[Sponsored]
[IT Leaders Tech Strategy 前提のゼロトラスト、不断のサイバーハイジーン]
6つの構成要素でアクセスを動的制御! 目指すべきID起点のゼロトラストとは?
2024年10月7日(月)
境界型のセキュリティ対策が有効性を失いつつある中での新たなセキュリティの“策”として注目を集めるゼロトラスト・ネットワーク。その利用において、各種制御や保護の起点となるIDは極めて重要だ。2024年8月29日に都内で開催された「IT Leaders Tech Strategy 前提のゼロトラスト、不断のサイバーハイジーン」(主催:インプレス IT Leaders)のセッションに、Microsoft Security Solution Area - APJ Advanced Identity Global Black Beltの岩瀬由季氏が登壇。ID起点のゼロトラストの実現に向けたアプローチを解説した。
提供:日本マイクロソフト株式会社
6つの構成要素で全通信をリアルタイムに保護
クラウドの利用拡大やリモートワークの普及などを背景に、企業ネットワークの“内”と“外”を切り分け、境界部分で脅威の侵入を防御する従来からのセキュリティ対策は現状にそぐわなくなっている。そこでの新たなセキュリティ対策として重要性が増しているのがゼロトラスト・ネットワークだ。
ゼロトラスト・ネットワークは文字通り、「何も信頼しない」を前提とするセキュリティ・モデルだ。Microsoft Security Solution Area - APJ Advanced Identity Global Black Beltの岩瀬由季氏は、「ゼロトラストでは接続元と接続先の『明示的な検証』、事前に許可を得た『最小限の特権アクセス』、脅威の存在を前提とする『侵害の想定』の3つの原則を徹底し、通信の安全を担保します」と解説する。
Microsoft Security Solution Area - APJ Advanced Identity Global Black Belt 岩瀬由季氏マイクロソフトではゼロトラストの構成要素を6つ——①誰がアクセスを要求しているかを明示的に検証する「Identities(ID)」、②アクセスに用いる「Device」、③保護対象の「Data」、④監視対象の「Applications(Apps)」、⑤保護対象の「Infrastructure」、⑥制御/監視対象の「Network」——に分類(図1)。これらを結び付けた、各要素が特定の条件下にあるときにのみアクセスを認める「条件付きアクセス」の活用をゼロトラストのアプローチとして推奨している。
「これによりIDによる利用者の明確化を起点とする、各要素への動的なアクセス制御を通じたあらゆる通信のリアルタイム保護が実現します」(岩瀬氏)
図1:マイクロソフトでは6つのコンポーネントを結び付けた「条件付きアクセス」の活用をゼロトラストのアプローチとして推奨する拡大画像表示
「Microsoft Entra」を構成する“5つ”のソリューション
岩瀬氏が説明する通り、ゼロトラストではユーザーを明示的に検証するIDが、各種制御や保護の起点として極めて重要だ。その管理ツールとしてマイクロソフトが提供するのがAzure Active Directoryを前身とする「Microsoft Entra」だ。岩瀬氏は、「Microsoft Entraは1つのポリシーで多様なアーキテクチャの統合管理が可能なID管理ツールです。その利用を通じて、オンプレやクラウドを問わないあらゆるアプリ、AI、リソースに対する従業員からの安全なアクセスを実現します」と強調する。
Microsoft EntraはID管理機能を柱とする5つのソリューションで構成されるという。それらの機能について、岩瀬氏は社員の入社後に発生する各種作業を例に解説する。
まず、新入社員のアカウント発行のために用意されているのが「Microsoft Entra Verified ID Platform」だ。迅速なセルフサービスによるオンボーディングを信頼性の高いID検証プロバイダによって実現しており、従業員のユーザーIDをリアルタイムで発行/検証できる。
「企業でのアカウント発行以外に、各種の政府サービスにおける個人確認、学校の学生証などの用途などでも利用されています」(岩瀬氏)
不要になったアクセス権限を機械学習であぶり出し
従業員の異動時などには職責に応じ、IDに紐づけられたアクセス権限の見直しが必要となる。その安全かつ効率的な実施を支援するのが「Microsoft Entra ID Governance」である。「入社時」「異動時」「退社時」など、ID管理業務を自動化するパターンが事前にいくつも用意されており、それらの使い分けを通じて見直し業務を抜本的に効率化できる。いわゆる「エンタイトルメント管理」により、従業員自らの申請により権限を付与する機能も備える。
もっとも、自己申請で取得した権限は不要になっても放置されがちで、それが不正アクセスの原因にもなっている。対してEntra ID Governanceでは放置された権限を機械学習により容易にあぶり出せ、それだけ不正リスクを低減できる(図2)。
図2:Microsoft Entra ID Governanceでは最終サインイン日時や組織図などを基に放置された可能性の高い権限をレビュー担当者に提示し、不要な権限削除を支援する。拡大画像表示
「不要な権限かどうかはレビュー担当者が最終的に判断しますが、Entra ID Governanceでは最終アクセス日時や組織図などを判断材料として提示し、迅速かつ正確な判断を支援します。無論、自動処理も可能です」(岩瀬氏)
ここからは、ゼロトラスト・ネットワークでの条件付きアクセスを実現するためのコンポーネントだ。まず、リスクベースの動的なリアルタイム保護のために用意されているのが「Microsoft Entra ID Protection」である。アクセス日時や利用する端末、IPアドレス、ログイン場所など、IDの状態などをリアルタイムに把握したうえで、それらの情報を基に、マイクロソフトが蓄積してきた脅威情報、ユーザーのふるまい情報から通信のリスクを動的に判断し、不審な通信をブロックする。
ITとネットワーク制御をシンプルに管理
Microsoft Entra ID Protectionでの通信ネットワークが「Microsoft Entra Internet Access/Private Access」だ。ユーザーからの通信は一度、トンネリングやVPN接続によりマイクロソフトのプライベートWANに収容され、接続先がインターネットであれば「Internet Access」、企業などの閉じたネットワークであれば「Private Access」を経由し通信が行われる。
このように、Microsoft Entraでは5つのソリューションによりゼロトラスト・ネットワークを包括的に実現するが、その特徴として岩瀬氏が挙げるのが、全コンポーネントの統合コンソールとして用意されているポータルだ(図3)。その利用を通じて、IDとネットワーク制御を極めてシンプルに管理できるのだという。
「ポータルでは保護やリスクの高いユーザー、IDガバナンス、ネットワークに関する分かりやすいレポート、さらに推奨事項も提示し、ゼロトラスト・ネットワークによるセキュリティ強化を後押しします」(岩瀬氏)
図3:Microsoft Entraでは統合コンソールによりIDとネットワーク制御をシンプルに管理できる。各種レポートや推奨事項などもポータルを介して提示される拡大画像表示
従来、各コンポーネントは個別に提供されてきたが、マイクロソフトでは企業のゼロトラストの実現を後押しすべく、それらを統合した「Microsoft Entra Suite」の提供も2024年7月から開始した。初回90日間は無料で試すことができるという。
ゼロトラストに関心がありながら、用いる技術の多さゆえに何から手を付けるべきかで戸惑う企業は少なくない。Microsoft Entra Suiteはその中でのゼロトラストを加速させる“現実解”として、今後、さらに注目を浴びそうだ。
●お問い合わせ先
日本マイクロソフト株式会社
URL:https://www.microsoft.com/ja-jp/security/business/microsoft-entra
