企業のアセットの脆弱性への対処について、パッチ適用の側面のみに焦点を当てている場合は、安全でない構成のままを見落としている可能性があります。
セキュリティも考慮した場合、アセットの設定ミスに自動的に対処し、一元化された方法でそれらを回避する方法を模索します。
Microsoft Intune や Defender for Endpoint(MDE)など複数の Microsoft 製品を使用して、エンドユーザーへの影響は軽減しつつ業界で認められたセキュリティベースラインを一貫して実装するソリューションを検討しましょう。
Hardening Windows Clients with Microsoft Intune and Defender for Endpoint - Microsoft Community Hub
Intune でクライアントを管理
アセットの一元管理は、セキュリティベースラインを一貫して展開するためのキーポイントです。
Windows クライアントの場合、Intune は管理画面を提供し、ベースラインはモバイルデバイス管理(MDM)のデバイスに適用されます。
スコープ内のデバイスは Azure AD に参加させ、エラーを最小限に抑えるよう自動登録の構成をお勧めします。
Azure AD 参加済みデバイスとは - Microsoft Entra | Microsoft Learn
Windows の MDM 自動登録を有効にする | Microsoft Learn
Defender for Endpoint の自動展開
Microsoft Defender for Endpoint(MDE)は、Microsoft Intune から受け取ったセキュリティ設定を実装するので、MDE と Intune 間の通信を確認します。
Microsoft 365 Defender ポータルで、「設定」>「エンドポイント」>「高度な機能」を選択し、Intune への接続をオンに切り替えます。
次に、Intune のアセットを MDE に自動的にオンボードするデバイス構成プロファイルを作成し、指定クライアントに割り当てます。
セキュリティベースラインをテストするグループを作成
予期しない変更の影響を軽減するため、展開前にエンドユーザーのテストグループでベースラインを数週間テンスとします。
Azure AD Joined デバイスの場合は、ユーザー情報によりデバイスを割り当てる動的グループを作成して、手作業をなくすこともできます。
動的グループを作成または編集し、状態を取得する - Microsoft Entra | Microsoft Learn
セキュリティベースラインを選択し、展開
セキュリティポリシーには、Microsoft、Center for Internet Security(CIS)、米国国防総省(DOD)のセキュリティ技術実装ガイド(STIG)など様々なベースラインがあり、これらを適用するかカスタムで作成するかを選択できます。
新しいセキュリティベースライン適用の前に注意することは、
・ デバイスに古いポリシーを再割り当てし、デバイスをリセットしてから、新しいポリシーを適用する
・ ポリシー展開は、十分な時間をとって通知し、対象ユーザーへの影響をテストする
Intune マネージドデバイスの既定のセキュリティベースライン
Microsoft Intune 管理センターの「エンドポイント セキュリティ」>「セキュリティのベースライン」に、Microsoft が公開する複数のベースラインがあります。
Microsoft Intune で展開できる Windows セキュリティ ベースラインの詳細 | Microsoft Learn
Intune マネージドデバイスのカスタム セキュリティベースライン
カスタムのベースラインは、Microsoft提供のテンプレートを変更、カスタムプロファイルを最初から作成、グループポリシー分析ツールを使用した GPO のインポートなど、複数の方法があります。
Microsoft Intune でグループ ポリシー分析を使用して GPO をインポートおよび分析する | Microsoft Learn
STIGing Made Easy - Microsoft Endpoint Manager - Microsoft Community Hub
影響を監視し、コンプライアンス状況をレポート
Intune ポータルでは、ベースライン展開の成功を追跡できます。
セキュリティベースラインを選択し、エラーやプロファイルの競合などを確認します。
変更の結果がポータルに反映されるまでに 24時間かかる場合があります。
ポータル画面で最新情報を表示するか、csv ファイルにエクスポートできます。
Microsoft Intune でセキュリティ ベースラインの成功または失敗を確認する | Microsoft Learn
オプションの Attack Surface Reduction で強化をレベルアップ
通常、セキュリティベースラインは、セキュリティとユーザー影響のバランスを取ります。
攻撃表面の縮小(ASR)ルールは、最も一般的な攻撃ベクトルに基づく追加のセキュリティ構成です。
Intune 管理ポータルの「エンドポイント セキュリティ」>「攻撃面の減少」で、プロファイルを使用できます。
これらの設定の多くは、監査モードで 1か月間、影響を観察してから適用するのがお勧めです。
Microsoft Defender for Endpoint (MDE) 攻撃面の縮小 (ASR) ルールの展開の概要 | Microsoft Learn
攻撃面の減少 (ASR) ルールをテストする | Microsoft Learn
Microsoft Intune と Defender for Endpoint の活用は、組織のセキュリティ体制を維持しながら手間を軽減します。
また、実装とレポートが簡単なため、より積極的に対策を講じることができます。