本セッションは、ID-based Securityを実践する上でおさえておくべき認証技術/規格の概要とマイクロソフトのクラウド型認証サービスであるAzure Active Directoryの基本サービスやオンプレミスのActive Directoryとの比較などをご説明します。 クラウド環境におけるIDに対する脅威、およびセキュリティ対策なども分かりやすくご紹介します。

1. © 2017 Microsoft Corporation. All rights
日本マイクロソフト株式会社
パートナー事業本部
パートナー技術統括本部
クラウドソリューションアーキテクト
青木祐二
ID-based Security における
中核サービスとしての
Azure Active Directory

3. Active Directory ドメイン
Firewall

4. Active Directory ドメイン
Firewall

5. パスワード連携
OMA-DM
オンプレミス
SAML 2.0
WS-Federation
OpenID Connect
OAuth 2.0
Azure Active Directory の全体像
クラウド上のアイデンティティ プロバイダー
ID
管理
MDM/
MAM/
MCM
認証
Active Directory
ドメイン
ID 同期
SSO
業界標準プロトコル
のサポート
他社 SaaS との ID 連携
Windows Hello
for Business
生体認証
Windows 10
アクセス制御
特権 ID 管理
RBACID 連携
Browser
多要素認証必須
アクセスOK
アクセス不可
セキュリティ
ポリシー
アプリ配布/利用制限
暗号化,
権限追跡
BYOD/CYOD
学内業務
サービス
Azure
Information
Protection
SAML 2.0
WS-Fed.
監査
ﾛｸﾞ解析
ふるまい検知
Azure Machine
Learning
Intune
Subscription
RBAC
…
Proxy
Connector
代理認証
Azure AD Join
多要素認証
ポータル

6. Identity and Access
Management as a Service (IDaaS)
と呼ばれていた

8. Azure Active
Directory
Domain Service
Active Directory
Domain Service
on Cloud (Azure)
主な特徴
• クラウド上に IaaS で
ドメインコントローラーを構築
• 自社データセンターにサーバー
を置かず、システムはすべて
クラウドに置いて運用
• IaaS のため、利用者でOSの
メンテナンスが必要
主な特徴
• Azure AD の付加サービスとして
ドメインコントローラーを利用
• IaaS で AD 構築する場合と比較し、
手間も少なく、OSのメンテナンス
（パッチ適用）なども不要
• スキーマ拡張ができないなど
いくつかの制限あり
Azure Active Directory
主な特徴
• クラウドサービスの統合認証
基盤
• シングルサインオン (SSO)
• クラウドサービスへの
アクセス制限
本日のセッションで扱う範囲

9. Azure VNET
Kerberos
ldap
NTLM
Group Policy
File Server
認証,
アクセス制御
ID/Password
同期
参考情報

10. アプリケーション統合認証
Azure Active Directory の役割
利便性の向上

11. 11
サイバー攻撃は ID 搾取から始まる
200日+75%+

12. 「誰がいつ何をしたのか」
を明確にすることで従業員
と組織を守る
攻撃や事故は複数の事象の
組み合わせで構成され、
それらを結びつけるキーが
「ID」
説明責任を明確にするため
ID (人) を中心にしたセキュリティ基盤が必要

13. オンプレミス
Azure Active Directory

14. ID 管理ポイントの集中化
IT部門人事部門 経理・財務部門 営業部門開発部門
関連会社
海外現
地法人
工場
多要素認証
アクセス制御
ふるまい検知
ログレポート
多数のクラウドアプリケーションを利用し、
ID 管理がバラバラ...
IT部門人事部門 経理・財務部門 営業部門開発部門
工場
海外現
地法人
関連会社
ID の
多重管理
アプリ毎の
アクセス管理
パスワード
使いまわし
情報漏えい
リスク

15. 認証の統合確認が取れているアプリを公開
• 設定がテンプレート化されており、容易に統合
• 設定手順もアプリごとに公開
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-saas-tutorial-list/

16. ID の保護 ID 管理機能の提供
Azure Active Directory Premium の役割
運用管理性の向上安全性の確保
×

17. 17
0%
50%
100%
150%
200%
250%
300%
350%
400%
450%
January February March
Percentof1Q16monthlyaverage
2016
2017
1年前と比較し
300% の増加

18. 18
0%
20%
40%
60%
80%
100%
120%
140%
160%
180%
January February March
Percentof1Q16monthlyaverage
2016
2017
1年前と比較し
44% の増加

