リスクの検出と修復に Azure AD Identity Protection を使用する

2024 年 12 月 14 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Azure AD Identity Protection を使用して環境内の ID リスクを検出、調査、修復する方法をガイドすることを目的としています。 Azure AD Identity Protection は、ID ベースのリスクの検出と修復を自動化し、資格情報の漏洩、ブルート フォース攻撃、不正アクセスなどの脅威から組織を保護する Microsoft Entra ID (旧称 Azure Active Directory) の機能です [1]。

はじめに

ID は新しいセキュリティ境界です。クラウドとリモートワークへの移行に伴い、ユーザー ID の保護がこれまで以上に重要になっています。フィッシング攻撃、認証情報の漏洩、パスワードのスプレー、および通常とは異なる場所からのアクセスは、アカウントの侵害、ひいてはデータ侵害やサービスの中断につながる可能性のある継続的な脅威です。 Azure AD Identity Protection は、リスクのあるアクティビティを特定し、ユーザーとサインインに関連するリスク レベルを評価し、リアルタイムの修復ポリシーを適用して組織の ID を保護するためのプロアクティブな自動ソリューションを提供します [2]。

この実用的なガイドでは、リスク検出の種類、ユーザーとサインインのリスク ポリシー、これらのポリシーの構成、Azure AD 条件付きアクセスとの統合、リスクの調査と修復など、Azure AD Identity Protection の基本的な概念について説明します。読者が Azure AD Identity Protection を実装して検証できるように、ステップバイステップの手順と構成例が提供され、アイデンティティのセキュリティを強化し、自律的で専門的かつ信頼性の高い方法でアイデンティティ セキュリティ インシデントに対する効果的な対応を確保できます。

Azure AD Identity Protection が重要なのはなぜですか?

• リアルタイム リスク検出: Microsoft の機械学習および脅威インテリジェンス アルゴリズムを利用して、匿名の場所からのサインイン、感染した IP、あり得ない移動、資格情報の漏洩などの不審なアクティビティを自動的に検出します。
• 適応型リスク評価: さまざまな要因に基づいて各ユーザーと入力にリスク レベル (低、中、高) を割り当て、脅威に対する適切な対応を可能にします。
• 自動修復ポリシー: 特定のリスク レベルに応じて、MFA を自動的に要求したり、パスワードをリセットしたり、アクセスをブロックしたりするポリシーを構成できます。
• 条件付きアクセスの統合: Azure AD 条件付きアクセスと連携して、ID リスクに基づいた適応型アクセス制御を適用します。
• 可視性と調査: リスク検出、リスク ユーザー、リスク入力に関する詳細なレポートを提供し、調査とインシデント対応を容易にします。
• SOC ワークロードの削減: 多くの ID インシデントのトリアージと修復を自動化し、セキュリティ スタッフがより複雑な脅威に集中できるようにします。

前提条件

Azure AD Identity Protection を使用するには、次のものが必要です。

1. ライセンス: Azure AD Identity Protection には Microsoft Entra ID P2 ライセンス (以前の Azure AD Premium P2) [3] が必要です。
2. 管理アクセス: Azure portal (https://portal.azure.com) の「セキュリティ管理者」、「条件付きアクセス管理者」、または「グローバル管理者」のロールを持つアカウント。
3. MFA の構成: サインインおよびユーザー リスク ポリシーが効果的に機能するには、ユーザーは多要素認証 (MFA) を構成および登録する必要があります。 Azure AD Multi-Factor Authentication の使用をお勧めします。

ステップバイステップ: Azure AD Identity Protection の構成

お客様のアイデンティティを保護するためのリスク ポリシーを構成します。

1. Azure AD Identity Protection へのアクセス

1. ブラウザーを開き、Azure portal: https://portal.azure.com に移動します。
2. 必要な権限を持つアカウントでログインします。
3. 上部の検索フィールドに「Azure AD Identity Protection」と入力し、結果からそれを選択します。

2. ユーザーリスクポリシーの構成

このポリシーは、ユーザーが検出されたときに実行されるアクションを定義します。リスクにさらされているものとして（例: 認証情報の漏洩、持続的な異常アクティビティ）。

1. Azure AD Identity Protection の左側のナビゲーション ペインで、ユーザー リスク ポリシー を選択します。

2. 責任:

   • 「ユーザー」で、「すべてのユーザー」または「個人とグループの選択」を選択して、特定のユーザーまたはテスト グループにポリシーを適用します。まずは、テストグループに応募することをお勧めします。
   • オプションで、「ユーザーとグループを削除」できます (サービス アカウント、緊急管理者など)。

3. 条件:

   • 「ユーザー リスク」で、ポリシーをトリガーするリスク レベルを設定します (例: 「高」)。 「中以上」から始めて、必要に応じて調整できます。

4. コントロール:

