Skip to content

Commit

Permalink
Merge pull request #840 from jpazureid/juntakata-security-defaults-up…
Browse files Browse the repository at this point in the history
…date

Update security-default-2022.md
  • Loading branch information
juntakata authored Nov 16, 2023
2 parents 0661b27 + c2b72d3 commit 246f849
Showing 1 changed file with 7 additions and 17 deletions.
24 changes: 7 additions & 17 deletions articles/azure-active-directory/security-default-2022.md
Original file line number Diff line number Diff line change
Expand Up @@ -14,7 +14,7 @@ tags:
> 2022 年 6 月 15 日更新: 影響を受ける可能性があるテナントに関しての情報を更新しました。
> 2022 年 9 月 1 日更新: "ユーザーごとの Azure AD Multi-Factor を利用している" テナントも対象となるように方針が変更されたため情報を更新しました。
> 2022 年 11 月 9 日更新: テナントの作成日による影響の有無について情報を修正しました。
> 2023 年 11 月 11 日更新: 影響を受ける可能性があるテナントに関しての情報を更新しました。
> 2023 年 11 月 15 日更新: 影響を受ける可能性があるテナントに関しての情報を更新しました。
こんにちは。Azure & Identity サポート チームの栗井です。

Expand All @@ -26,10 +26,6 @@ tags:

## この記事の要点は ?

**2020 年 11 月 (*) より前に作成された以下の条件を満たす Azure AD テナントにおいて、「セキュリティの既定値群」の有効化を促すポップアップが表示されるようになります。これは 2022 年 6 月末より順次進められています。<span style="color: red; ">ポップアップが表示されたテナントでは 14 日経過したタイミングで 「セキュリティの既定値群」 が自動的に有効になる見込みです。自動的に有効になることを避ける必要がある場合、「セキュリティの既定値群」を一度有効にし、再度無効にしてください (対処方法を後述しています)。</span>**

(*) 対象のテナントは 2019 年 10 月以前に作成された Azure AD テナントとしていましたが、 2019 年 10 月以降に作成したテナントでも 2020 年 11 月までの間は、セキュリティの既定値群が有効となっていないテナントも存在しておりました (2019 年 10 月 - 2020 年 11 月の期間で作成されたテナントで最初からセキュリティ既定値が有効であったテナントも同様に存在します)。影響を受ける可能性があるテナントとして 2020 年 11 月以前に作成されたテナントである旨、本ブログ記事を訂正しました (2022/11/9 更新)。

影響を受ける可能性があるテナントは、2020 年 11 月以前に作成された Azure AD テナントのうち、下記すべてに該当するテナントです。

- 「条件付きアクセス ポリシー」を利用していない
Expand All @@ -49,11 +45,9 @@ tags:
4. レガシ認証プロトコルをブロックします。
5. Azure portal などへのアクセスに多要素認証を要求します。

参考: [Azure AD のセキュリティの既定値群](https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/concept-fundamentals-security-defaults)

機能の詳細については参考の公開情報をご覧ください。
機能の詳細については [Azure AD のセキュリティの既定値群](https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/concept-fundamentals-security-defaults) の公開情報をご覧ください。

## 前提 2 : 自分のテナントでは、セキュリティの既定値群が有効化されている ?
## 前提 2: 自分のテナントでは、セキュリティの既定値群が有効化されている

セキュリティの既定値群の現在の設定値は、Azure ポータルの下記画面にて確認できます。

Expand All @@ -65,7 +59,7 @@ tags:

なお 2019 年 10 月 22 日以降に作成された Azure AD テナントでは、テナントを作成した時点で、セキュリティの既定値群が有効にされています。

## 本題: 2019 年 10 月以前に作成された一部のテナントでは、管理者に対して「セキュリティの既定値群」の有効化を促すポップアップが表示されるようになる予定です。
## 本題: 上記の「この記事の要点は?」の節にある条件を満たすテナントでは管理者に対して「セキュリティの既定値群」の有効化を促すポップアップが表示されるようになる予定です。

既に多くのお客様環境において「セキュリティの既定値群」や「条件付きアクセス ポリシー」を利用した MFA をご活用いただいております。しかしいずれも有効になっていないテナントの場合、セキュリティ観点では安全な状態とは言えません。このようなテナントを対象に、**2022 年の 6 月末を目安に、セキュリティの既定値群の有効化を促し、その後設定を有効にする予定**です。

