マイナビニュースマイナビ

Azure IDを活用したサインインの管理

【連載】

AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます

【第28回】Azure IDを活用したサインインの管理

[2021/05/19 08:00]垣内由梨香 ブックマーク ブックマーク

クラウドへの移行や、連携アプリ/自動化タスクの増加が進むにつれ、マイクロソフトのクラウドID基盤「Azure Active Directory (Azure AD)」を利用した認証数も年々増加傾向にあります。セキュリティ管理の一環として、Azure ADで利用しているIDでどのようなアクティビティが行われているかを監視し、必要に応じたセキュリティ対応を実施する重要性も広く認識されてきました。

例えば、不正なユーザーサインインを防止したり、組織への侵害を早期に発見したりするために、ユーザーIDで実施されているさまざまなアクティビティを監視する組織も増えています。ただし、ユーザーIDに関するアクティビティは管理/監視が行えているものの、ユーザーIDによる対話的なサインイン以外のサインインについては、管理が行き届いていないケースがあります。

サインインの種類

ここでいったん、サインインの種類を整理してみましょう。Azure ADではさまざまな種類のサインインを扱っていますが、ユーザーのアカウントを利用するもの/しないものに大別することができます。

まず、ユーザーのアカウントを利用したサインインですが、これには大きく分けて2つあります。

「対話型ユーザーサインイン(interactive User Sign-in)」は、認証するユーザーが、認証に必要なパスワードや二要素認証のコードなどを提供する種類のサインインです。これに対して「非対話型ユーザーサインイン(Non-interactive User Sign-in)」とは、ユーザーに代わってクライアントアプリやOSコンポーネントが実行するサインインのことです。対話型ユーザーサインインとは異なり、非対話型ユーザーサインインでは、ユーザーが認証要素を提供する必要はありません。代わりに、デバイスまたはクライアントアプリケーションは、トークンまたはコードを使用して、ユーザーに代わってリソースを認証(またはリソースにアクセス)します。一般的に、ユーザーはこれらのサインインがユーザーの活動の背景で行われていると認識します。

一方、ユーザーのアカウントを利用しないサインインとして、アプリやサービスのプリンシパルによる「サービスプリンシパルのサインイン(Service principal sign-ins)」と、Azureで管理されているシークレットを持つAzureリソースによる「マネージドIDのサインイン(Managed identities for Azure resources sign-ins)」があります。

サインイン

さまざまな種類のサインインを確認することの重要性

クラウドでは、アプリを連携させたり、タスクを自動化したりするケースが多く、対話的なユーザーのサインイン以外にも注目してセキュリティ管理をすることが重要になっています。本連載の第24回で紹介したように、クラウドを利用する組織を狙う攻撃者は、ターゲットとなる組織のユーザーアカウントに対話的にサインインしようと試みるだけではなく、利用しているアプリやサービスを介して機密性の高いデータへアクセスしたり、より権限の高いアカウントを侵害したりしようとします。

米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)のアラートでも、昨今のクラウド利用組織への侵害事例を踏まえ、ユーザーによる対話サインインだけではなく、バックグラウンドで実施される非対話ユーザーサインインや、連携しているサービスアカウントを管理/モニタリングする重要性について、注意喚起がされています。

Azure ADでIDの利用状況を管理する方法

Azure ADポータルでは、IDがどのように利用されているかを可視化する3つのアクティビティログが提供されています。

  • サインイン:サインインに関する情報と、ユーザーによるリソースの使用状況
  • 監査:ユーザーやグループの管理、テナントのリソースに適用された更新など、テナントに適用された変更に関する情報
  • プロビジョニング:ITサービス管理プラットフォーム「ServiceNow」でのグループの作成や、グローバル人事システム「Workday HCM」からインポートされたユーザーなど、プロビジョニングサービスによって実行されるアクティビティ

このうち、サインインのアクティビティログでは、Azure ADで利用している各IDを利用したサインインのパターンや、組織全体のサインイン数など、IDのアクティビティに関する情報を確認することができます。従来、確認対象は対話型ユーザーサインインのみでしたが、今は非対話型ユーザーサインイン、非対話型ユーザーのサインイン、サービスプリンシパルのサインイン、およびAzure リソース用のマネージドアイデンティティへのサインインのアクティビティも確認することができるようになりました(2021年5月現在、プレビューとして提供中)。

確認対象

アクティビティの記録を有効にするには、Azure ADの「診断設定」で、「カテゴリの詳細」で「Noninteractiveusersigninlogs」「ServicePrincipalSigninLogs」、「ManagedIdentitySignInLogs」にチェックします。

Azure Sentinelを活用して、より効率の良い分析を

記録されたサインインのアクティビティは、分析して脅威への対策に活用しなければ意味がありません。Azure ADの管理ポータルでサインインアクティビティのレポートをダウンロードしたり、Azure Monitorに接続して分析したりすることができます。

さらに効率良く分析する場合は、「Azure Sentinel」を利用することもできます。Azure Sentinelには、Azure ADのサインインアクティビティを取り込むコネクタが用意されています。これは、Azure Sentinelの管理ポータルで「データコネクタ」の「Azure Active Directory」を追加すると利用できるようになります。このとき、「Azure Active Directory」データコネクタの構成で、現在プレビュー中の3つの追加サインインログも含めるようにチェックを入れてください。

  • 非対話型ユーザーのサインイン
  • サービスプリンシパルのサインイン
  • Azureリソース用のマネージドアイデンティティへのサインイン

また、Azure Sentinelでは、非対話型ユーザーサインインと、対話型サインインの相関関係を分析し、異常や疑わしい活動を検索する24の分析ルールも提供されています。また、新たに提供開始となった非対話ユーザーログインやサービスプリンシパルのサインイン、マネージドIDのサインインによるアクティビティワークブックも提供されています。 このようなワークブックを利用することで、自組織に専門家がいない場合でも、効率良くサインインの分析を行い、対策に役立てることができます。

* * *

連携アプリやタスクの自動化は、クラウドを活用する上で欠かせません。攻撃者は、こうしたクラウド活用の裏で発生するさまざまな認証に注目し、常に隙(管理漏れが発生している部分)を狙っているのです。

各サインインアクティビティの種類を把握し、自組織での利用状況、そして相関関係などから分析を行って、リスクに対応することがますます重要になってきています。自組織で、対話的なユーザーのサインイン以外もモニタできているかどうか、また、それらのアクティビティも含めて脅威を分析できているかどうか、いま一度確認することをお勧めします。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

SlackがOkta、JDDとリモートワークでのセキュリティについて座談会を開催

SlackがOkta、JDDとリモートワークでのセキュリティについて座談会を開催

Slack Japanは、オンラインで米Slack Technologies CSO(最高セキュリティ責任者) ラーキン・ライダー氏と、Okta Japan 代表取締役社長 渡邉崇氏、三菱UFJフィナンシャル・グループのJapan Digital Design(JDD) CTO 楠正憲氏の3者によるセキュリティについての座談会を開催した。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Slackで始める新しいオフィス様式
Google Workspaceをビジネスで活用する
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
次世代YouTubeクリエイターの成長戦略
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る