“Azure AD Security Best Practices: Access, Controls, & Roles” March 17, 2022 by Jackson Pitts より
Azure Active Directory (Azure AD)にはもともとセキュリティ制御の機能が備わっていますが、そのセキュリティはまだ発展途上です。脅威の実行者はクラウド環境にこれまで以上に巧妙に侵入したり、資格情報や不十分な特権アクセス制御、構成不備を悪用したりしており、その結果、深刻な損害が発生することもあります。
特に、Azure ADが最小権限の原則に従った、精緻な管理者権限や特権アクセス委譲の機能を実装したのは、ほんの数年前のことです。Azure ADのロール(役割)ベースのアクセス制御(RBAC)を導入すればセキュリティの能力はある程度向上しますが、古いAzureロールもまだ存在し、混在している状況にあります。
さて今回はWindowsとActive Directoryのセキュリティに関する世界的権威であるRandy Franklin Smithが、BeyondTrustの製品管理部門の上級部長Tim Sedlackと対談しました。
対談の目的はシンプルで、Azure Active Directoryのセキュリティと特権アクセスの現状を探り、Azure AD内での運用のベストプラクティスを示すことです。
RandyとTimの対談で挙がった話題は、管理者のロール、特権アクセス制御、Azure ADのアクセスその他、Azure Active Directoryの詳細にまで及びました。加えて、Azureロール、Azure AD ロール、O365ロールの違いを示しながら、複雑に絡まりあったロールを整理しました。
この対談の記録を以下に記載しました。またオンデマンドでのウェビナーもご視聴いただけます。
対談の参加者:
- Randy Franklin Smith:Monterey Technology Group, Inc.のCEO、CISA(公認情報システム監査人)、SSCP(公認システムセキュリティ専門家)、セキュリティMVP取得
- Tim Sedlack:BeyondTrustの製品管理部門の上級部長
ウェビナーの記録より:Azure Active Directory におけるセキュリティと特権アクセスとは
Randy Franklin Smith:こんにちは、皆さん。Randy Franklin Smithです。今日お話しするのは、視聴している多くの皆さんにとって間違いなく重要なことです。その証拠に、非常に多くのお申し込みがありました。1300人の方が視聴してくださっています。ご期待に応えられるよう、価値ある対談にしたいと思います。これから、Azure Active Directory におけるセキュリティと特権アクセスとはどんなものかについてお話しします。まずは全体像を、そして、その後は具体的にAzure Active Directoryに照準を絞っていきます。この話題に関する簡単なデモンストレーションも行います。
このような実地研修が無料で実現したのは、BeyondTrustのおかげです。本日は、同社から長年の仕事仲間であるTim Sedlackをお招きしています。Tim、こうした場を設けてくれたことに感謝します。我々が今日直面している課題を御社の技術でどう解決してくれるのか、視聴者の皆さんは楽しみにしてくれているでしょう。
Tim Sedlac:はい、それをお話しできればと思います。ありがとう、Randy。
Randy:では始めましょう。まずは先ほど申したように、全体像をお話しし、個々のオブジェクトとコンテナがどのように結びついているのか、そしてその関連性についてお話しします。これはかなり複雑です。Microsoftは、クラウドで行なうあらゆることに、繰り返しロールベースのアクセス制御、 RBAC戦略を導入していますが、形式はその都度少しずつ異なっています。結果として、RBACはAzure ADで行なわれ、Azureでも、また、Office 365製品、Exchange、Teamsなどでも行われます。それから、Dynamics 365などでもRBAC戦略が用いられています。当然、これらはすべてAzure ADと結びつけられ、これに依存しています。ではここで、ロールやパーミッション委譲がどのように行われるか見てみましょう。
進行役:Randy?
Randy:何でしょう?
進行役:皆さんに質問があるということでしたが。
Randy:その通りです。それでは早速始めさせてください。皆さんからいくつかフィードバックを頂きたいのです。皆さんはクラウドのセキュリティについて、どんな計画がありますか? わたしたちが対談している間に、少し考えてみてください。では話を戻しましょう。そうですね、Microsoftは製品1つひとつにRBACを導入していますが、わたしたちはみんな、それを少しまとめてくれたらと願っています。ですよね?
Tim:その通りです。
Randy:それに、使い回しができて、統一性があればいいと思ってもいます。でも今はそうなっていない。
Tim:はい。または、ポリシを一般化して、Teamsで見られることが、Exchangeでも同じように見られれば、「このアプリケーションにはこの用語を使う」とか、「このアプリケーションにはまた別の用語を使う」というようなマッピングを行わずにすみます。
Randy:そうですね。でも現状はそうなっていない。ということは、もっともな理由があるのでしょう。実際、そのいくつかは単純に、旧式のオンプレミスの技術に基づいているということです。Exchange Onlineの元はExchangeで、8割方はExchangeです。ですよね?
Tim:その通りです。
Randy:そして、そのすべてが引き継がれている、と。すべてを引き継ぐ必要があったのですね。
Tim:はい、そうです。
Randy:そうですか。いずれにしろ、内容はとても充実しているでしょう。ここで質問の答えを締め切りますね。他の人たちの考えを聞きたいでしょうから、すぐに結果をお知らせします。見てください。いちばん多いのはクラウドのパーミッションと特権です。当然の結果ですね。私たちがこうしてお話ししているのはそのためなのですから。