プレイブック

侵害を前提とし、すべてのリクエストに対して検証を要求するセキュリティモデルを実装します。

→Zero Trustセキュリティモデルを採用します。

理由: 明示的に検証する、最小特権アクセスを使用する、侵害を前提とする、という3つのコア原則に基づいて動作します。これは単一の製品ではなく、戦略的なアプローチです。

リファレンス↗

クラウドサービスのセキュリティ所有権の境界を定義します。

→Shared Responsibility Modelを適用します。お客様は常に、情報とデータ、デバイス（エンドポイント）、アカウントとIDに責任を負います。

理由: クラウドプロバイダーの責任はIaaSからPaaS、SaaSへと増加しますが、お客様は常に自身のデータとアクセス管理に対する責任を保持します。

単一のセキュリティ層の障害から保護します。

→物理、ID、境界、ネットワーク、コンピューティング、アプリケーション、データ層にわたる多層セキュリティ戦略（Defense in Depth）を実装します。

理由: ある層での侵害は、後続の層によって遅延または封じ込められ、攻撃全体のセキュリティリスクと影響を軽減します。

ユーザーのIDを検証することと、そのユーザーにアクセス許可を付与することの違いを区別します。

→Authentication (AuthN) を使用してIDを検証します（本人であることを証明します）。Authorization (AuthZ) を使用して、認証されたIDのアクセス権を決定します（何が許可されているかを決定します）。

理由: 認証は常に承認の前に行われる必要があります。ユーザーは認証されていても、特定のリソースへのアクセスを承認されていない場合があります。

保存時および転送時のデータの機密性を保護します。

→保存されているデータにはEncryption at Restを使用します（例：ディスク上、データベース内）。ネットワーク経由で移動中のデータにはEncryption in Transitを使用します（例：TLS/SSL）。

理由: 異なる脅威ベクトルから保護します。Encryption at Restはストレージメディアの物理的な盗難を軽減し、Encryption in Transitは盗聴を防止します。

単一のコントロールプレーンから、クラウドおよびオンプレミスリソースのユーザーIDとアクセスを管理します。

→集中型IDプロバイダーとしてMicrosoft Entra IDを使用します。

理由: IDの単一の情報源を提供し、ハイブリッド環境全体でSingle Sign-On (SSO)、multi-factor authentication (MFA)、および一貫したアクセスポリシーを可能にします。

アプリケーションとデータに対して、動的でリスクベースのアクセス制御を適用します。

→Microsoft Entra Conditional Accessポリシーを構成します。

理由: これはZero Trustポリシーエンジンです。MFAの要求、セッションアクセスの制限、アクセスブロックなどの決定を適用するために、シグナル（ユーザー、場所、デバイスの状態、リスク）を評価します。

リファレンス↗

常時付与されている管理特権に関連するセキュリティリスクを最小限に抑えます。

→AzureおよびMicrosoft 365のロールに対してMicrosoft Entra Privileged Identity Management (PIM) を実装します。

理由: Just-In-Time (JIT) アクセスを提供し、必要に応じてユーザーがロールをアクティブ化することを要求します。アクティブ化にはMFA、正当な理由、および/または承認が必要になる場合があり、攻撃対象領域を大幅に削減します。Entra ID P2が必要です。

フィッシングやパスワードスプレーなどのパスワードベースの攻撃ベクトルを排除します。

→Windows Hello for Business、FIDO2セキュリティキー、Microsoft Authenticatorアプリなどのパスワードレス認証方法を実装します。

理由: 生体認証または物理デバイスに紐付けられた暗号鍵に依存することで、パスワードよりも安全でユーザーフレンドリーな代替手段を提供します。

オンプレミスとクラウドの両方のリソースに対して、ユーザーに単一のIDを提供します。

→Microsoft Entra Connectを使用して、オンプレミスのActive DirectoryをMicrosoft Entra IDと同期します。

理由: 共通のユーザーIDを作成し、ハイブリッド環境全体でシームレスなSingle Sign-On (SSO) と一貫したアクセス管理を可能にします。

外部パートナーが、アカウントを作成・管理することなく会社の資源にアクセスできるようにします。

→Microsoft Entra B2B（Business-to-Business）コラボレーションを使用します。

理由: 外部ユーザーをゲストとして招待し、自身の企業またはソーシャルIDを使用して認証させることで、管理上のオーバーヘッドとセキュリティリスクを軽減します。

IDベースの脅威を事前に検出し、自動的に対応します。

→Microsoft Entra ID Protectionを有効にします。

理由: 機械学習を使用してIDリスク（例：漏洩した資格情報、匿名IPからのサインイン）を検出します。リスクシグナルはConditional Accessで使用され、パスワードリセットやMFAの強制などの自動応答をトリガーできます。

