Azure ADのセキュリティのベストプラクティス:アクセス、制御、ロール

Randy:Mikeの質問です。これをホストしているのはBeyondTrustだけですか? つまり、どのクラウドで実行するのか、ということでしょうか。

Tim:はい。SaaSアプリケーションなので、テナントの中で実行するものではありません。BeyondTrustで実行するももです。そしてBeyondTrustでならまったく安全です。当社にはCloud Privilege Brokerを実行するクラウド全体のセキュリティチームがあり、BeyondTrustでテナントを取得して所有者になると、SaaSアプリが使えるようになります。他のSaaSアプリとほぼ同じです。

Randy:わかりました。

次にTroyの質問です。Azureにも商用と公用の環境がありますか? これは、他の質問への追加でしょうか。元の質問がわからないので、もしよかったら、Troy、もう少し詳しくかみ砕いて質問し直してもらえますか。

Tim:Troyの質問に簡単にお答えすると、当社には公用のクラウド環境はまだありません。それをロードマップに載せるにはもっと時間が必要です。まずは商用のAzure、商用のAWSです。

Randy:Tommyの質問は……これは難しい質問ですね。 複数のAzureアカウントを持つべきかどうかどう判断するのですか? これは、VPNをいくつ持っていますかという質問のようなものですね。

Tim:そうですね。

Randy:どれくらいの森がありますか?というような。森全部のリストはどこに行っても手に入りません。それぞれ完全に独立したものなのですから。これは方針や、支払勘定でMicrosoftの料金全体を見られるのかどうかという問題です。もし管理ができていないと感じ、ここにあるAzureやMicrosoftのテナントについてわからなくなったら、お金の流れを追ってみてもいいですよね。Microsoftに支払われているクレジットカード料金やその他の取引額をみて、そこから類推するのです。

Microsoftでも、すべてが連結されているのでない限り、あなたがAzure ADをいくつ持っているのかはわかりません。

Tim:そうです。率直に言うと、そして前に挙げたSaaSアプリをベースにしたAzureを購入している販促部門の例で言うと、クレジットカードを使っていれば最終的に支払勘定に載ってきます。そこに何らかの整合性はわかるでしょう。でも、だからといって必ずしもそれで、複数アカウントを持っていることがわかるわけではありません。少し手間がかかるでしょうが、すべてのアカウントを1つにまとめれば、Cloud Privilege Brokerですべて管理できます。.

Randy:次はDoosonの質問です。BeyondTrustは、原則的にADのセキュリティの数でライセンスされるのですか? 計算方法は?

Tim:ライセンスはサブスクリプションの数で行ないます。Azureで言えば、Azureのサブスクリプション数、AWSならアカウント数です。

Randy:わかりました。Royの質問です。BeyondTrust製品は、承認された管理者の動作を監査しますか。たとえば、管理者が重要なオブジェクトを削除したことを検出し、誰がいつそれを行なったか履歴を見ることができますか?

Tim:もちろんできます。管理者のアクセスを分離していないので、すべてのアクセスを見ることができます。ディレクトリやグループ、ロールに対して誰かが行なった動作はすべて履歴をとっているのでお見せすることができ、監査証跡がわかるようになっています。そして、ここでフィルタリングや並べ替えを行なったように、Barryが何をしたか辿ることができるのです。

Randy:それはすごい。

Tim:これは、システムの動作を通じて行なうようになっています。ログ動作用のウィンドウを追加すれば、見ることができます。

Randy:ログが見えますね。

Tim:はい。これでログ動作がわかるので、これをもとに構文解析できます。このビューアで、過去24時間の動作がわかります。過去90日間はどうでしょう。具体的にどのマシンで何が起こったか、しだいにわかってきます。マシン名がわかれば、またはどんなイベントや例外事項が起こったかということがわかれば、このマシンで起きたイベントの場所や内容がわかります。

Randy:わかりました。それではもう少し。Mattの質問です。BeyondTrustは、オンプレミスとオンラインのRBAC、すなわちロールベースのアクセス制御モデルの仕分けに使えますか? 今後数年はオンプレミスから離れられないと思いますので。

Tim:営業的な回答は常に「イエス」ですが、Cloud Privilege Brokerはクラウドにのみ特化しています。ただし、当社の他の製品を使ってオンプレミスのほうをサポートすることはできます。

Randy:ではTroyの質問です。 BeyondTrustのクラウドアクセスは、従来のPAMツールと一緒に使えますか? いつ統合されるのかわからないのですが、計画はありますか?

