Microsoft Entra ID(旧称Azure Active Directory)といったクラウドサービスについて、セキュリティからデータのバックアップまでのすべてをMicrosoftが実施してくれると思い込んでいる人が大勢います。実際には、顧客である組織にも特定の責任があります。Microsoft責任共有モデルは、Microsoftと組織のそれぞれの役割について定義する基本的なフレームワークです。
本ブログでは、責任共有モデルについて知っておくべきことをすべて掘り下げ、主要なコンポーネントに関するMicrosoftと組織の役割分担について説明します。また、貴社のMicrosoft Entra IDデータ保護戦略においてこのモデルを利用するための主要なプラクティスや、Veeamの製品によって保護上のギャップを解消する方法についても説明します。
責任共有モデル
Clik here to view.
クラウドベースのSaaS(Software-as-a-Service)ソリューションをビジネスに導入する方向で業界がシフトするのに伴い、責任共有の概念がこれまで以上に重要になっています。Microsoftの役割と貴社の役割を十分に把握することは、Entra IDテナントを保護するための基礎と言えます。では、責任の分担について見ていきましょう。
主な責任
Clik here to view.
Microsoftの責任
Entra ID環境におけるMicrosoftの主な役割は、プラットフォームのアベイラビリティと運用上の整合性の維持に関連するものです。これは、インフラストラクチャのグローバル運用、ユーザーの適切な認証、アプリケーション間でのアクセスを確保することを意味します。Microsoftは、クラウドプロバイダーとして物理ホスト、ネットワーク、データセンターをバックエンドで管理します。
お客様の責任
一方で、IDライフサイクル、アクセスポリシー、ガバナンスの管理は貴社の主な責任となります。クラウドベースのプラットフォームであっても、環境内のIDの設定と管理については組織が引き続き責任を負います。
では、お客様のデータはどうでしょうか?SaaSアプリケーションに関するよくある誤解の一つに、「クラウドベースとは完全に保護されていて安全であることを意味する」というものがあります。実際にはそうではありません。データを処理するプラットフォーム自体はMicrosoftによって管理されますが、データのアベイラビリティ、整合性、適切な使用については貴社の責任となります。Entra IDデータの回復力を維持することは、IDの適切な管理と設定を全面的にサポートしてデータインシデントから保護するうえで重要です。
データを処理するプラットフォーム自体はMicrosoftによって管理されますが、データのアベイラビリティ、整合性、適切な使用については貴社の責任となります。
支援テクノロジー
Clik here to view.
Microsoftの責任
Microsoftにより、Entra IDプラットフォームには、冗長性とフェイルオーバー機能を備えたインフラストラクチャを使用してプラットフォームのアベイラビリティを確保するための機能が多数搭載されています。しかし、プラットフォームをサポートするこれらのテクノロジーはEntra IDデータには対応していません。たとえば、冗長性により、ユーザーによる変更はすべてのレプリカで複製されます。このため、あるバージョンでミスがあった場合、それが他のすべてのバージョンに伝播します。
また、Microsoftではサービスの継続性を保証するために、堅牢なバックアップ認証システムを維持することで、Entra IDプラットフォームの回復力に多額の投資を行っています。こうしたテクノロジーは、プラットフォームを維持してスムーズな運用を継続するうえで非常に効果的です。しかし、Entra IDテナントの保護に関しては、問題の発生時にもビジネス継続性を確保できる安全策を導入することが重要です。
お客様の責任
MicrosoftはEntra ID向けに継続なアベイラビリティを確保できるプラットフォームを提供していますが、そこからは貴社が主導しなければなりません。条件付きのアクセスポリシー、ロールの割り当て、IDに関するその他の設定は、貴社のセキュリティ要件に合わせて調整した場合に限り、初めてその真の効果を発揮します。
それでも、復元がうまくできなければ、どんなに慎重に検討された設定でも脆弱であることに変わりはありません。意図せぬ削除が一件でも発生すると、ビジネス継続性が著しく損なわれかねません。
「しかし、ごみ箱を使った場合はどうでしょうか?それならEntra IDデータを復元できるはずです」
ここに落とし穴があります:Entra IDのネイティブのごみ箱では、「ソフト削除」されたアイテムの復元が30日間だけ許可されます。これは十分な時間のように思えるかもしれませんが、Microsoftの2024 Defense Reportによると、データインシデントを検出して解決するのにかかる期間は平均207日とのことです。ネイティブのごみ箱は保持期間が限られているため、潜在的な問題を特定したときには、すでにデータを復元できなくなっている可能性が極めて高くあります。そのため、重要なデータをすべて手動で再構築する必要があり、これによって大きな遅れが生じます。「ごみ箱は基本的な保護手段ではなく、復元計画の一部である」というのはよくある(そしてリスクの高い)誤解です。また、設定ミスに対してネイティブのポイントインタイムリストアは有効でないため、設定ミスについては手動で適切な状態に戻す必要があります。ほとんどの場合、Entra IDのバックアップがないと、削除や設定ミスの修正に時間がかかるだけでなく、エラーが発生しやすい状態で作業することになります。
Clik here to view.