Azureでホストされているアプリケーションが、コード内で資格情報を管理することなく他のAzureリソースにアクセスできるようにします。

→Azureリソース（例：VM、App Service）にManaged Identityを割り当てます。

理由: 開発者がシークレット、接続文字列、または証明書を処理する必要がなくなります。AzureがIDのライフサイクルを自動的に管理します。

ヘルプデスクの負荷を軽減し、ユーザー自身がアカウントのロックアウトやパスワード忘れを解決できるようにします。

→Microsoft Entra IDでSelf-Service Password Reset (SSPR) を構成します。

理由: 事前に登録された方法（例：電話、Authenticatorアプリ、セキュリティの質問）を使用してIDを検証した後、ユーザーが安全にパスワードをリセットできるようにします。

アプリケーションおよび特権ロールへのユーザーアクセスが依然として必要であることを定期的に検証します。

→定期的なMicrosoft Entra Access Reviewsをスケジュールします。

理由: アクセスレビュープロセスを自動化し、不要なアクセス権を削除することで、最小特権の原則が長期にわたって維持されるようにします。

脅威検出のために企業全体のセキュリティデータを集約し、インシデント対応を自動化します。

→Microsoft Sentinelを展開します。

理由: データ収集と分析のためのクラウドネイティブなSecurity Information and Event Management (SIEM) として機能し、自動化されたアクションのためにPlaybooksを使用するSecurity Orchestration, Automation, and Response (SOAR) プラットフォームとしても機能します。

リファレンス↗

クラウド資産のセキュリティ構成を継続的に評価し、強化します。

→Microsoft Defender for CloudのCloud Security Posture Management (CSPM) 機能を使用します。

理由: セキュアスコア、実用的なセキュリティ推奨事項を提供し、規制標準に対するコンプライアンスを追跡して、全体的なセキュリティ体制を向上させます。

VM、コンテナ、データベースなどのクラウドおよびハイブリッドワークロードを高度な脅威から保護します。

→Microsoft Defender for Cloud内で特定のDefenderプラン（Cloud Workload Protection - CWP）を有効にします。

理由: サーバーのエンドポイント検出やコンテナレジストリの脆弱性スキャンなど、高度なワークロード固有の脅威検出および保護機能を提供します。

エンドポイント、メール、ID、クラウドアプリにまたがる複雑な攻撃を調査し、対応します。

→Microsoft 365 Defenderを使用します。

理由: 複数のMicrosoft Defender製品からのアラートを単一のインシデントに相関させるExtended Detection and Response (XDR) ソリューションを提供し、統合された調査と対応体験を提供します。

ユーザーデバイス（エンドポイント）をマルウェア、ランサムウェア、およびその他の高度な攻撃から保護します。

→Microsoft Defender for Endpointを展開します。

理由: エンドポイントを保護するための予防的な保護、侵害後の検出（EDR）、自動調査、および対応機能を提供します。

メールおよびコラボレーションツールにおけるフィッシング、ビジネスメール詐欺、悪意のある添付ファイルから保護します。

→Microsoft Defender for Office 365を実装します。

理由: Microsoft 365サービス向けに、Safe Attachments（デトネーションチャンバー）やSafe Links（URLの書き換えとスキャン）などの高度な脅威保護機能を提供します。

オンプレミスのActive Directoryインフラストラクチャを標的とする攻撃を検出します。

→Microsoft Defender for Identityを展開します。

理由: オンプレミスのADシグナルを監視し、高度な脅威、侵害されたID、および大規模な侵害の予兆となる悪意のあるインサイダー行動を検出します。

従業員が使用する不正なクラウドアプリケーション（「shadow IT」）を検出し、承認されたアプリへのデータフローを制御します。

→Microsoft Defender for Cloud Appsを使用します。

理由: Cloud Access Security Broker (CASB) として機能し、クラウドアプリの使用状況を可視化し、リスクを評価し、ポリシーを適用し、クラウド内の脅威から保護します。

仮想ネットワーク内のAzureリソース間のネットワークトラフィックを制御します。

→サブネットおよび/またはネットワークインターフェースにNetwork Security Groups (NSGs) を適用します。

理由: IPアドレス、ポート、プロトコルに基づいてトラフィックを許可または拒否する、基本的なステートフルパケットフィルタリングファイアウォールとして機能します。これは基本的なネットワークセキュリティ制御です。

インテリジェントなManaged Firewallサービスによって、すべての仮想ネットワークリソースを一元的に保護します。

→ハブVNetにAzure Firewallを展開します。

理由: 脅威インテリジェンスベースのフィルタリング、高可用性、無制限のスケーラビリティを提供する、完全に管理されたクラウドネイティブなサービスとしてのファイアウォールです。

Azureで公開されているアプリケーションを、Distributed Denial of Service attacks (DDoS) による過負荷から保護します。

