Microsoft が Azure AD 全テナントに対して Security Defaults を有効化

Microsoft to force better security defaults for all Azure AD tenants

2022/05/27 BleepingComputer — Microsoft の発表によると、すべての既存 Azure Active Directory (Azure AD) テナントにおいて、厳格なセキュリティ設定である Security Defaults を、2022年6月下旬には自動的に有効にするとのことだ。2019年10月に、新規テナントのみに対して導入された Security Defaults は、IT チームを持たない組織であっても、最小限の労力で優れた ID セキュリティ衛生を導入できるように設計された、一連の基本的なセキュリティ機構である。

また、2020年1月に Microsoft は、すでに6万件の新規テナントで Security Defaults が有効になっていると発表していた。そこから2年以上を経て、3000万を超える組織が、多要素認証 (MFA) と最新の認証要件を実施する Security Defaults により保護されるようになった。

Microsoft の Director of Identity Security である Alex Weinert は、「このプログラムの成功を嬉しく思うが、2019年10月以前に作成されたテナントは Security Defaults が含まれていないため、条件付きアクセス/アイデンティティ保護/MFA などの機能を明示的に有効にしない限り、脆弱な状態に置かれていた。そのため、導入後にセキュリティ設定を変更していないケースにおいても、既存テナントに対する Security Defaults の展開を発表でき、たいへん嬉しく思う。この展開が完了すれば、さらに 6000万アカウント (イギリスの人口に匹敵) を、最も一般的な ID 攻撃から保護できる」と述べている

ユーザー・アカウントを保護する Security Defaults 設定

Security Defaults の展開が開始されると、グローバル管理者には通知が送られ、その場での有効化、もしくは、14日間後の自動的な有効化が選択される。Azure AD テナントでセキュリティが有効になると、ユーザーは 14日以内に Microsoft Authenticator アプリを使用して、MFA に登録する必要があり、グローバル管理者は電話番号の提供を求められる。

Admins prompted to enable security defaults
Admins prompted to enable security defaults (Microsoft)


以下のように、この新しい Security Defaults は、企業ユーザーのアカウントをパスワード・スプレーやフィッシング攻撃から保護するのに役立つ。

  • すべてのユーザーと管理者に対して、Microsoft Authenticator アプリを介した MFA への登録を要求する。
  • ユーザーが新しいデバイスやアプリを使用する際に、または、重要な役割やタスクの実行時に、MFA を使用するよう要求する。
  • MFA に対応していない、従来の認証クライアントからの認証を無効にする。
  • 管理者がサインインするたびに、追加の認証を要求することで、管理者を保護する。

自身の組織で Security Defaults の有効化を望まない管理者は、Azure Active Directory のプロパティまたは。Microsoft 365 管理センターからセキュリティを無効にできる。しかし、Weinert によると、「Security Defaults を有効にしている組織は、テナント全体と比較して 80%も 侵害が少ない」と述べているため、それは有利な選択とは言えない。さらに、Microsoft のテレメトリー・データによると、MFA を有効にしたアカウントでは、99.9% 以上の侵害攻撃を防ぐことができるという。

この Security Defaults により、条件付きアクセス/アイデンティティ保護/MFA がサポートされるという、とても素敵なアナウンスメントですね。まずはアカウントの保護から、そのためには MFA の利用からという、誰から観ても妥当なステップが構成されているようです。もちろん、MFA になったからといって、100% の安全性が確保されるというわけではありません。しかし、脅威アクターたちを跳ね返すカベは、かなり強固なものに進化するはずです。Azure ユーザーの中には、零細企業もたくさんいるはずです。それらの、潤沢な IT リソースを持てない組織にとって朗報ですね。

%d bloggers like this: