LoginSignup
3
1

More than 1 year has passed since last update.

@NIWAnatsuko(丹羽 奈津子)

Azure ADによる適応型アクセス制御の現在

Last updated at Posted at 2021-11-24

適応型アクセス制御とは

セキュリティではよく認証認可という言葉を聞くと思いますが、認証と認可(アクセス制御)の違いはご存じでしょうか?一般的には認証と認可(アクセス制御)は以下のように定義されています。

認証:ID に紐づいたパスワード/生体情報などで本人性を確認すること
認可(アクセス制御):認証された本人であることを前提にリソース(サービス/データなど)に対する権限をコントロールすること

当記事では認可(アクセス制御)の分野で注目されている「適応型アクセス制御」について解説します。
従来アクセス制御はユーザ属性やロールを元に実行されていました。それに加えていわゆるコンテキスト情報を元に制御する技術があります。アクセス元の IP アドレスやデバイスの状況といった静的なコンテキスト情報を元に判断するリスクベースアクセス制御(リスクベース認証と呼ぶベンダーもあり)に加え、最近では AI による脅威分析などを組み込んだ動的なリスク判定も可能となっています。動的なリスク判定を含むアクセス制御を適応型アクセス制御と呼んでおり、NIST SP 800-207 ゼロトラストアーキテクチャにおいても必要な機能と記載されています。
図1.png

Azure Active Directory における適応型アクセス制御

Azure Active Directory (以降 Azure AD) ではリスクベースアクセス制御を「条件付きアクセス」と呼んでいます。 Azure AD Premium Plan 1(以降 P1 ) の条件付きアクセスでも、静的なコンテキスト情報によるリスクベースアクセス制御は可能で、社内ネットワークからのアクセスか否か、組織のポリシーに準拠したデバイスか否かなどの条件で、多要素認証の要求/アクセスのブロックを設定できます。更に Azure AD Premium Plan 2 (以降P2)に含まれる Identity Protection を利用することで、より高度な適応型アクセス制御が可能となります。
Azure AD Identity Protection では、ID にかかわるリスクを「サインインリスク」「ユーザーリスク」に分類し、一日約 6.5 兆件検知される様々なシグナルを機械学習で分析することで高度なリスク判定を可能としています。具体的には下表のイベントを検出し、そのリスクスコアに応じた対処をアクセスポリシーに組み込むことが可能です。
図2.png
参考リンク:リスクとは Azure AD Identity Protection | Microsoft Docs
https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/concept-identity-protection-risks

アクセスポリシーは独自に設定することも可能ですし、プレビュー(2021/11時点)として提供されているテンプレートを元にすることもできます。Identity Protection に関連するものとしては以下の2つのテンプレートが提供されています。
Azure Portal から、条件付きアクセスのポリシーを作成する時に、「テンプレートから新しいポリシーを作成」を選択、テンプレート カテゴリの選択は 「ID」を指定してください。
図2-1.png
図2-2.png

Azure AD Identity Protection によるリスクの自動修復

Azure AD Identity Protection は、検知されたリスクに対しポリシーを強制するだけでなく、修復の自動化まで組み込むことができます。例えば以下のシナリオでは不正アクセスと思われるログイン試行をブロックし、次回正規ユーザがアクセスした際に多要素認証を要求した上でパスワード変更を強制することで、攻撃者が入手したパスワード情報を意味のないものにすることも可能です。更に Sentinel や Splunk を始めとした SIEM (Security Information and Event Management) やSOAR (Security Orchestration, Automation and Response)ソリューションを使うことで、アプリケーション含めた広範なログ分析や、より複雑な対応を組み込むことも可能です。
図3.png

まとめ

条件付きアクセスとAzure AD Identity Protection を使うことで最新の適応型アクセス制御を容易に組み込み、ID にかかるセキュリティの高度化を図ることが可能です。また対応を自動化することで、高いセキュリティレベルを維持しつつ運用コストの最適化にもつながります。在宅勤務などでリモートアクセスが増加している場合には、すべてのシステム利用の起点となる認証アクセス制御の強化を検討してみませんか?

次回の記事では「 パスワードレスってどんな技術 ? 」を掲載する予定です。

投稿内容は私個人の意見であり、所属企業・部門とは関係ありません。

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1