→仮想ネットワーク上でAzure DDoS Protection Standardを有効にします。

理由: デフォルトのインフラストラクチャレベルの保護を超えて、適応型チューニング、攻撃分析、コスト保護などの強化された緩和機能を提供します。

管理ポートをパブリックインターネットに公開することなく、Azure VMへの安全なRDPおよびSSHアクセスを提供します。

→仮想ネットワークにAzure Bastionを展開します。

理由: Azureポータルを介してTLS経由でVMに安全なブラウザベースの接続を提供し、VM上のパブリックIPアドレスの必要性を排除し、攻撃対象領域を削減します。

機密性の高いドキュメントやメールを、保存場所や送信場所に関わらず、その内容に基づいて分類し保護します。

→Microsoft Purview Information ProtectionとSensitivity Labelsを使用します。

理由: これらのラベルは、データと共に移動する永続的な保護（暗号化、コンテンツマーキング、アクセス制限）を適用し、ライフサイクル全体にわたってデータが保護されることを保証します。

リファレンス↗

ユーザーが機密情報（例：クレジットカード番号、PII）を誤ってまたは意図的に組織外に共有するのを防ぎます。

→Microsoft Purview Data Loss Prevention (DLP) ポリシーを構成します。

理由: DLPポリシーは、Microsoft 365サービス、エンドポイント、クラウドアプリ全体で機密コンテンツを識別、監視し、保護アクションを自動的に適用します。

GDPR、HIPAA、ISO 27001などの業界規制や標準へのコンプライアンスを評価、管理、追跡します。

→Microsoft Purview Compliance Managerを使用します。

理由: コンプライアンススコア、事前構築された評価テンプレート、推奨される改善アクションを含む一元化されたダッシュボードを提供し、コンプライアンス管理を簡素化します。

コンテンツを必要な期間自動的に保持し、ビジネス上または規制上の理由で不要になった場合に削除します。

→保持ポリシーと保持ラベルを使用してMicrosoft Purview Data Lifecycle Managementを実装します。

理由: Microsoft 365全体でデータガバナンスポリシーを適用し、コンテンツライフサイクルを管理し、リスクを軽減し、規制に準拠します。

法的事項により、Microsoft 365からの電子データの特定、保持、収集が必要になります。

→Microsoft Purview eDiscovery (StandardまたはPremium) を使用します。

理由: 関連コンテンツを検索し、変更や削除を防ぐために訴訟ホールドに置き、法的レビューのためにエクスポートするツールを提供します。

従業員による潜在的なデータ盗難やセキュリティポリシー違反を検出・調査します。

→Microsoft Purview Insider Risk Managementを構成します。

理由: Microsoft 365からのさまざまなシグナルを相関させ、潜在的にリスクのあるインサイダー活動を特定し、それらを調査して対処するためのワークフローを提供します。

規制対象企業は、利益相反を避けるために、特定の部門（例：トレーダーとアナリスト）間のコミュニケーションを防止する必要があります。

→Microsoft Purview Information Barriersを実装します。

理由: Microsoft Teams、SharePoint、およびOneDriveで定義されたユーザーグループ間のコミュニケーションとコラボレーションを制限するポリシーを適用します。

オンプレミス、マルチクラウド、SaaS環境全体にわたるすべてのデータ資産の包括的で最新のマップを作成します。

→Microsoft Purview Data MapおよびData Catalogを使用します。

理由: データ探索、機密データ分類、データ系列追跡を自動化し、効果的なガバナンスのためにデータ資産の全体像を提供します。

企業コミュニケーションにおける不適切なメッセージ（例：ハラスメント、秘密の共有）を検出、キャプチャし、対処します。

→Microsoft Purview Communication Complianceを展開します。

理由: 機械学習を使用して、メール、Teams、その他のチャネルでのポリシー違反を検出してレビューすることで、コミュニケーションリスクを最小限に抑えるのに役立ちます。

Microsoftサポートエンジニアが、お客様の明示的かつ監査可能な承認なしに、お客様の組織のデータにアクセスできないようにします。

→Microsoft 365またはAzure向けにCustomer Lockboxを有効にします。

理由: お客様がMicrosoftエンジニアからのデータアクセス要求を承認または拒否するためのインターフェースを提供し、まれなサポートシナリオにおいて最終的な制御を可能にします。

Microsoft 365全体でのユーザーおよび管理者アクティビティをレビューすることにより、セキュリティインシデントまたはコンプライアンスの問題を調査します。

→Microsoft Purview Audit (StandardまたはPremium) ログを検索します。

理由: フォレンジック調査のために、Exchange Online、SharePoint Online、OneDrive、Entra IDなどのサービス全体でのアクティビティの統合された監査証跡を提供します。