19. Azure Active Directory = セキュアな IDaaS
ID 保護に必要な機能を all-in-one で提供

20. 社内 Web アプリ
(オンプレミス)
Active Directory
認証環境
クラウドアプリ
アプリへアクセス
SSO
不正アクセスをリアルタイムで防ぐ
ttack
アプリへアクセス
Azure Active Directory = セキュアな IDaaS
ack
ck
Proxy
Connector
ID 保護に必要な機能を all-in-one で提供
場所による
接続制限
インテリジェント
セキュリティグラフ
なりすまし
検出とブロック
高度な認証+アクセス制御
Attack

21. 社内 Web アプリ
(オンプレミス)
Active Directory
認証環境
クラウドアプリ
アプリへアクセス
SSO
不正アクセスをリアルタイムで防ぐ
ttack
アプリへアクセス
Azure Active Directory = セキュアな IDaaS
ack
ck
Proxy
Connector
ID 保護に必要な機能を all-in-one で提供
場所による
接続制限
インテリジェント
セキュリティグラフ
なりすまし
検出とブロック
高度な認証+アクセス制御
Attack

22. クラウドサービスの信頼度を評価する規格の対応状況
規格 内容 Azure AD A 社
CSA クラウド セキュリティ アライアンス (CSA) の定めた標準のセットに準拠しているかどうか ○ ○
FISMA
脅威に対して連邦機関内の政府情報、運用、資産を保護するための包括的な枠組みを定義する米国の法律である FISMA に
準拠しているかどうか
○ ×
GAAP 会計規則と財務報告の標準のコレクションである GAAP に準拠しているかどうか ○ ×
ITAR 米国武器品目リストにある国防関係の品目やサービスの輸出入を統制する法令である ITAR に準拠しているかどうか × ×
SOC 2
セキュリティ、プライバシー、利用可能性、機密性、処理の整合性についての 1 つ以上の信頼サービス条件に基づく非財
務処理を報告する SOC 2 に準拠しているかどうか
○ ○
SOX
株主と一般大衆を会計ミスと詐欺から保護し、企業の情報公開の正確性を改善することを目的とした米国法である SOX に
準拠しているかどうか
○ ×
SSAE 16 委託会社の財務諸表に係る内部統制に関連する受託業務の内部統制を評価するための基準を満たしているかどうか ○ ○
PCI DSS バージョン このアプリがサポートする PCI-DSS プロトコルのバージョン 3 1
ISO 27018
パブリック クラウド コンピューティング環境において個人を特定できる情報 (PII) を処理し保護するための通常受け入れ
られている統制とガイドラインを制定した ISO 27018 に準拠しているかどうか
○ ×
FedRAMP 米国政府で実施される必須プログラムである FedRAMP に準拠しているかどうか ○ ×
HIPAA
個人を特定できる医療情報の機密性とセキュリティを保護するための標準を定めた米国の法律である HIPAA に準拠してい
るかどうか
○ ×
ISO 27001
組織内の情報セキュリティ管理を開始、導入、維持、改善するための国際的に認められたガイドラインと一般原則を守る
企業を認定する ISO 27001 に認定されているかどうか
○ ×
SP 800-53 連邦政府情報システムにおける推奨セキュリティ対策を実施する際に利用される文書に準拠しているかどうか ○ ×
Safe Harbor 国境を越えたデータ転送のための Safe Harbor フレームワークに準拠しているかどうか ○ ○
DMCA デジタル ミレニアム著作権法 (DMCA) に準拠しているかどうか ○ ×

23. • Azure は、日本初のクラウド セキュリティ ゴールドマークの取得 (外部監査人による ISO 27017 認定)をはじめ、
ISO 27001、ISO 27018、HIPAA、FedRAMP、SOC 1、SOC 2 などの、幅広い国際的および業界固有の
コンプライアンス基準に適合
• Azure DC は、ネットワーク レイヤに人工知能を用いた DDoS/DOS/IDS 機能を標準で備え、不正な
トラフィックを自動検知、遮断することが可能
• マイクロソフトは、サイバークライム センターを運営し、１日５億件以上のトラフィックを分析、マルウェアの
情報/状況を把握するとともに、攻撃元の特定を行い、セキュリティ関連団体、インターポールや各国の
警察機関に情報を提供
• サイバークライム センターは、米国本社の他、日本を含む世界５都市に拠点を展開
世界最高水準のサイバー犯罪対策

24. 24
社内 Web アプリ
(オンプレミス)
Active Directory
認証環境
クラウドアプリ
アプリへアクセス
SSO
不正アクセスをリアルタイムで防ぐ
ttack
アプリへアクセス
Azure Active Directory = セキュアな IDaaS
ack
ck
Proxy
Connector
ID 保護に必要な機能を all-in-one で提供
場所による
接続制限
インテリジェント
セキュリティグラフ
なりすまし
検出とブロック
高度な認証+アクセス制御
Attack

25. 25
Azure Multi-Factor Authentication (Azure MFA)
モバイルアプリ 通話 ショート
メッセージ
承認しますか?
1 4 5 6 7 6
効果：本人確認を強化し、ID の乗っ取りを防止できる

26. 26
アプリにアクセスし、ID / パスワードを入力： 多要素認証が要求される：

27. デバイスの状態
なりすましの可能性
アクセス場所 (社内/社外)
ユーザー
多要素認証
の強制
Azure Active Directory が
アプリへのアクセス条件をチェック
Azure Active Directory
Premium
Microsoft Intune
Microsoft Intelligent
Security Graph
クラウドアプリ
&
オンプレアプリ

28. どのアプリにどこから誰が 許可
ただし…
条件付きアクセス：ポリシーの例
営業部の社員には、社外から営業支援ツールへのアクセスを許可するが、社給スマートフォンが必要
営業 セキュリティ
重視アプリ
生産性
重視アプリ
社外
社内
どのデバイスで
スマート
フォン
PC
なりすましの
可能性が
低い
高い
拒否
多要素認証が必要
会社貸与に準ずる
デバイスであること
デバイスがコンプライアンス
ポリシーに準拠していること
アクセス条件 アクセス可否
※ Office 365 では、アクセスを完全に制御するには ADFS との組み合わせが必要になる場合があります
社外
スタッフ
全ユーザー
(社員)

29. Microsoft IntuneMicrosoft Intune
デバイスの状態チェック
デバイスが Intune (Azure AD) に
登録済み
コンプライアンスポリシーに準拠
脱獄している
Intune に
登録してない
社給デバイスのみアクセスを許可する仕組み
クラウドサービスへアクセスしてくるデバイス (モバイル、PC) の
管理状態を確認
Azure Active Directory Intune

30. 30
効果：サインインに関わる不正な行動がないか確認できる
管理者ポータルから下記が確認可能：
・ユーザー、OS
・アプリケーション
・サインイン成功の可否
・サインイン日時、場所

31. 31
効果：異常な行動や不規則なサインインなどが確認できる

32. 32
効果：異常な行動や不規則なサインインなどが確認できる

33. 社内 Web アプリ
(オンプレミス)
Active Directory
認証環境
クラウドアプリ
アプリへアクセス
SSO
不正アクセスをリアルタイムで防ぐ
ttack
アプリへアクセス
Azure Active Directory = セキュアな IDaaS
ack
ck
Proxy
Connector
ID 保護に必要な機能を all-in-one で提供
場所による
接続制限
インテリジェント
セキュリティグラフ
なりすまし
検出とブロック
高度な認証+アクセス制御
Attack

34. リスクベース認証で不審な
ふるまいをいち早く検出
Azure Active Directory Identity Protection (Azure AD IP)

35. IF
特権ユーザーか?
資格情報が洩れているか?
重要な情報へのアクセスか?
管理されているデバイスか?
マルウエアに感染していないか?
ボットネット経由のアクセスか?
不可能な移動距離かどうか?
身元不明なアクセスか?
High
Medium
Low
User risk
10TB
per day
THEN
多要素認証を要求
アクセス権限の付与
アクセス拒否
パスワードリセットを
強制
******
制限付きアクセス
High
Medium
Low
Session risk
Azure
Bing
OneDrive
Microsoft
Cyber Defense
Operations Center
Microsoft
Cybercrime Center
Xbox Live
Microsoft
Accounts
Skype

36. ID 侵害を可視化するダッシュボード
下記の状況を理解するために必要な情報を提供
• ID が侵害を受けているかどうか
• どのように侵害されたか
• 侵害された ID がどのように使用されたか
ドリルダウン操作でより詳細な情報を把握