   • アクセス: 「アクセスを許可」を選択します。
   • ポリシーを適用: 「安全なパスワード変更を要求する」を選択します。
     • 説明: ユーザーが設定されたリスク レベルに達すると、次回のサインイン時にパスワードの変更が強制されます。これは認証情報の漏洩にとって非常に重要です。

5. ポリシーを有効にする: 「オン」に設定します。

6. [保存] をクリックします。

3. サインイン リスク ポリシーの構成

このポリシーは、サインイン試行が危険であると検出された場合 (例: 異常な場所、匿名 IP、感染した IP から) に実行されるアクションを定義します。

1. Azure AD Identity Protection の左側のナビゲーション ペインで、受信リスク ポリシー を選択します。

2. 責任:

   • 「ユーザー」で、「すべてのユーザー」または「個人とグループを選択」を選択します。
   • オプションで、「ユーザーとグループを削除」できます。

3. 条件:

   • 「入力リスク」で、ポリシーをトリガーするリスク レベルを定義します (例: 「中」)。

4. コントロール:

   • アクセス: 「アクセスを許可」を選択します。
   • ポリシーを適用: 「多要素認証が必要」を選択します。
     • 説明: エントリが危険であると検出された場合、通常は必要ない場合でも、ユーザーは MFA チャレンジを完了する必要があります。これはユーザーの身元を確認するのに役立ちます。

5. ポリシーを有効にする: 「オン」に設定します。

6. [保存] をクリックします。

4. レジストリ MFA ポリシーの構成

このポリシーにより、新規ユーザーまたはまだ MFA を登録していないユーザーに MFA 登録を求めるプロンプトが表示されます。これは、リスク ポリシーの前提条件です。

1. Azure AD Identity Protection の左側のナビゲーション ペインで、MFA 登録ポリシー を選択します。

2. 責任:

   • 「ユーザー」で、「すべてのユーザー」または「個人とグループを選択」を選択します。
   • オプションで、「ユーザーとグループを削除」できます。

3. ポリシーの強制: 「有効」に設定します。

4. [保存] をクリックします。

5. リスクのあるユーザーと入力の調査

Identity Protection は、危険なアクティビティを監視および調査するためのレポートを提供します。

1. Azure AD Identity Protection の左側のナビゲーション ペインで、リスク ユーザー を選択します。

   • このレポートには、リスクにさらされていることが検出されたユーザーが、そのリスク レベルと最後に検出されたリスクとともにリストされます。

2. ユーザーをクリックして、特定のリスク検出 (「漏洩した認証情報」、「匿名 IP エントリ」など) を含むリスクの詳細を表示します。

3. 左側のナビゲーション ペインで、リスク入力 を選択します。

   • このレポートには、リスク レベルとサインインの詳細とともに、危険として検出されたサインイン試行がリストされます。

4. リスク エントリをクリックすると、検出タイプ、場所、デバイス、アプリケーションなどの詳細が表示されます。

6. リスクを手動で修正する

ポリシーによって修復が自動化されますが、リスクを手動で修復する必要がある場合があります。

1. 危険なユーザー向け:

   • 「リスク ユーザー」レポートで、ユーザーを選択します。
   • 「ユーザーの侵害を確認」 (これによりユーザー リスク ポリシーがトリガーされ、パスワードの変更が強制されます) または「ユーザー リスクの無視」 (リスクが誤検知であると判断した場合) を選択できます。

2. リスク入力の場合:

   • 「リスク入力」レポートで、エントリを選択します。
   • 「侵害の確認」または「セキュリティの確認」(誤検知の場合) を選択できます。

検証とテスト

Azure AD Identity Protection をテストすることは、ポリシーが適切に機能していることを確認するために重要です。予想通り。

1. インバウンドリスクシミュレーション（匿名IP）

1. VPN またはプロキシを使用して、匿名 IP として分類できる通常の職場以外の場所 (パブリック プロキシ サーバー、Tor など) からインターネットに接続します。

2. テスト アカウントを使用して、Azure portal または Azure AD に接続されたアプリケーションにログインしてみます。

   • 予想される結果: サインイン リスク ポリシーが「中」または「高」に設定され、「多要素認証が必要」に設定されている場合は、MFA を完了するように求められます。リスクが「高」で、ポリシーが「アクセスをブロック」に設定されている場合、アクセスは拒否されます。

3. Azure AD Identity Protection の「リスク エントリ」レポートを確認します。検出タイプ「匿名 IP エントリ」のテスト アカウントのリスク エントリが表示されるはずです。

2. ユーザーリスクシミュレーション (認証情報の漏洩)

漏洩した認証情報を直接シミュレートすることはできませんが、テスト ユーザーを手動で「高」リスク レベルに設定することで、ユーザー リスク ポリシーをテストできます (制御された環境でのテストのみを目的としています)。