Tim:当社のロードマップにはありますが、セッション管理のようなものを見るにはどうしたらいいかということでしょうか? ライブセッションとは何でしょう、そこに制約を設けられるでしょうか? それからコンソールへのアクセス、そのコンソールへのAzure ADの管理者アクセスを、Cloud Privilege Brokerで仲介できるでしょうか? これもやはり、もう少し先のロードマップに載ってくると思います。そうすれば、制約をかけて最小権限の原則に従わせ、不要な特権を剥奪して、誰もがAzure ADのコンソールにログインしてグループやロールを作成することでRandy Franklin Smith のやりかたを真似るということを防げます。

Randy:Justinの質問は、「英国にテナントがありますか?」です。

Tim:今現在、お客様は米国東部にいます。英国にはいません。全世界に展開するのは非常に簡単ですから、問題ではありません。今はいないけれど、すぐ簡単に顧客を得る能力はあるということです。

Randy:Jamalの質問です。御社のCPBはCASBと統合していますか?

Tim:していません。これは当社の新製品です。このことを聞かれる回数が増えているので、考えるつもりです。今日は満足のいく答えを出せませんが、よく調べてCASBとの統合の道を探ってみます。

Randy:先ほどのRonaldの質問で、「1つのオブジェクトを複数の管理単位に入れることができますか」というのがあり、基本的にはできませんとお答えしましたが、テストしてみました。どうなったと思います? できたんです。1つのオブジェクトを複数のAUに入れることができました。しかもとても簡単に。思ったより難しくはなく、パーミッションを追加するだけのことでした。たとえばBobを米国という管理単位に入れ、そこに米国ヘルプデスクのパスワードリセットの権限を与えたとします。それから、今度はBobを販促という部門に入れ、販促の人たちに対してだけパスワードをリセットする別の権限を与えてみたら、どちらもできました。Brianいわく、これはAUの長所で、オンプレミスの使用より制約が少ないのです。
Williamの質問はFedRAMP証明書についてです。これは懸案事項ですか?

Tim:はい。懸案事項です。今のところ、今年末くらい、あるいは来年早々にと考えています。BeyondTrust全社としては、 FedRAMP認証の製品はありますし、これも受けるつもりです。ただ、FedRAMPに関する作業をした人なら皆さんおわかりかと思いますが、 申請は完璧にして提出しなければなりません。この申請書が私たちの希望通り今年中に通れば、次のバージョンはFedRAMP認証を受けたものになるはずです。

Randy:わかりました。Danの質問です。比較的大きな教育機関で、AzureとGmailを使っているそうです。AWSについては触れていませんね。Office 65が中心のセキュリティ管理ソリューションだということです。これは御社の目的に合っていますか?

Tim:はい、でもここで明確にしておかなければなりません。今、当社で扱っているのはAzureと AWSです。GCPは扱っていません。

Randy:他にもGCPを使っているお客様が4人いるので、がっかりするでしょう。いえ、冗談はともかく、これには不満の声があると思います。GCPを使っている人はここに5人以上はいますよ。

Tim:Google Cloudが本番用として伸びているのは知っています。以前は開発段階でしたが。クラウドの世界であれば、GCPを使うでしょう。低価格で簡単ですから。今では大手のお客様が本番環境でもGCPを使い始めているのを知っています。ですから、このことも考慮すべき事項だと思っています。

Randy:Tim、MichaelがBeyondTrustの別の製品について質問しています。これについてはデータを送りますから、後でMichaelに回答してください。 Scottの質問は、Azure AD用の特権アクセスには、Azureプレミアムが必要ですか、というものです。 これについては、既に答えていますね。

Tim:はい。でも、ここで取り上げる価値はあると思います。あくまでも今日話したものだけの回答でしたから。先ほどの回答では、たしかE3を持っていると言っていたので、それ以上のものは必要ありませんとお答えしました。もう少しMicrosoftにお金を払えば、ツールも増え、あなたの役に立つようなMicrosoftの専門知識や情報も得られるでしょう。PIMのようなものも使えます。

Randy:はい。その通りです。今日お見せした中で、プレミアムが必要なものはないと思います。ここですべての質問は終了とします。皆さん、Tim、ありがとうございました。今日のアーカイブのリンクを後でお送りします。ご参加ありがとうございました。このセッションがお役に立てるよう願っています。

Tim:皆さん、Randy、ありがとうございました。


Jackson Pitts、コピーライター
Jackson PittsはBeyondTrustのライターで、エンタプライズテクノロジーの分野でコンテンツに携わった経験を持つ。経営管理学の学位を持つ。BeyondTrust入社前は、クラウドやサイバーセキュリティ、データセンターテクノロジー、ITSMなど、さまざまなコンテンツのマーケティングを行なっていた。休暇にはニューイングランド散策とドラムの演奏を楽しんでいる。

参考 BeyondTrustとソリューションの紹介

シェアする

  • このエントリーをはてなブックマークに追加

フォローする