はじめましての投稿になります。私は普段、パートナーと協業する部門のセキュリティ担当なので、セキュリティの運用監視を外部に委託する(いわゆるSOC:Security Operation Center というやつです)際の相談をよく受けます。
その時「外部組織のSOC operator やSecurity Analystのアカウントをどう管理したらいいか?」という話になるのですが、
今回はその解の1つとしてMicrosoft Entra Identity Governance を使ったアカウント管理を紹介したいと思います。
やってみたこと
Microsoft には デバイスの脅威を検知・対処するサービスとして Microsoft Defender for Endpoint (以下、MDE)を用意しています。
このMDEを対象としてセキュリティの運用監視を委託した会社(以下、委託元)と運用を委託された会社(SOC事業者、以下、委託先)の間のアカウント管理を実装していきましょう。
Microsoft Entra Identity Governance を使うことで、委託先からアクセスするSOCオペレーターのアカウントを細かく管理することができます。
必要なライセンス
この機能を使うためには、Microsoft 365 ・ Azure Active Directory のライセンスを準備する必要があります。
委託元で用意するライセンス
- Microsoft Defender for Endpoint を利用できるライセンス
- Azure Active Directory Premium Plan 2
Microsoft Entra Identity Governance を利用するために必要となります。
どういう役割の方にライセンスを割り当てるか、詳細はこちらに記載されているので試してみたい方はぜひご一読ください。
委託先で用意するライセンス
ライセンスの種類は問いません。Azure Active Directory を作成してそこにSOC Operetor のアカウントを作成しましょう。
(ライセンスの種類は問いません、と記載しましたが実際はいくつか考慮する点があります。そちらは最後にまとめます。)
お察しの方もいらっしゃるかと思いますが、委託先のSOC Operatorは委託元のゲストユーザーとして稼働します。ゲストユーザーに関するライセンスの考え方はこちらに記載されておりますのでご確認ください。
基本的には委託先のゲストユーザーのコストは委託元が負担する、と思っていただければよいかと思います。(2022年12月時点での情報)
受け入れ準備を整えましょう
(委託元での作業) Azure AD で グループを作成する
さて、いよいよ作業に取り掛かります。ここで2つのグループを作成しましょう。
まず委託先のSOC Opererator が参加するセキュリティグループを作成します。
作成時にAzure AD ロールとメンバーの割り当ては不要です。
もう1つグループを作りましょう。このグループは委託先のSOC Opererator の参加を承認するグループです。アクセスを要求してきたSOC Operetatorに対し、管理権限を承認するユーザーのグループです。
こちらのグループにはあらかじめ承認するメンバーを割り当てておきます。ここでは「Hiroko Sato」さんをメンバーに追加しました。
(委託元での作業) Microsoft Defender for Endpoint での作業
Roleをグループに割り当てる
では続いて、MDE側でRoleをグループに割り当てていきます。この作業はMicrosoft 365 Defender で行います。
権限のあるアカウントで作業してください。
[設定] - [エンドポイント] の順に進みます。
[ロール] - [アイテムを追加] の順に進みます。
この画面でアクセスしてくるSOC operator に渡す権限を設定します。
一つ前の作業で作成したSOC Opererator が参加するグループとの紐づけを行い、[保存]を選択します。
デバイスグループをグループに割り当てる
MDEの監視対象となるデバイスをグループに割り当てます。
[デバイスグループ]から[グループ解除されたデバイス(固定)]を選択します。このデバイスグループは固有のグループが指定されていないデバイスが所属しています。
[ユーザーアクセス]の[Azure ADユーザー グループ]のタブから一つ前の作業で作成したSOC Opererator が参加するグループとの紐づけを行います。
これでこのグループに所属するメンバーは委託元のテナントのMDEを運用監視することができるようになります。
(委託元での作業) Microsoft Entra Identity Governance で アクセス パッケージを作成する
さて、入れ物になるグループと管理権限の付与までは完了しましたが、このグループに所属するメンバーは現時点では誰もいません。
ここからは、Microsoft Entra Identity Governance を使った権限の割り当てを行っていきましょう。
委託先の組織を接続する
まず最初に委託先が委託元にアクセスできるようにするために、組織の接続を行います。