37. より高い権限を
もつ ID がほしいな

38. 特権を持つユーザーの可視化
永続化 延長
棚卸（レビュー）
有効時間
設定
削除
特権保有者を健全な状態に維持

39. 特権ロールの設定や利用状況を監査

40. 社内 Web アプリ
(オンプレミス)
Active Directory
認証環境
クラウドアプリ
アプリへアクセス
SSO
不正アクセスをリアルタイムで防ぐ
ttack
アプリへアクセス
Azure Active Directory = セキュアな IDaaS
ack
ck
Proxy
Connector
ID 保護に必要な機能を all-in-one で提供
場所による
接続制限
なりすまし
検出とブロック
高度な認証+アクセス制御
Attack
インテリジェント
セキュリティグラフ

41. メール/ブラウザによる未知の
マルウェアの侵入ブロック
不審な挙動を早期発見し対応
世界規模での行動解析と機械学習を行い脅威の検出、対応、予防
Intelligent
Security
Graph
万一に備えたデバイスの安全性
(暗号化、遠隔からのデータ消去）
不正なデータ
アクセスをブロック
https://www.youtube.com/watch?v=bwT6a_HAZYw

42. ID の保護 ID 管理機能の提供
Azure Active Directory Premium の役割
運用管理性の向上安全性の確保
×

43. エンタープライズ環境で必要な ID 管理とは
• ヘルプデスクサポート
• SaaS アプリの効率的な展開
• 関連サービスの稼働監視や SLA
ヘルプデスク業務
の負荷軽減
アプリケーション
の効率的な展開
システム管理者の
負荷軽減

44. • ヘルプデスク対応 1件あたり $10 ~ $70
• ADFS 環境も利用可能 (Active Directory への書き戻し)
• アカウントロックアウトにも対応
ユーザー数 10万人の小売業における、展開4か月後の成果
4か月間で
約2,400万円
のコスト削減

45. • VPN やリバースプロキシが不要に
• 社内アプリに対しても Azure Active Directory の
高度な認証機能を活用
[従来の外部公開の方法]

46. Azure Active Directory
アプリケーションプロキシ
[これからの外部公開の方法]
• VPN やリバースプロキシが不要に
• 社内アプリに対しても Azure Active Directory の
高度な認証機能を活用

48. Business
Partner
Social
Application
Social
Identity
Business
Application

49. 企業内 企業間（B2B） コンシューマー（B2C）
全体管理者同一 全体管理者が異なる
外部のユーザーも管理する
Federation
企業テナントの管理者が
B2C テナントの管理を
行う
Federation
CSV
Azure AD Azure AD B2B Azure AD B2C
A 社 B 社
SaaS SaaS SaaS
他のテナントのユーザーを
招待する

52. オンプレミス
クラウドの認証基盤を統一し、高度な認証と
アクセスを制御する
クラウドアプリを監視しシャドー IT や
機密・個人情報を検出、保護する
なりすまされた ID によるクラウドの
不正アクセスを検出し ID を保護する
社内の認証基盤 (Active Directory) への
サイバー攻撃を防ぐ
機密情報を暗号化し、流出しても
遠隔でアクセス権をはく奪する
機密情報を自動的に検出、分類して保護する
メールから侵入してくる標的型攻撃を防ぐ
PC 乗っ取りなどエンドポイントの
セキュリティ対策を強化する
モバイル PC やスマートフォンからの
情報漏えいを防ぐ
EMS E3 : Azure Active Directory Premium P1 EMS E5 : Azure Active Directory Premium P2
EMS E3 : Azure Information Protection P1
EMS E3 : Advanced Threat Analytics
EMS E5 : Microsoft Cloud App Security
Office 365 E5 : Office 365 ATP
Windows 10 Enterprise E5 (Windows Defender ATP)
EMS E3 : System Center Configuration Manager
EMS E3 : Intune
OS やアプリを常に最新版に維持する
ア
プ
リ
・
デ
ー
タ
の
保
護
Ｉ
Ｄ
の
保
護
デ
バ
イ
ス
の
保
護
EMS E5 : Azure Information Protection P2
Microsoft 365 によるセキュリティ強化 Enterprise Mobility + Security (EMS) を中心とした多層防御

53. 本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対
していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。
本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、
どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。
Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される
場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。
© 2016 Microsoft Corporation. All rights reserved.
Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。
その他、記載されている会社名および製品名は、一般に各社の商標です。