※ セキュリティの専門家ではないので、Azure DevOpsの設定とか当たり前の話になります。
上記のブログをベースに追加の話を書いていきます。
MFA(多要素認証)を使おう
- とはいってもSIM持ち出されるとつらいので、SMSでのメッセージ送信は避けたほうがいいかもね。
- 「この場所ならMFAをバイパスする」ってのはやめよう。
- 複数のユーザーでMFAデバイスや認証の共有は避ける
信頼できるデバイスで
Azure ADの条件付きアクセスポリシーを使いましょう。Azure AD参加済みデバイスで所定のセキュリティ設定を満たしたものだけ使えるようにしましょう。ただしAzure AD Premium P1が必要ですが。
外部ユーザーのアクセス
これはB2Bでコラボレーションするときもあるので難しいですが、External Guest Access
の設定を有効にする場合気を付けてください。
サードパーティアプリの使用
Third-party application access via OAuth
を有効にする場合、そこが侵入経路にならないようにしましょう。定期的に棚卸して、使ってないものは消しましょう。
https://app.vssps.visualstudio.com/
このURLからアクセスすれば自分のIDで認証しているアプリケーション一覧が出てきます。
監査設定をしよう
organization設定のAuditing
から設定します。逐次見るのはつらいので、Event Grid, Monitor, Splunkなどへ出力して、イベントで何らかの通知をするようにしましょう。
パスワードリセットは慎重に
Azure ADにはセルフサービスパスワードリセットがありますが、高/中リスクユーザーに対してはブロックしましょう。特権ユーザーはリスク中でもダメ。
Azure AD Identity Protectionでリスク判定しよう(Premium P2必要)。
教育
今回はソーシャルエンジニアリング(要はだます)でやられてしまったようですが、これは教育でもなかなか難しいので、「このURL踏んでパスワードリセットしましょう」とかは絶対詐欺だから!って単純にするのがいいのかなぁ?
複雑に条件付けすると迷いますからね。