[Identity Governance]の管理画面を開いて、[接続されている組織の追加] を選択します。
名前と説明を記載します。
委託先のAzure AD ディレクトリを検索し、登録します。
構成を確認し、委託先の組織を接続します。
アクセス パッケージを作成する
アクセス パッケージとはアクセス権を持つユーザーの有効期限や承認者の指定、アクセス レビューを行うためのルールセットです。ここでは委託先のSOC operatorのアカウント ルールを作成していきましょう。
まず、新しいカタログを作成します。
ここで[外部ユーザーに有効]を選択します。
作成したカタログを選択し、アクセスパッケージを作成します。
アクセス パッケージの名前を説明を入力します。
[リソース]タブで委託先のSOC Opererator が参加するセキュリティグループを選択します。ここでアクセス パッケージと対象になるグループの関連付けを行います。
アクセス パッケージの具体的なルールを指定します。まず外部ユーザーと対象となる外部組織を選択します。ここでは先に設定していた委託先の組織を選択しています。
次にアクセスを許可する承認者をここで設定します。
ここではアクセスの有効期限とアクセスレビューを設定します。
ここまででアクセス パッケージの作成は完了です。[作成]をクリックし、アクセス パッケージを作成してください。
アクセスパッケージには、アクセスを要求するアカウントの接続先が記載されています。委託元はこのURLを委託先に伝えてください。
アクセス権の要求から承認まで
(委託先での作業)アクセス権を申請する
ここからは、委託先(SOC Operator)側の作業となります。
SOC OperatorになったTaro Yamada さんは仕事として委託元のテナントにアクセスを試みます。アクセス先のURLは委託元から伝えられたURLになります。
Taro Yamada さんは委託先のドメインに作られたアカウントを使ってサインインを試みます。ここで本人確認を行うのは委託先のドメインになります。
Taro Yamadaさんは委託元のドメインに入ってアクセスを要求します。
(委託元での作業)アクセスを承認する
ここからは、委託元側の作業となります。
承認者として指定されたグループのメンバーにメールが届きます。メールの内容からTaro Yamadaがアクセスを要求していることがわかるので、ボタンをクリックして承認画面を表示させます。
承認者は内容を確認し、承認を行います。
(委託先での作業)申請結果の確認
SOC operator の Taro Yamadaさんが再びアクセス画面に行こうとすると上の画面が表示されました。これは委託元ドメインでどういったアクセスが行われるかという確認と承諾になります。
要求の履歴を確認します。ここでTaro Yamada さんは自分の要求が承諾されたことがわかります。
(委託先での作業)委託元のMicrosoft Defender for Endpoint へのアクセス
ここまでくればあと一息です。委託先のSOC operatorであるTaro Yamada さんは委託先のMicrosoft 365 Denfer にアクセスを試みます。
委託先のMicrosoft 365 Defender にアクセスするためには、URLでhttps://security.microsoft.com?tid=customer_tenant_id を指定します。テナントIDは委託元のテナントIDになります。
Taro Yamada さんは委託先のAzure ADに作成されたアカウントで委託元のMDEの運用管理作業を行うことができるようになりました。
まとめ
Microsoft Entra Identity Governance を使う理由
ここまで内容を追いかけてみて「直接Azure AD上で委託先のアカウントをゲストユーザーとして登録すればいいのでは?」と思われた方もいらっしゃるかと思います。確かにそちらの方法でも委託先のアカウントでMDEを運用することは可能です。
しかし運用者が数人のうちはそれでもよいのですが、SOC operatorや運用担当者が増えると毎回ゲストユーザーを登録する作業は煩雑になるかと思います。また委託先の人事異動やSOC オペレーターの退職に伴い、ゲストユーザーの削除・登録が発生することを考えると委託元のアカウント管理者にかかる負荷がかかることが容易に想像されます。
委託元が静的にゲストユーザーを登録することをやめて、委託先の運用担当者自身がアクセスを申請することで、アカウント管理者側での作業負荷を軽減することが可能になります。
この話の詳しい内容がこちら に紹介されていました。とてもわかりやすく紹介されておりますので気になった方はぜひご覧ください。
SOC事業者 (委託先) で気を付けたほうがよさそうなこと
- 委託先のSOC operatorを認証するのは委託先のAzure AD
流れからもわかる通り、SOC Operatorは委託先のAzure AD側で認証を行います。したがって、委託先の本人確認に問題があると不正アクセスのリスクが高まります。このリスクを軽減するためには委託先側で多要素認証を使って認証強度を高める、特定の場所以外からのアクセスを禁止する等を実施することが求められます。