Expand All @@ -82,7 +76,7 @@ tags:
### ポップアップが表示された場合どうなるか

- 後述する 「再無効化」 の対処をしない場合、14 日経過したタイミングで 「セキュリティの既定値群」 が自動的に有効になる予定です。(一部のテナントに対しては、自動的に有効にするのではなく、ポップアップでの選択肢としても引き続き無効としたままとするものを用意する予定ですが、無効のままとしたい場合には、再無効化の作業を事前に実施しておくことが確実です。)
- 「セキュリティの既定値群」 を無効にしておく必要がある場合、 「セキュリティの既定値群」を一度有効にし、有効にした後で再度無効にすることで、「セキュリティの既定値群」の有効化を促すポップアップは表示されなくなり、また、セキュリティの既定群の自動的な有効化も避けることができます。(この手法を本ブログでは **「再無効化」** と呼称しています)
- 「セキュリティの既定値群」 を無効にしておく必要がある場合、 「セキュリティの既定値群」を一度有効にし、有効にした後で再度無効にすることで、「セキュリティの既定値群」の有効化を促すポップアップは表示されなくなり、また、セキュリティの既定群の自動的な有効化も避けることができます。(この手法を本ブログでは **「再無効化」** と呼称しています)
- 再無効化において、一度有効にしてから無効に再度変更するまでに特に間隔を空ける必要はありません。
- 再無効化はポップアップが表示される前に実施しても効果が見込めます。しかし、タイミング次第では再無効化を事前に実施していてもポップアップが表示される可能性があります。この場合は、ポップアップが表示されたのちに再度、再無効化を実施ください。

Expand All @@ -96,7 +90,7 @@ tags:
6. [セキュリティの既定値群の有効化] トグルを [いいえ] に設定します。
7. [保存] を選択します。

## 補足 1: セキュリティの既定値群を有効化すると、具体的にどうなるの
## 補足 1: セキュリティの既定値群を有効化すると具体的にどうなるの

セキュリティの既定値群の機能については、前述の項目「前提 1 : そもそも「セキュリティの既定値群 (セキュリティ デフォルト)」とはどんな機能?」の通りですが、ユーザー / 管理者目線で発生する具体的な差異について、補足します。

Expand All @@ -123,7 +117,7 @@ MFA の方法を一切登録していないユーザーに対して、登録が

そもそもなぜ、セキュリティの既定値群の有効を進めるような施策が実施されるのに至ったのか?その経緯と背景については、冒頭に記載の「Raising the Baseline Security for all Organizations in the World」にてご紹介しております。以下はその抄訳です。

世界中のお客様にご利用いただいている Azure AD においては、日々何全件もの不審なサインインやアカウント攻撃が発生しています。しかし残念ながら現状は、その防御率は 100% ではありません。もし不審なアクセスを防ぐことができずアカウントが侵害されると、お客様の業務影響や情報漏洩などに直結しうる大問題であることは、言うまでもありません。少しでもこのような事態を回避するために、Azure AD の各種設定を活用して、セキュリティ性を高めることは重要です。中でも最も大事なのは、**MFA を有効化すること、そしてレガシ認証を無効化してモダン認証 (先進認証) に完全移行すること**です。
世界中のお客様にご利用いただいている Azure AD においては、日々何全件もの不審なサインインやアカウント攻撃が発生しています。しかし残念ながら現状は、その防御率は 100% ではありません。もし不審なアクセスを防ぐことができずアカウントが侵害されると、お客様の業務影響や情報漏洩などに直結しうる大問題であることは、言うまでもありません。少しでもこのような事態を回避するために、Azure AD の各種設定を活用して、セキュリティ性を高めることは重要です。中でも最も大事なのは、**MFA を有効化すること、そしてレガシ認証を無効化してモダン認証 (先進認証) に完全移行すること** です。

事実、弊社で報告を受けたアカウントの侵害事例のうち 99.9% 以上に対して、MFA が有効化されていませんでした。MFA が有効化されていない場合、パスワードのみでサインインができてしまうということです。パスワードのみによるアカウントの保護は昨今においては非常に脆弱で、パスワード スプレー攻撃やパスワード リスト型攻撃、フィッシングといった脅威における格好のターゲットになります。レガシ認証も同様の理由 (= パスワードのみの認証) で、攻撃者にとってはとても都合のいいセキュリティ ホールです。ただし残念ながら、全ての組織において IT セキュリティ専門のチームが存在している状況ではありません。そのため MFA という存在自体を知らなかったり、知っていても導入するきっかけが無い場合もあるかと存じます。そのような状況を改善するために、2019 年 10 月以降に作成された Azure AD テナントに対しては、既定で「セキュリティの既定値群」の設定が有効にされています。この機能は 3000 万以上の組織にてご活用いただいています。これらの組織では、全体の Azure AD 利用者に比べ、80% ものアカウント侵害を防いでいる実績があります。

Expand All @@ -144,10 +138,6 @@ Q2. 事前通知はグローバル管理者へのメール、ならびに Micros

A2. はい。Azure ポータル上での表示も併せて行われる見込みです。
***
Q3. CSP のパートナーのテナントでも表示されますか?

A3. いいえ、表示されません。 またこれらのテナントでは自動的にセキュリティの既定値群が有効になることもありません。
***

## 関連リンクまとめ

Expand Down

0 comments on commit 246f849

Please sign in to comment.