します。
- 設定を保存します。
この設定では、PAW を登録できるのは PAW ユーザーのみであり、MFA は必要であり、PAW ユーザーは既定でローカル管理者になりません。
初回起動時から PAW を管理する
PAW は初回起動時から管理する必要があります。 非管理対象デバイスは、特権アクセスに対して信頼できません。
- デバイスを Intune に自動的に登録するようにMicrosoft Entra IDを構成します。
- 参加直後にすべての PAW が MDM で管理されていることを確認します。
- 承認されたプラットフォームにデバイス登録を制限します。
- Microsoft Entra ID>モバイル (MDM および MAM)>Microsoft Intuneを開きます。
- MDM ユーザー スコープを [すべて] に設定して保存します。
-
登録の制限を構成します。
- Windows デバイスの登録を許可する
- 個人所有のデバイスをブロックまたは制限します。
PAW は常に管理対象であり、非管理になることはありません。
PAW を一貫してプロビジョニングする
Windows Autopilot を使用して、一貫性と再現性のある PAW のプロビジョニングを徹底し、PAW を既知の良好な状態で開始できるようにします。
専用の Autopilot 展開プロファイルを作成し、PAW デバイス グループに割り当てます。
- Microsoft Intune 管理センターで、デバイス>Windows>Windows 登録>展開プロファイルに移動します。
- [ プロファイルの作成] を選択し、次の設定でプロファイルを作成します。
- 名前: セキュリティで保護されたワークステーション展開プロファイル
- 対象となるすべてのデバイスを Autopilot に変換する: はい
- デプロイ モード: 自己展開
- ユーザー アカウントの種類: Standard
- を選択してを作成します。
ハードニング前に PAW を使用できないようにする
PAW が完全に強化される前に使用されないようにします。 これにより、セットアップ中に早期に公開されるのを防ぐことができます。
- 登録状態ページ (ESP) を構成する
- 必要なすべてのプロファイルとアプリケーションがインストールされるまでデバイスの使用をブロックする
- PAW デバイスへの ESP の割り当て
Microsoft Intune管理センターで、[デバイス>>登録の状態] に移動します。
[ プロファイルの作成] を選択し、次の設定でプロファイルを作成します。
- アプリとプロファイルのインストールの進行状況を表示する: はい
- すべてのアプリとプロファイルがインストールされるまでデバイスの使用をブロックする: はい
セキュリティで保護されたワークステーション デバイスに割り当て、[作成] を選択します。
継続的なライフサイクル運用
PAW を回復およびリビルドするには:
- 侵害された場合は、Autopilot を使用して PAW をリセット/再プロビジョニングします。
- PAW は手作業で修理するのではなく、交換品として扱ってください。
PAW を識別して追跡するには、次を使用します。
- デバイス グループのメンバーシップ
- Autopilot の登録
これらのプロセスを導入することで、PAW は明確に識別可能で、一元的に管理されるデバイスとして、資産管理台帳に登録され、レビューされ、侵害を受けた場合でも Autopilot を使用して安全にワイプおよび再プロビジョニングされます。
手順 2: PAW を強化する
特権アクセス ワークステーション (PAW) を強化して、クリーンでリスクの低いデバイス信号を表示します。 セキュリティ強化コントロールには、攻撃対象領域の削減、パッチ適用の実施、Defenderリスク/コンプライアンスシグナルの生成が含まれます。
条件付きアクセスと監視の制御は、特権アクセスの決定を適用するためにこの状態に依存します。
これらのコントロールは、PAW が前に定義した必要なハードウェア セキュリティの前提条件を満たしていることを前提としています。
Windows Update リングを構成する
PAW は、迅速かつ予測可能にパッチを適用する必要があります。 遅延またはユーザーが制御する遅延によって、デバイスの信頼が損なわれます。
Microsoft Intune 管理センターで、デバイス>Windows>ソフトウェア更新>Windows Update リングに移動します。
[ プロファイルの作成] を選択します。
次の設定を構成します。
- 名前: PAW – Windows Update リング
- 品質更新プログラムの延期 (日数): 3
- 機能更新プログラムの延期 (日数): 3
- 自動更新の動作: エンドユーザー制御なしで自動インストールと再起動を行う
- ユーザーによる更新の一時停止をブロックする: ブロック
- 保留中の再起動の期限を設定する: 3 日間
[割り当て] で、セキュリティで保護されたワークステーション デバイスに割り当てます。
プロファイルを作成します。
この手順を完了すると、PAW は最小限の露出期間でパッチが適用され、ユーザーバイパスは行われません。
Defender for Endpoint の利用を開始する
条件付きアクセスとコンプライアンスは、Defenderリスクシグナルに依存します。 エンドポイントのDefenderがない場合、デバイスの信頼は不完全です。
- Microsoft Intune管理センターで、[エンドポイント のセキュリティ>Microsoft Defender for Endpointに移動します。
- Microsoft Defender for Endpoint を Intune に接続する を オン に設定します。
- 保存を選びます。
- Intune で更新して接続を確認します。
オンボーディング プロファイルを作成
Microsoft Intune管理センターで、[エンドポイント のセキュリティ>エンドポイントの検出と応答] に移動します。
[ プロファイルの作成] を選択し、次の設定を構成します。
- プラットフォーム: Windows 10以降
- プロファイルの種類: エンドポイントの検出と応答
- 名前: PAW - Defender for Endpoint
[構成設定] で、すべてのファイルのサンプル共有を有効にします。
[セキュア ワークステーション デバイス] グループに割り当てます。
プロファイルを作成します。
手順を構成すると、PAW は条件付きアクセスと SecOps で使用されるデバイス リスク、マルウェア、EDR テレメトリを出力します。
ファイアウォールとネットワークの制限を適用する
PAW の侵害経路のほとんどは外向きです。 エグレスの制限は非常に重要です。
- Microsoft Intune管理センターで、[エンドポイント セキュリティ>ファイアウォール] に移動します。
- エンドポイント保護プロファイルを作成します。
- DNS、DHCP、NTP、承認済みの管理エンドポイントなどの必要なサービスのみを許可するように送信ファイアウォール規則を構成します。 既定では、不要な送信トラフィックをブロックします。
- セキュリティで保護されたワークステーション デバイスに割り当てます。
手順を構成すると、PAW は管理タスクに必要な管理エンドポイントにのみ到達できます。
次のステップ
PAW を構成して強化したら、次の手順として 、条件付きアクセスとポリシーを使用して特権アクセスを適用します。