「単独の管理者に任せないで」　米CISAが警告、エンドポイント管理システムの設定強化を呼び掛け

　米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は2026年3月18日（米国時間、以下同）、正規のエンドポイント管理ソフトウェアを悪用したサイバー攻撃への対策として、エンドポイント管理システムの設定強化を促すアラートを発行した。

【その他の画像】

●Microsoft Intuneの正規機能を悪用か　CISA勧告の背景

　2026年3月11日、米国を拠点とする医療機器メーカーStrykerは、Microsoft製品で構築された社内IT基盤がサイバー攻撃の被害に遭い、グローバルなネットワーク障害が生じたと発表した。

　Strykerによると、この攻撃においてランサムウェアやマルウェアの兆候は確認されていないとした一方で、攻撃者は悪意のあるファイルを起点としてコマンドを実行し、システム内での活動を隠蔽していたという。一連の攻撃は製品出荷の遅延を招き、一部の医療機関では患者の手術スケジュールが延期されるなど、同社のサプライチェーンに深刻な影響を及ぼした。

　CISAはこのサイバー攻撃を、正規のエンドポイント管理ツールの特権や正規機能を悪用した攻撃とみており、米国組織内の管理システムを標的とした悪意あるサイバー活動が発生しているとして警戒を呼び掛けている。

　CISAは正規のエンドポイント管理ソフトウェアを悪用した攻撃への対策として、Microsoftが新たに公開した「Microsoft Intuneのセキュリティベストプラクティス」の参照を推奨した上で、「これらの原則はMicrosoft Intuneだけでなく、他のエンドポイント管理システムにも広く適用できる」と述べている。

　Microsoftが公開した推奨事項は以下の通り。

○「最小権限の原則」を基に管理者ロールを設計する

　「Microsoft Intune」のRBAC（ロールベースアクセス制御）を活用し、各ロールが日常業務の遂行に必要な最小限の権限のみを持つよう設定する。権限には各ロールが実行できる操作と、操作を適用できるユーザーおよびデバイスの範囲が含まれる。

○フィッシング耐性のある多要素認証（MFA）と特権アクセス管理を徹底する

　クラウドID・アクセス管理システム「Microsoft Entra ID」の条件付きアクセス、MFA、リスクシグナル、特権アクセス制御を活用し、Microsoft Intuneの特権操作への不正アクセスを防止する。

○Microsoft Intuneのマルチ管理者承認（Multi Admin Approval）ポリシーを設定する

　単一の管理者アカウントの侵害が、テナント全体への致命的な影響（全デバイスの一斉ワイプなど）に直結するリスクを軽減するため、デバイスのワイプ、アプリケーション、スクリプト、RBAC設定、構成変更などの機密度の高い操作や影響の大きい操作に対して、第2の管理者アカウントによる承認を必須とするポリシーを設定する。

●CISAが推奨するリソース

　CISAは、悪意のあるサイバー活動に対する防御を強化するために、以下のリソースを確認することを推奨している。

・Microsoft Intuneのセキュリティベストプラクティス（Microsoft）

・マルチ管理者承認（Multi Admin Approval）のアクセスポリシー実装ガイド（Microsoft）

・ゼロトラスト原則に基づくMicrosoft Intuneの設定ガイド（Microsoft）

・Microsoft IntuneのRBACポリシーの実装ガイド（Microsoft）

・Microsoft Intune、Entra ID、その他Microsoftソフトウェア全体にわたるPIM（特権IDマネジメント）の展開計画ガイド（Microsoft）

・フィッシング耐性MFAの実装ガイダンス（CISA）