検出

M365 サービスへのアクセス権を持つ特権 Entra アカウント

MEDIUM

Language:

説明

インターネットからメールやドキュメントを読み取るなど、日常のアクティビティで特権アカウントを使用すると、そのアカウントが侵害されるリスクが高まります。 攻撃者はしばしば、メールで送信したフィッシングドキュメントや、ウェブブラウザでのドライブバイダウンロード攻撃を通して、環境への最初のアクセスを取得します。 攻撃者がこのような攻撃手法を使用して管理者を標的にすると、Entra のインフラ、そのアカウントやリソースが直接かつ完全に侵害される、重大な結果につながる恐れがあります。

この露出インジケーター (IoE) は、Microsoft 365 アプリケーションやサービスに関連付けられているサービスプラン (ライセンスなど) が、プランが通常のアカウントにのみ必要である場合に、特権アカウントに割り当てられているかどうかをチェックします。このヒューリスティック検知の目的は、管理者が 2 つの別個のアカウント (標準アカウントと特権アカウント) ではなく、1 つのアカウントしか持っていないことを特定することです。 この検知方式では誤検出が発生する可能性があります。たとえば、管理者が標準アカウントと特権アカウントを別個に持っているものの、両方のアカウントにサービスプランが割り当てられている場合などです。指定されたオプションを通して調査した後に誤検出であることが確認された場合、その検出結果は無視できます。たとえ誤検出であったとしても、その特権アカウントから Microsoft 365 アプリケーションやサービスを使用すると、そのアカウントが侵害される可能性は高くなるため、これは推奨されません。

この IoE は次の Microsoft 365 サービスを検証します。

  • Exchange Online
  • Microsoft 365 アプリ
  • Office for the Web
  • SharePoint Online
  • Microsoft Teams
  • Skype for Business Online

この IoE は、ビジネス、教育、政府など、Microsoft 365 サービスのさまざまなサービスプランを検証範囲に含めています。

ソリューション

Entra ID で管理タスクを実行するユーザーが複数のタイプのアカウントを持っていることを確認する必要があります。通常は、日常使用向けの標準アカウントと、管理アクティビティ専用の特権アカウントの 2 つです。 リスクのある日常的なインターネット操作や、信頼できないドキュメントを開く場合は、権限のない標準アカウントを使用してください。 管理タスクを主に処理するための特権アカウントには、必要不可欠なプランだけを含む限定的なサービスプランを付けてください。これは、Microsoft が推奨しているように、管理者用アカウントの分離に関する Microsoft のガイダンスに従っています。

ここまでの説明をまとめると、次の 2 つの修正ステップを実行します。

  1. 管理者などの権限を持つユーザーには、管理者アカウントを別途作成します。これが、この IoE の主な目的です。通常アカウントではなく、これらの専用の特権アカウントに権限を割り当てます。特権アカウントは管理タスクのみに使用します。これは、Microsoft が推奨する一般的なサイバーセキュリティのベストプラクティスであり、国のサイバーセキュリティ団体やコンプライアンス基準で義務付けられているものです。
  2. アカウントを分離した後、特権アカウントに限定的なサービスプランが割り当てられていることを確認します。これらのアカウントは管理タスクのみを実行するので、Microsoft 365 アプリケーションやサービスにアクセスする必要がありません。これにより、リスクエクスポージャーを減らすことができます。このステップを実行して、特権アカウントをこの IoE に準拠させます。 特に特権アカウントでは、管理タスクに必要でない Microsoft 365 アプリケーションやサービスのサービスプランを無効にしてください。Entra ID P1/P2 のような便利なセキュリティライセンスは保持します。Microsoft 365 E3/E5 など組織で所有しているライセンスによっては、Exchange Online などの一部のサービスプランを無効にして、他のサービスプラン (Entra ID P1/P2) は維持します。Microsoft Entra ID でのユーザーまたはグループのライセンス割り当ての変更にある Microsoft のガイダンスを参照してください。

標準アカウントと特権アカウントを別個に維持することで、対処する必要のあるその他のセキュリティ関連の考慮事項も発生します。

  • パスワード管理については、管理者が標準アカウントと特権アカウントに異なるパスワードを設定していることを確認してください。同じパスワードを持っていると、標準アカウントの認証情報を侵害した攻撃者が特権アカウントにピボットできてしまうので、アカウント分離の目的が損なわれます。
  • ユーザーが同じコンピューターからこれらのアカウントにアクセスしないようにしてください。特権操作のために予約された専用の安全なデバイスを提供することで、特権アカウントを保護します。この概念は、「特権アクセスワークステーション」(PAW) または「特権アクセスデバイス」として知られています。特権アクセスの一部としてデバイスをセキュリティ保護するの Microsoft のドキュメントを参照してください。

インジケーターの詳細

名前: M365 サービスへのアクセス権を持つ特権 Entra アカウント

コード名: PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure