初めに
クラウドでシステムを構成するにあたって、ゼロトラストセキュリティを組み込むことが一般的になってきました。その中でも、EntraIDの設定は非常に重要です。今回はそのEntraIDで構成していくゼロトラストセキュリティについて学んでいきます。
EntraIDとは
EntraIDとは、Azureにおけるアクセス管理やID管理を包括的に行う仕組みです。そのうち、今回はゼロトラストセキュリティとして以下2点の設定を組み込むことを推奨とします。
- 多要素認証
- リスクベース認証
多要素認証(MFA)
言わずもがな、アカウントを発行したら多要素認証の設定をONにするようにしましょう。多要素認証とは、「知識情報」「所持情報」「生体情報」の組み合わせで認証を行う認証方法です。例として、銀行ATMではキャッシュカード(所持情報)と認証パスワード(知識情報)の組み合わせがマッチした場合のみ、口座の利用ができるようになっております。
ここでは、多要素認証の中でも、「生体認証」を活用することを強くお勧めします。指紋認証であれば、他人需要率(誤って他人の指紋で認証してしまう確率)は10万分の1と言われています。標的型攻撃が大きなリスクとなってきている現代においては、この他人需要率であれば認証が正面から突破されることはほぼ100%ありえないでしょう。
多要素認証の設定方法については、以下をご確認ください。
MS Learn | チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する
リスクベース認証
ゼロトラストの考え方において、全てのアクティブなユーザーを疑うことになります。過去の信用や行動を分析して対象のユーザーが信頼できるユーザーかどうかを判断することが可能です。この理想論を実現するのがリスクベース認証です。リスクベース認証をONにしておくことで、「普段と違う場所からのログイン」や「匿名IPアドレスからのログイン」などを検知してアクセスを拒否することが可能です。
例えば、普段は日本国内からしかアクセスしていないユーザーが事前に何の報告もなく急に南米から通信してくれば、怪しいことは明白です。そんなリスクベースの設定方法は以下になります。
MS Lern | ユーザー サインインのリスク検出を使用して、Microsoft Entra 多要素認証またはパスワード変更をトリガーする
あとがき
ゼロトラストセキュリティを実現するためのAzureのサービスとして、IntuneやマネージドID、Application Proxyなどほかにも様々なものがあります。またおいおい書いていきます。