2022年8月19日コラム
ここ1~2年、セキュリティの世界で注目のキーワード「ゼロトラスト」について、既存リソースを有効活用しコストを抑えてゼロトラストを実現していくアプローチを、2回シリーズで紹介する本記事。
第1回では、ゼロトラストとは何か、なぜ今注目されているのか、といった基本をおさらいしつつ、多くの企業が利用するマイクロソフト製品でゼロトラストを導入できることを紹介した。
今回は、より具体的に、どのようなステップでゼロトラストを実現していけばよいか、実際に、Microsoft 365のセキュリティ機能を活用したゼロトラスト構築を支援する、NSW株式会社のサービスを例に解説する。
第1回では、ゼロトラスト構築に必要とされる様々なソリューションを、ゼロから選定して導入するのではなく、現在利用しているマイクロソフト製品(Active DirectoryやMicrosoft 365など)のセキュリティ機能を活用して、実現できることを紹介した。
ゼロトラストを究めるのであれば、Microsoft 365の様々なプランのうち、大企業向けに提供され、セキュリティ機能が最も充実している「Microsoft 365 E5」が最適だが、「Microsoft 365 Business Premium」や「Microsoft 365 E3」といった下位プランのユーザもあきらめる必要はない。
「Microsoft 365 E5」ほどではないが、必要なセキュリティ機能を標準で搭載しており、ゼロトラストの“7つの要件※”に対し、その一部を実現することができる。ゼロトラストの要件は広範におよび、多くの企業にとって一気に構築するのは非現実的だけに、まずは既存プランのまま、できるところから始める。
その後、自社のセキュリティ対策の現状や今後のニーズにあわせ、プラン変更をおこないつつ段階的にゼロトラストを実現していく、という現実的アプローチがお勧めだ。
※Zero Trust eXtended(2017)では、ネットワーク・セキュリティ、デバイス・セキュリティ、アイデンティティ・セキュリティ、ワークロード・セキュリティ、データ・セキュリティ、可視化と分析、自動化の7つを要件として定義づけている。
マイクロソフト・ソリューションによるITインフラ環境の“設計・構築”から“運用・保守”までワンストップサポートを手がけるNSW株式会社では、Microsoft 365をベースとしたゼロトラスト実現に向けて、下記6ステップを提案している。
ゼロトラストでは、情報資産に対するすべてのアクセスを信用せず、すべての通信について都度、識別・認証・認可(アクセス可否を決定)する厳格なアイデンティティ・アクセス管理が求められる。
Microsoft 365ユーザの場合、無償提供されるAzure ADでそのための仕組み(ID基盤)を構築でき、クラウドサービスやアプリケーションの利用について、ユーザやグループ単位でのアクセスコントロールを実現する。利用するシステムやサービスがオンプレミスとクラウドの両方に分散するケースでは、クラウド利用のID管理用のAzure ADとオンプレミスのActive Directoryを同期する形も可能だ。
ID管理で情報資産にアクセスした“人物”が信用できるかをチェックするとして、アクセスした“端末”が信用できるかをチェックするのがデバイス管理だ。業務に利用することが認められた端末か、デバイスの構成・設定は業務をおこなう上で適切か、導入されているアプリケーションは業務用として認められているものか、適切なセキュリティ対策が施されているか、といったポイントをチェックする必要がある。
Microsoft 365では、Azure ADの条件付きアクセスとの連携による、デバイスの状態に応じたアクセス制限やリモートワイプのほか、Microsoft IntuneのMDM/MAM機能による、セキュリティポリシー遵守を実現。このほか、Microsoft IntuneとWindows Autopilotの連携によるOS展開(アップデート)も、業務効率化に効果を発揮する。
マルウェアなど脅威の入口となりがちなメールについては、特にセキュリティ強化が求められる。
Microsoft 365では、Azure ADと連携可能なよりセキュアなメール基盤(Exchange Online)への移行が可能で、Azure Information Protectionの機能を利用したメッセージの暗号化、悪意のあるソフトウェアからのメッセージの保護、高精度の検疫によるマルウェアやスパムの駆除、添付ファイルやリンクの確認&検疫などのセキュリティ対策を実現する。このほか、SharePoint Onlineによる社内外とのセキュアで効率的な情報共有もメリットだ。
クラウドシフトを前提としたコンセプトであるゼロトラストによって、基幹システムのパブリッククラウド(Microsoft Azure)への移行や、業務システムのSaaS移行&データ連携などによる、DX推進に最適なデータ連携基盤構築が見えてくる。
