サイバーセキュリティおよびインフラセキュリティ庁（CISA）は、組織に対し、エンドポイント管理システムを積極的に強化するよう緊急警告を発しました。この警告は、米国を拠点とする医療技術プロバイダー、Stryker Corporationへの大規模なサイバー攻撃を受けて発表されたものです。CISAは、悪意のある攻撃者がエンドポイント管理プラットフォームを標的にし、正当な管理ソフトウェアを悪用して企業ネットワーク環境を侵害していることを確認しました。

Stryker社への攻撃とCISAの対応

2026年3月11日に発生したStryker社への攻撃は、同社のMicrosoftインフラストラクチャに深刻な影響を与えました。これを受けて、CISAは連邦捜査局（FBI）を含む連邦パートナーと連携し、追加の脅威を追跡し、迅速な緩和措置を策定しています。

MicrosoftとStryker社も、今回の警告に重要なインテリジェンスを提供し、より広範なサイバーセキュリティコミュニティが同様の管理権限侵害から防御できるよう支援しています。

最小権限アクセスの原則の徹底

正当なエンドポイント管理ソフトウェアの悪用を防ぐためには、最小権限アクセスの原則を厳格に実装する必要があります。CISAは、Microsoft Intuneのロールベースアクセス制御（RBAC）アーキテクチャを活用することを強く推奨しています。この構成により、管理者は日々の業務に必要な最小限の権限のみを受け取るようになります。

具体的な設定として、各ロールが実行できるアクション、およびアクションが許可されるユーザーとデバイスを明確に定義することが重要です。

多要素認証（MFA）の導入とアクセス制御の強化

• フィッシング耐性のある多要素認証（MFA）をすべての管理アカウントで強制する
• Microsoft Entra IDの機能（Conditional Accessポリシー、リスク信号モニタリング、特権アクセス制御など）を活用する
• Microsoft Intune環境内での不正な特権管理アクションの実行をブロックする

Multi Admin Approvalの導入

エンドポイント管理プラットフォームにおける主要な脆弱性は、侵害されたアカウントによる高影響度のコマンドの一律実行です。このリスクを軽減するために、セキュリティチームはMicrosoft Intune内でMulti Admin Approvalを設定する必要があります。この重要な安全装置は、機密システム構成への変更について、2番目の承認された管理アカウントによるレビューと承認を義務付けます。

保護対象となるアクションには、リモートデバイスのワイプ、新しいアプリケーションのデプロイ、スクリプトの実行、既存のRBAC構造の変更などが含まれます。

推奨されるセキュリティリソース

CISAとMicrosoftは、組織のネットワーク防御を強化するための特定の技術フレームワークをレビューすることを強く推奨しています。セキュリティチームは、MicrosoftのIntuneのセキュリティに関する包括的なガイダンスを参照し、Multi Admin Approvalアクセスポリシーの実装とゼロトラストセキュリティ原則の構成に焦点を当てる必要があります。さらに、組織は堅牢なロールベースアクセス制御を確立し、Microsoft Entra ID全体にわたる包括的な特権ID管理（PIM）の展開を計画する必要があります。包括的な認証戦略については、CISAの公式ガイドラインを参照してください。

Microsoft Intuneおよびその他のサードパーティのエンドポイント管理ソフトウェアにこれらの基本的なセキュリティ原則を適用することで、組織は全体の侵害リスクを大幅に軽減できます。ネットワーク管理者は、現在のインフラストラクチャ構成を直ちに監査し、悪用を防ぐよう強く推奨されます。

---

元記事: https://gbhackers.com/cisa-calls-on-organizations-to-strengthen-microsoft-intune-security/