Microsoftが責任共有モデルに則って自社が提供するインフラストラクチャのバックアップを実施しているように、貴社でも同じことを行う必要があります。Microsoftが推進する復元力のベストプラクティスでは、組織がテナントを機能する状態にリストアするためのプロセスを積極的に策定することを推奨しています。この最適なレベルのEntra IDデータの復元力を達成するには、適切なバックアップソリューションが必要になります。
セキュリティ
Clik here to view.
Microsoftの責任
セキュリティに関しては、Microsoftは自社のデータセンター、ネットワーク、Entra IDプラットフォームを保護する責任を負っています。さまざまな保護機能を活用して、サーバーへの分散型サービス拒否(DDoS)といった攻撃を防いでいます。MicrosoftはEntra IDデータに対する限定的な暗号化を提供しているものの、これはデータがAzureデータセンター内で保存されているときに限ります。
お客様の責任
組織のセキュリティ上のギャップを解消し、ユーザーの識別情報を保護するのは貴社のIAM戦略次第です。これには、転送中のデータのさらなる暗号化と、Microsoftから提供される転送後の暗号化キーの管理が含まれます。さらに、保存されているIDと関連するID設定を安全に保つのも組織の責任です。Entra IDのデータ保護を最大限に高めるには、セキュリティギャップを解消する包括的なバックアップソリューションを検討する必要があります。
規制
Clik here to view.
Microsoftの責任
Entra IDコンプライアンスの管理におけるMicrosoftの役割はプラットフォームに関する規制の保守です。Microsoftではバックエンドにおけるアプリケーションのコンプライアンス維持を保証しますが、貴社データのコンプライアンスを維持する責任は負いません。
お客様の責任
Entra IDについては、Microsoftがデータ処理者であり、貴社がデータ管理者となります。お客様は、IDデータの収集、使用、保存、保護の方法を規定する業界固有の規制や内部ポリシーを遵守する責任を負います。また、保持ポリシーの管理や監査目的のログのエクスポートも、組織の直接の責任となります。Entra IDバックアップを使用すればEntra IDログを簡単に取得できるため、監査のための準備が合理化されたプロセスになります。これにより、監査の直前に慌てて必要なデータを収集する必要がなくなります。
Entra ID責任共有の例
Entra IDデータ所有者としての組織の役割を十分に理解することは、誤解を防いでセキュリティギャップを解消し、責任共有モデルをうまく活用するうえで非常に重要です。MicrosoftはEntra IDを通じて便利なツールを提供していますが、完全なバックアップと復元のソリューションとしては不十分です。この責任共有モデルが実際にどのようなものであるかの理解を深めるために、アイデンティティデータ保護戦略における脆弱性が明らかになるいくつかのシナリオをご紹介します。以下の例は、Microsoft Entra IDのネイティブ保護のギャップと、ビジネス継続性とコンプライアンスのための追加の手順が必要な理由をそれぞれ示しています。
削除:Microsoft Entra IDオブジェクトが偶発的または悪意のあるアクターによって削除されると、その影響によって特定のビジネス機能が停止する可能性があります。
例:Microsoft 365グループが誤って削除され、このグループ内のユーザーが最終的に共有メールボックス、Teams、SharePointサイトにアクセスできなくなります。IT管理者が問題を見つけた時点で30日間のソフト削除期間が過ぎており、グループオブジェクトは完全に消失しました。バックアップがないと、グループおよび関連する他のすべてのポリシーのリストアに多大な時間がかかります。
早期に検出してグループをリストアできたとしても、ロールの割り当て状況などの関連する依存関係の一部はごみ箱に保持されず、すぐに復元不能になります。そのため、機能上のギャップを解消するためには手動による再設定が必要になります。
設定ミス:Entra ID環境に新しい設定を加える際に、Microsoftでは、変更の適宜監視と記録はお客様側の責任であることに言及しています。理想的には、これらのプラクティスを実施することで設定ミスのリスクが軽減されますが、事故や外部からの脅威といったリスクが残ります。
