CISAがIntuneのセキュリティ強化を緊急勧告
2026年3月18日、米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Microsoft Intuneをはじめとするエンドポイント管理システムのセキュリティ強化を求める緊急アラートを発行した。背景にあるのは、マルウェアを一切使わず、Intuneの正規の管理機能だけを悪用して広範な被害をもたらしたサイバー攻撃だ。
この事案は、エンドポイント管理ツールに対するセキュリティの認識を根本から見直す契機となりつつある。
「Tier 0」とは何か——Active Directoryセキュリティの文脈
MicrosoftのActive Directoryセキュリティモデルでは、環境を3つの特権層(Tier)で管理する概念が広く普及している。
- Tier 0(最高特権): ドメインコントローラー、Azure AD(Microsoft Entra ID)など、IDインフラそのものを制御するシステム
- Tier 1: サーバーやアプリケーション管理
- Tier 2: ワークステーションやエンドユーザー管理
従来、Intuneは「エンドユーザー端末を管理するツール」としてTier 2相当に位置づけられることが多かった。しかし今回の攻撃はその前提を崩した。
なぜIntuneはTier 0に昇格すべきか
Intuneが持つ能力を整理すると、その脅威の本質が浮かび上がる。
- コードのリモート展開: スクリプトやアプリケーションを組織内の全端末に一斉配布可能
- 構成の強制変更: セキュリティポリシーやシステム設定を上書き
- 条件付きアクセスとの連携: Entra IDと統合され、認証フローそのものに影響
- 証明書・資格情報の配布: 攻撃者が横展開(ラテラルムーブメント)に必要な鍵を手にできる
攻撃者がIntuneの管理権限を奪取すれば、マルウェアを一行も書かずに組織全体を掌握できる。これはまさにTier 0への攻撃と等価だ。
日本企業への示唆
Intune(旧Microsoft Endpoint Manager)はMicrosoft 365 Business/Enterpriseライセンスに含まれており、日本でもMicrosoft 365を導入済みの企業に広く利用されている。ゼロトラスト推進の文脈で「端末管理の基盤」として積極導入が進む一方、そのセキュリティ保護は後回しにされがちだ。
CISAの勧告は以下の対策を推奨している:
- Intune管理者ロールへの多要素認証(MFA)の徹底
- 特権アクセスワークステーション(PAW)からのみ管理操作を許可
- Intune関連の操作ログの継続的な監視
- 最小権限の原則(PoLP)に基づく管理者ロールの見直し
まとめ
「エンドポイント管理ツール」という名称から来る過小評価が、Intuneをセキュリティの死角にしてきた。単一のコントロールプレーンがコード配布・構成変更・認証制御を一手に握る以上、その保護レベルはActive Directoryと同等——すなわちTier 0として扱うべきだ。
Intuneの管理権限は、ドメイン管理者権限と同じ重さで守る必要がある。
元記事: Why Microsoft Intune Belongs in the Tier 0 Identity Control Plane