デジタル トランスフォーメーション(DX)を実現するため、クラウド サービス (パブリック クラウド、プライベート クラウド、ハイブリッド クラウド など) を組み合わせたシステムが急速に増加している一方で、「ゼロトラスト アーキテクチャ」に基づいたセキュリティ対策の重要性が増してきていると思います。
そのため、ゼロトラスト セキュリティ を Azure, Microsoft 365, Microsoft Intune などのサービスを使用して実現するための方法について、今後 まとめていこうと思います。
今回は、第1回として ゼロトラストの概要、ゼロトラストを実現するための技術要素について、自分の整理も兼ねて、まとめてみようと思います。
ゼロトラスト セキュリティ とは
「社内/社外に問わず誰も信頼せず、すべて検証する」というゼロトラスト アーキテクチャ に基づき、「最小限の特権アクセス」、攻撃を受けることを前提に「暗号化によるデータ保護」、ネットワーク、ユーザー、デバイス、アプリケーション別にアクセスを区分し「脅威の検出/自動対処」、および「データポイント (ユーザーID、場所、デバイス、サービスなど) に基づく認証/認可」などのセキュリティ対策を実施することで、重要な情報資産への脅威、マルウェア感染などを防ぐ新しいセキュリティの考え方になります。
オンプレミス システムにおけるセキュリティは、社内ネットワーク、社外ネットワークを分離する「境界型のセキュリティ」が一般的であり、外部からの通信に対して、ファイアウォール、IDS (Intrusion Detection System : 不正侵入検知システム)、IPS (Intrusion Prevention System : 不正侵入防止システム) により防御してきましたが、システムのクラウド化に伴い、社内ネットワーク、社外ネットワークの境界が曖昧になり、従来のセキュリティ対策を取ることが困難になり、また、リモートワーク・テレワークの普及に伴い、ゼロトラスト セキュリティが注目されています。
ゼロトラスト セキュリティ の技術要素
ゼロトラスト セキュリティを実現するためには、以下のポイントについて考慮する必要があるかと思います。
- アクセス コントロール (認証/認可, シングルサインオン(SSO))
- ネットワーク (クラウド制御、ソフトウェア制御)
- エンドポイント (端末管理、データ管理、端末セキュリティ管理)
- ログ (ログ分析、自動対処)
以下に各々のポイントについて簡単にまとめてみようと思います。
アクセス コントロール (認証/認可, シングルサインオン(SSO))
- 対象サービス : IDaaS (Identity as a Service)
- 主要サービス : Azure Active Directory, Okta, Onelogin
- 説明 : 多要素認証(MFA)を使用し、本人性確認による認証、各種リソースへのアクセス認可、複数クラウドサービスへのシングルサインオン、認証用のIDを管理するサービス。
ネットワーク (クラウド制御、ソフトウェア制御)
- 対象サービス : SWG (セキュア WEB ゲートウェイ), CASB (Cloud Access Security Broker)
- 主要サービス : Microsoft Cloud App Security, MVISION Cloud, netskope, Zscaler
※ Zscaler、netskope などのように、一般的に SWG、CASB の両機能を備えたサービスが増えている。 Microsoft Cloud App Security は CASB 機能のみ。
- 説明 (SWG) : 外部WEBページなどへのアクセスをセキュアにするためのゲートウェイ機能であり、URLフィルタリングなどのプロキシ機能、機密情報を自動判定し社外への流出を防止する機能 (情報漏洩防止(DLP))、マルウェアなどを検出するサンドボック機能、SSLの暗号通信を復号することで通信パケットを詳細に分析する機能などを有するサービス。
- 説明 (CASB) : マルウェア感染の危険があるクラウド サービスへのアクセスをブロックするなどの機能、データの暗号化、データの漏洩・改ざんの検知などを行うデータセキュリティ機能、定義したセキュリティ ポリシーを満たしているかチェックし、満たしていない場合にアラートをあげるなどのコンプライアンス機能、どのユーザーがどのクラウドサービス (SaaS) を使用しているかを可視化し、管理者が監視できるようにする可視化機能などを有するサービス。
エンドポイント (端末管理、データ管理、端末セキュリティ管理)
- 対象サービス : UEM (Unified Endpoint Management (統合エンドポイント管理)), DLP (Data Loss Prevention (情報漏洩防止)), EDR (Endpoint Detection and Response)
- 主要サービス (UEM) : Microsoft Intune, Workspace ONE
- 主要サービス (DLP) : Azure Information Protection, druva
- 主要サービス (EDR) : Microsoft Defender for Endopoint, Trend Micro Endpoint Sensor
- 説明 (UEM) : エンドポイントの統合管理、ポリシーを構成し、エンドポイントに対してポリシーを準拠させるなどのコンプライアンス機能を有しているサービス。
- 説明 (DLP) : エンドポイントに対する情報漏洩防止などのデータ保護機能を有するサービス。
- 説明 (端末セキュリティ管理) : エンドポイントに対する高度な攻撃を検出、防止、調査および自動的に対応するサービス。
※ エンドポイント : 企業ネットワークに接続するユーザーが利用するデバイスの総称となり、パソコン、タブレット、スマートフォンなどのデバイスを指します。
ログ (ログ分析、自動対処)
- 対象サービス : SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation and Response)
- 主要サービス : Azure Sentinel, Splunk
- 説明 (SIEM) : 各種クラウドサービスのログ、ファイアウォールなどのネットワーク ログ、OS ログなどのデータを一元的に集約し、収集したデータを相関的に分析し、セキュリティの脅威などを検知および管理者に通知するなどの機能を有するサービス。
- 説明 (SOAR) : セキュリティの脅威などを検知した場合、検知した内容に応じて自動的にアクションするように設定できるなど、問題発生時における対応の迅速化、問題管理(インシデント管理) などの機能を有するサービス。
[補足]
経済産業省 が 2018年に発表した「デジタルトランスフォーメーションを推進するためのガイドライン」では、「デジタルトランスフォーメーション」を「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること。」と定義しています。
まとめ
今回は、 ゼロトラストの概要、ゼロトラストを実現するための技術要素について、まとめてみました。ゼロトラスト セキュリティは単一のサービスのみで実現するのものではなく、複数のサービスを組み合わせて実現していくものになるかと思います。
しかしながら、すべてのサービスを導入するとなると一般的にコストが高額になるため、優先順位をつけて導入を検討されると良いかと思います。
次回は、Azure Active Directory (Azure AD) を使用した、アクセス コントロール (認証/認可, シングルサインオン(SSO)) の機能について、まとめてみようと思います。
【第2回】基本から始めるゼロトラスト ( Azure Active Directory Identity Protection ) へ