1. 「リスク ユーザー」レポートで、テスト ユーザーを選択します。
2. 「侵害されたユーザーの確認」をクリックします (これにより、ユーザーのリスクが「高」に設定され、ポリシーがトリガーされます)。
3. テスト ユーザーにログインを試行するように依頼します。
   • 予想される結果: ユーザー リスク ポリシーで構成されているように、ユーザーは次回のサインイン時にパスワードを変更するように求められます。

3. 監査ログと入力ログの確認

1. Azure portal で、「Azure Active Directory」 > 「監視」 > 「受信ログ」に移動します。
2. 「入力リスク ステータス」と「ユーザー リスク ステータス」でログをフィルタリングし、評価された入力と実行されたアクションを確認します。

セキュリティのヒントとベスト プラクティス

• レポート モードから開始: リスク ポリシーを設定するときは、ポリシーを強制モードで適用する前に、「レポートのみ」モードから開始してポリシーの影響を理解します。これは、ユーザーの作業を中断することなく、誤検知を特定するのに役立ちます。
• ユーザー教育: MFA の重要性と、パスワード変更要求または MFA の課題への対応方法についてユーザーを教育します。 ID 保護の利点を彼らに説明します。
• 条件付きアクセスとの統合: Identity Protection を条件付きアクセスと組み合わせて使用​​すると、より高度な適応アクセス ポリシーを作成できます。たとえば、侵入リスクが「高」の場合、重要なアプリケーションへのアクセスをブロックします。
• 継続的な監視: 「リスク ユーザー」レポートと「リスク入力」レポートを定期的に監視して、不審なアクティビティを調査し、ポリシーが期待どおりに機能していることを確認します。
• ポリシーの定期的なレビュー: 脅威の状況やビジネス要件の変化に適応するために、リスク ポリシーを定期的にレビューおよび調整します。
• SIEM/SOAR 統合: Azure AD Identity Protection アラートを SIEM (例: Microsoft Sentinel) と統合して、一元的なビューとより包括的なインシデント対応の自動化を実現します。
• 特権ユーザーを優先する: 最も厳格なリスク ポリシーで高度な特権ユーザー (管理者) を保護することに重点を置きます。

一般的なトラブルシューティング

• ユーザーは MFA/パスワードの変更を求められません: ユーザーが Azure AD P2 ライセンスを持っていることを確認します。リスク ポリシーが「有効」になっていて、ユーザーが割り当てに含まれていることを確認してください。ユーザーが既に MFA を登録しているかどうかを確認します。
• 誤検知のリスク: リスク検出を調査して、リスク検出がトリガーされた理由を理解します。脅威がないことが確実な場合は、エントリに対して「セキュリティを確認」するか、ユーザーに対して「ユーザー リスクを無視」することができます。必要に応じて、リスク ポリシーの条件を調整します (ポリシーをトリガーするリスク レベルを上げるなど)。
• ユーザーが不適切にブロックされた: サインイン リスク ポリシーが「中」または「低」リスクの「アクセスをブロック」に設定されている場合、過剰なブロックが発生する可能性があります。リスクレベルとポリシーアクションを確認します。中程度のリスクの場合は、「アクセスをブロックする」の代わりに「多要素認証を要求する」を使用することを検討してください。
• MFA 登録の問題: MFA 登録ポリシーが「有効」になっていて、ユーザーが含まれていることを確認してください。あなた。干渉している可能性のある他の条件付きアクセス ポリシーがないか確認します。
• リスク検出が表示されない: Identity Protection が有効になっていて、Azure AD に認証トラフィックがあることを確認してください。特にユーザー リスクの場合、リスク検出が表示されるまでに時間がかかる場合があります。

結論

Azure AD Identity Protection は、最新のクラウドベース環境で ID を保護するために不可欠なツールです。 ID リスクの検出と修復を自動化することで、組織は脅威に迅速に対応し、攻撃対象領域を減らし、全体的なセキュリティ体制を強化できます。リスク ポリシーを慎重に導入し、ユーザー教育と継続的な監視を組み合わせることで、セキュリティ チームは最も重要なアイデンティティを積極的に保護できるようになります。この実践的なガイドにより、セキュリティ専門家は Azure AD Identity Protection の構成、検証、管理を行うための十分な知識を身につけ、進化し続けるサイバー脅威に対して ID の安全性と回復力を確保できるようになります。

---

参考文献:

[1] Microsoft Learn。 Microsoft Entra ID 保護とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Learn。 リスク検出とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft Learn。 Microsoft Entra ID Protection のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Learn。 Microsoft Entra ID Protection のリスク ポリシーを構成します。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Learn。 Microsoft Entra ID Protection を使用してリスクを調査します。以下で入手可能: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Learn。 リスクを修正し、ユーザーのブロックを解除します。入手可能場所: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock