Japan

サイト内の現在位置

「ID」を軸にしたゼロトラスト対策をAzure Active Directoryが強力に支援

「真のゼロトラストとAzureで解決するサイバー脅威課題」セミナーレポート②
  • Share

お問い合わせ

日本マイクロソフト株式会社
パートナー技術統括本部
シニア クラウドソリューションアーキテクト(Hybrid)
高添 修 氏

マイクロソフトは、世界でも米国国防省に次いで多くの攻撃を受けている企業だと言われている。では、そのセキュリティ対策はというと非常に“本質的"だ。会社支給のPCとBYOD(Bring Your Own Device)のデバイスの扱いは基本的に同じで、適切なルールに則って運用されているならば、仕事に使うPCで情報収集することにも、SNSに投稿することにも特段の制約を設けてはいない。社内のWi-Fi環境に関しても、『ゼロトラスト』のモデルに則った対策を前提としているという。

「マイクロソフトのセキュリティ対策は結構、ドライというか、非常に本質的なものだったりします」と語るのは、日本マイクロソフトの高添修氏だ。前出の通り、会社支給のPCとBYOD(Bring Your Own Device)のデバイスの扱いは基本的に同じであり、要するに、誰が購入したデバイスであるかは、セキュリティには無関係であるというスタンスだ。

そうした同社のスタンスは、社内のWi-Fi環境にも表れている。「社外からセキュアに仕事が出来ている以上、会社にいるからといって社内ネットワークという境界の中にいる必要はない」という考えに基づき、会社ビル内にはイントラネット接続とインターネット優先の2つのWi-Fiが用意されている。まさに境界型ネットワークに依存してきた従来のセキュリティから「ゼロトラスト」モデルへのシフトが進んでいるわけだ。イントラネットの負荷軽減にもつながるため、グローバルな社内ネットワーク構築のヒントにもなりそうだ。

Microsoftのゼロトラストに則ったセキュリティモデル
Microsoftのゼロトラストに則ったセキュリティモデル

もちろん、こうした運用には、常に検証が可能なIT統制の「軸」というべきものが必要である。当然「ID」統制にほかならない。ただし、クラウドの時代を迎えて、利用するサービスごとにIDやパスワードがバラバラに運用される状態では、その「軸」が失われてしまいかねない。

豊富な道具立てでゼロトラスト対策を支援

そうした課題に対するソリューションとしてマイクロソフトが提案しているのが「Azure Active Directory」だ。Active Directory自体は、過去20年の間、オンプレミス環境の企業システムの認証基盤を支えてきたことは周知の通りだ。「Azure Active Directoryは、単なる認証基盤ではなく、ID管理を軸としたコントロールプレーンをクラウド上に構築することを意図したものです」と高添氏は説明する。

もちろん、Azure Active Directoryを導入したからといって、直ちにゼロトラストの対策が実現できるわけではない。当然、Azure Active Directoryを核に総合的なセキュリティ対策を構築していくことが必要だ。マイクロソフトでは、そのためのソリューションも整えている。例えば、特定のアクセスをブロックまたは制限する条件付きアクセスや多要素認証(MFA)、あるいはさまざまな情報を機械学習で処理してリアルタイムなリスク評価を行うIdentity Protectionの仕組みなどである。

また、CASB(Cloud Access Security Broker)である「Microsoft Cloud App Security」も提供する。コンテキストを意識したセッションポリシーで、アクセス元のユーザーや位置情報、デバイス、アプリケーションに基づいて、クラウドアプリケーションやアプリケーション内のデータへのアクセス制御を実現している。

さらに、多種多様な活動ログの集約を支援しているのが「Azure Sentinel」だ。SIEM(Security Information and Event Management)やSOAR(Security Orchestration and Automated Response)、UEBA(User and Entity Behavior Analytics)といった機能を利用することが可能になる。

そのほか、現在、オンプレミス環境でActive Directoryを運用しているユーザーに向けては、「Azure Active Directory Connect」というツールも用意。オンプレミスのActive Directoryとクラウド側のAzure Active Directoryの同期による統合認証基盤の構築が可能となる。ハイブリッドなID管理の実例として高添氏は、ワークグループ環境のPCがAzure Active Directoryに参加することで社内のファイルサーバーにシングルサインオンできるというデモを実施、ユーザーIDだけでなくPC(デバイス)管理を含む統合的なコントロール基盤としてのAzure Active Directoryの立ち位置を表現していた。

最後に高添氏は「Azure Active Directoryの導入を検討されるお客様には、例えばクラウドHRのシステムに連動したIDライフサイクル管理の仕組みの構築や、Azure Active Directoryに実装されているセルフサービスパスワードリセット機能の活用、さらには、Windows HelloやMicrosoft Authenticator、セキュリティキーであるFIDO2 Security Keysなどを利用したパスワードレスによる運用の実現にもぜひチャレンジしていただければと思います」と提案。従業員の生産性を下げることのないゼロトラスト対策の重要性をあらためて強調した。

お問い合わせ