例:サイバー攻撃により、悪意のあるアクターが貴社のEntra ID環境にアクセスします。侵入後に条件付きのアクセスポリシーが再設定され、攻撃者を除くすべてのユーザーがブロックされます。正当なユーザーと管理者が貴社の環境からロックアウトされ、しかもどの程度の期間かも不明です。IDベースの攻撃は毎日6億件以上発生しており、こうしたシナリオはあらゆる組織にとって現実的な脅威となりつつあります。
設定に関してはネイティブのバージョン管理機能やロールバック機能がないため、手動で再設定して元に戻す必要があります。このプロセスにより、インシデントに応じた規模のダウンタイムが生じる場合があります。上記のような状況で、アクセス権を回復するまでの時間はさまざまであるため、組織は活動を長期間停止しなければならない可能性があります。また、組織が緊急用アカウントを準備していない場合は、再設定できるようになるまでに、Entra ID環境にアクセスするだけで数日かかることが予想されます。 Microsoft Entra IDにネイティブツール以上の保護が必要な理由については、「Entra IDのバックアップが必要な6つの理由」をご覧ください。
Entra ID責任共有のベストプラクティス
Entra IDに関するお客様側の責任について、MicrosoftではEntra IDデータ戦略のベストプラクティスを示しています。
- Entra ID環境のスナップショットを定期的に作成する:これは、データ障害の発生時にテナントを「信頼できる良好な状態」に復元するためのドキュメントを維持するうえで重要です。
- 変更と再設定を緊密に監視する:不正な変更や意図しない変更を検出するために、監査ログをエクスポートして監視します。監視は最初のステップですが、Entra IDバックアップがなければ、ほとんどの場合は不要な変更をロールバックできません。
- リストアを定期的にテストする:Microsoftでは、復元プロセスをテストして、解決までの時間と発生する可能性のある課題について理解を深めることを推奨しています。当然ながら、これは、サードパーティのバックアップソリューションなど、Entra IDデータを安全な場所に保存していることを前提としています。
Clik here to view.
Veeamにより組織の責任管理を容易にする方法
これまで、Microsoft Entra IDの責任共有モデルのしくみに加え、ネイティブツールのみに依存することで、Identity and Access Management戦略に重大なギャップが生じる可能性がある理由について説明してきました。
こうした状況で役立つのがVeeam Data Cloud for Microsoft Entra IDです。Veeamが提供するこのクラウドベースのEntra IDバックアップソリューションは、Entra IDに特化したバックアップと復元機能を提供し、Entra IDデータの保護を簡素化します。Veeamなら、データインシデントや厄介なコンプライアンスの問題に直面しても、ビジネス継続性を容易に維持できるよう支援します。また、このVeeamソリューションを通じてMicrosoft 365データを保護することも可能です。
それぞれの責任
- Microsoft:プラットフォームのアベイラビリティを確保し、バックエンドインフラストラクチャを保護して、セキュリティと復元の組み込み機能をいくつか提供します。
- 貴社:アクセスポリシーを設定してIDを管理し、潜在的な脅威を監視して不要な変更から保護します。
- Veeam Data Cloud for Microsoft Entra ID:包括的なバックアップ、オブジェクトのきめ細かい復元、設定とオブジェクトの長期保持を提供することで、貴社のIDデータ戦略を強化します。
Veeam Data Cloud for Microsoft Entra IDは実績あるパートナーシップを基盤として開発されました。VeeamとMicrosoftはMicrosoft環境にデータの回復力を取り入れるべく長年にわたって協力してきており、このたび、そのパートナーシップが拡大しました。
Entra IDの保護はほんの始まりに過ぎません。ビジネス全体に対する包括的な保護を提供するVeeam Data Cloudでは、Microsoft 365やSalesforceなどのその他の重要なワークロードも保護できるため、データ回復力戦略への統一されたアプローチが実現します。
Veeam Data Cloud for Entra IDに備わった機能の詳細については、こちらをクリックしてください。
本ブログと併せて、Microsoft 365責任共有モデルブログもぜひご覧ください。
The post Entra IDの責任共有モデル appeared first on Veeam公式ブログ - 仮想化技術に関する最新情報.