最小特権を実現する Entra ID PIM 実装ガイド

Entra ID / Active Directory

なぜ今PIMか

事故の多くは「不要な管理者権限」が原因です。
Microsoft Entra ID のPrivileged Identity Management(PIM)は、特権を必要な時だけ有効化(Just-In-Time)し、承認・理由・MFA・チケット連携・アクセスレビューで常時管理者ゼロを目指す仕組みです。
参考: PIM の概要, PIM の開始方法.

導入の設計ポイント

1. 対象ロールの棚卸し

  • Global/Privileged Role Admin は最優先でJIT化
  • Intune/Exchange/SharePoint などワークロード管理ロールも範囲に

2. 有効化要件

  • MFA必須理由必須チケット番号必須
  • セッション時間は最小(例: 1〜4時間)。高リスク操作はさらに短縮

3. 承認フロー

  • 小規模では相互承認(同僚1名)から開始し、夜間/休日はメール承認に切替
  • 承認者が不在でも緊急時はブレークグラスで復旧

4. アクセスレビュー

失敗例と回避策

  • PIM有効化後に運用が止まる
    承認までの待ち時間が長いと、障害対応が遅延。対策は「緊急承認者」と「タイムゾーン分散」。
  • 常時割当が残り続ける
    過去の恒久割当(Permanent assignment)が温存されるケース。
    移行時に一括棚卸しと置換を必ず実施。
  • 証跡が埋もれて活用されない
    有効化理由・チケット番号のレビューを定例化し、科目別に改善提案へつなげる。

小規模組織の現実解(ローンチの型)

  1. ロールごとに「承認要否」と「有効時間」をテンプレ化
  2. 初月は相互承認で回し、平均承認時間を計測
  3. 2ヶ月目に「夜間自動承認(高リスク除外)」へ拡張
  4. 3ヶ月目にアクセスレビューを運用へ定着

チェックリスト

  • [ ] すべての特権ロールの棚卸しが完了した
  • [ ] 常時割当を撤廃し、Eligible に置換した
  • [ ] 承認者を2名以上、部門横断で設定した
  • [ ] 理由・チケット番号・MFAを必須化した
  • [ ] 月次アクセスレビューのレポート先を決めた

ミニケース:監査対応の時間を1/5へ

社内監査に毎回3日かかっていた管理ロールの証跡集約が、PIMレポート活用により半日で完了。
承認履歴・理由・期間が一元化され、監査指摘はゼロに。運用負荷も減り、深夜の恒久ロール使用が消滅。

まとめ

PIMは「ゼロトラストの最後の砦」。
常時管理者を作らず、必要なときにだけ昇格させる文化を根付かせれば、事故確率は劇的に下がります。
小さく始め、レビューを習慣にして持続的にチューニングしましょう。

ライセンスとコストの考え方

  • PIM の主要機能は Microsoft Entra ID P2 に含まれます。
    全員 P2 は不要で、管理者候補に限定して付与するとコストを抑制できます。
  • 監査・アクセスレビューの証跡は内部統制の監査時間を短縮し、運用コストを相殺できます。

設定の具体例(ロール: 全体管理者)

  • 有効化時間: 2 時間
  • 承認: 必要(承認者 2 名)
  • チケット: 必須(Jira/ServiceNow 番号)
  • 通知: 有効化/有効期限 15分前/失効通知 をメール+Teams で配信

自動化のヒント

  • PIM のイベントを Graph/Logic Apps で受け、運用チャンネルへ通知
  • 有効化理由を分類し、定例会で改善提案としてレビュー
  • アクセスレビューの結果をPower BIで可視化して透明性を確保

監査・証跡の活用

  • 有効化履歴、承認者、理由、影響したリソースをエクスポートし、監査チェックリストに添付
  • アラート:特権昇格が一定頻度を超えた場合に CISO/情シスへ通知
  • 分離:開発/本番の承認者を分け、牽制が働く体制にする

KPI の例(初年度)

  • 常時割当ロール数を 80%削減
  • 昇格平均時間 15分以内(承認含む)
  • レビューで失効した不要権限 月次 10%以上

FAQ

  • Q: 小規模で承認者が確保できない
    A: ロールごとに時限的な自動承認を組み合わせ、事後レビューで補完。
  • Q: チケット運用が負担
    A: 「変更要因の分類」だけを必須化し、番号は任意から開始。成熟度に合わせて段階強化。

導入前後で変えるべき運用

  • 権限付与の窓口:申請→承認→PIM有資格化→JIT昇格という標準フローに一本化
  • 夜間/休日対応:緊急承認者の当番表を作成、ブレークグラス発動時は事後レビューを義務化
  • 教育:管理者向けに「昇格の手順」「有効化の根拠の書き方」を動画化し、初回ログイン時に提示

具体的な社内規程の文例

管理者権限の使用は原則 PIM の JIT 機能により実施し、常時付与を禁止する。昇格には業務上の理由と関連チケットを必須とし、承認は相互牽制の観点から別部門の者が行う。

ロードマップ

  • Week 1–2:棚卸しと有資格化、緊急アクセス整備
  • Week 3–4:相互承認で本番運用、レポート配布
  • Week 5–8:自動承認の条件策定、レビュー定着、ダッシュボード公開

エスカレーション基準

  • 昇格に業務理由の不整合が3回続いた場合、ロールの有資格を停止し、再教育を実施。
    月次会議で共有し再発を防ぐ。

用語ミニ解説

  • Eligible: 昇格可能な候補状態。必要なときだけ有効化できる
  • Active: 一時的に有効化された状態。時間切れで自動的に失効
  • Access Review: 対象者が妥当かを定期的に見直す仕組み

最後に

PIMの価値は「安全に遅くする」のではなく、「安全に速くする」ことにあります。
承認のリードタイムを短縮しながら、証跡を残す文化を根付かせましょう。

結論: 常時管理者をゼロにするだけでなく、昇格の速さと透明性を両立させることがPIM成功の鍵です。

コメント

タイトルとURLをコピーしました