このほか、Azure ADのSAML認証連携によるシングルサインオン導入や、ローカルブレイクアウトによるテレワーク時のセキュリティとユーザエクスペリエンスの両立なども可能になる。
アプリケーションによるデータアクセスについては、アクセスできる人物を制限し(アクセス制限)、アクセスした人物に当該情報が機密情報であることを認識できる(認識可能性)ようにするため、企業が提供した(許可した)アプリケーションか、アプリケーション上の取り扱いデータの管理や保護がおこなわれているか、利用するアプリケーションに対応しているか、データの分類がおこなわれているか、などについて適切に管理する必要がある。
Microsoft 365では、Microsoft Defender for Cloud Appsの保護・統制機能により、異常行動やランサムウェアによるデータ改ざんの検知、機密情報の検知&非公開化、許可されていないファイルの共有ブロック、会社以外の場所からの管理操作や会社で承認していないSaaS利用の検知を実現。
このほかAzure Information Protectionを利用して、ファイルやメールを個人利用・公開可能・内部情報・機密情報など、ラベルによって分類し、必要に応じて保護(暗号化)したり、アクセス制御したりも可能だ。
ゼロトラストでは、いくつものソリューション(セキュリティ対策ツール)を重層的に導入するが、その結果、それぞれ個別に発生する膨大な数のアラート対応が課題となる。
Microsoft 365のアラートポリシーを利用して、組織内ユーザと管理者のアクティビティのほか、マルウェアの脅威やデータ流出インシデントなどを関連付けて追跡。アラート通知条件を追加・設定することで、アラート通知自体を削減できる。
また、DLPポリシーを利用して、Exchange Online / SharePoint Online / OneDrive for Business / Microsoft Teams上のコンテンツに対し、アクセス制御あるいは暗号化することも可能だ。このほか、Microsoft Azure Sentinelによって、Azureやほかのクラウド、オンプレミスなど、企業全体でのアラート検出・脅威可視化・予防的検疫・脅威対応などのワンストップソリューションを提供する。
従来の境界型防御とは考え方からして異なるだけに、企業にとってゼロトラスト導入の難易度は非常に高い。導入に際しては下記のようなポイントに留意することで“失敗”を回避できる。
【社内連携とゴール設定】
情報システム部門主導で導入するにしても、業務側としっかり連携して、ゼロトラストを導入したら業務に支障が出た…とならないようにすべきだ。まずは自社の課題を整理して、なにをしたいのか(どうなりたいのか)、などの要件をまとめた上で、できるところから、あるいはビジネスインパクトの低いところからはじめて、徐々に対象を拡張していくアプローチがお勧めだ。
【ネットワーク負荷】
境界型防御では、一般的な本社集中のネットワーク構成も見直しの対象となる。そのままゼロトラストを導入すると、本社側でボトルネックが発生し、クラウド利用のパフォーマンスが著しく低下する可能性があるためだ。
管理下に置きつつ、ローカルブレイクアウトで快適性も追求する必要がある。
【コスト最適化】
ゼロトラストの理想に近づけると言っても、Microsoft 365 E5の月額費用は6,200円と、Microsoft 365 Business Premium(月額2,390円)の倍以上になる。
ユーザごとにセキュリティ要件をシビアに検討し、管理者だけにE5を導入して、テレワークの社員はE3、出社する社員はBusiness Premiumといった具合に、それぞれに最適なプランを割り当てることで、コスト最適化するべきだ。
※価格は投稿時点での価格です。
【継続的に運用を見直し】
クラウドサービスにおいて静的なアーキテクチャは存在しないと考えるべきだ。Microsoft 365についても、頻繁に管理画面のUIがアップデートされ、どんどん新しい機能も追加されていく。ゼロトラストにおいても構築して終わりではなく、新しいサービス・ツール・テクノロジを採り入れてアーキテクチャを更新していく必要がある。また、セキュリティ関連の社内規定や法律の改定、業界ルールの変更などに応じて適宜設定を見直すことも重要だ。
NSW株式会社では、Microsoft 365の導入・運営をサポートする様々な支援サービスを提供。
セキュアなハイブリッドワーク環境構築に向けて、ゼロトラスト・アーキテクチャ導入の課題の洗い出しと、E3からE5への買い換えを含む導入計画の策定を支援した全体最適化や、ゼロトラスト環境において、管理端末約5万台のアップデート配信管理を改善したテーマ別最適化など、豊富な導入事例を誇る。
Microsoft 365ユーザで、ゼロトラストに興味・関心のある企業は、ぜひ気軽にお問い合わせいただきたい。
