Azure Managed Service Column <Azure運用コラム>

Microsoftが提唱するゼロトラストセキュリティの構成要素について

Category: 入門編

2022.08.23

Azure AD + Microsoft Intune + Azure Sentinel で実現するゼロトラストセキュリティをご紹介!

近年の DX(デジタルトランスフォーメーション)推進、テレワークの普及、クラウドサービスの進化といった背景から、様々な業務アプリケーションや業務データに、いつでも、どこからでもアクセスできるようになりました。しかしその反面、セキュリティ事故が急増しています。企業にとって重要な業務データや情報資産を保護するためのセキュリティ対策が重要な課題となっています。

これからのセキュリティ対策で昨今注目されているのがゼロトラストという概念です。本記事ではゼロトラストについての基礎知識、そして従来のセキュリティ対策との違いについて解説し、Microsoft が提供するゼロトラスト構成要素である Azure AD、Microsoft Intune、Azure Sentinel のそれぞれのサービス概要、機能、価格について紹介します。

1. ゼロトラストの基礎知識

ゼロトラストとは 2010 年に Forester Research 社より提唱されたセキュリティ対策の概念です。近年、特に場所を問わない働き方、デバイスの多様化によりこの概念が普及してきました。まずはゼロトラストを理解するために必要な基礎知識を解説します。

1.1 ゼロトラストセキュリティとは

ゼロトラストとは「全て信頼しない」ことをコンセプトとした概念です。社内ネットワークと、社外ネットワーク(インターネット)といったネットワークの境界や、デバイスを問いません。都度セキュリティチェックを実施することで「データへのアクセスそのもの」のセキュリティを担保する考え方です。

1.2 従来の境界型セキュリティとは

ゼロトラストの概念が登場し普及したことで、従来のセキュリティ対策のコンセプトを指し示すものとして「境界型セキュリティモデル」という言葉で定義されるようになりました。

境界型セキュリティモデルとは、社内ネットワークと、社外ネットワークとの境界にファイアウォール、IPS、UTM などのセキュリティアプライアンスを設置し、内・外の境界線で侵入を防ぐ手法です。従来の手法として紹介していますが、この形は現在でも多くの企業や組織で運用されています。

1.3 境界型セキュリティの問題点

境界型セキュリティは外部の脅威に対して対策を行う考え方が前提です。何らかの方法で悪意ある通信が社内ネットワークに侵入した場合、自由に社内の情報にアクセスされてしまう可能性があります。境界型セキュリティモデルは一度侵入を許してしまった攻撃に対する対処が難しいという点が問題点です。特に近年の場所を問わない働き方、デバイスの多様化が定着した労働環境においてはミスマッチな手法と言えるでしょう。

このような状況から最近では、侵入された時の対策を講じるなど「多層防御」の考え方が広まりつつあります。しかし、この多層防御は様々なセキュリティアプライアンスを組み合わせて利用する事になり、管理・運用コストや技術的な難易度が高くなる傾向があります。

1.4 ゼロトラストの優位性

ゼロトラストは「データへのアクセスそのもの」のセキュリティを担保する考え方であり、境界線という概念がありません。ユーザーが様々なサービスやアプリケーションにアクセスする都度、セキュリティチェックが実施されます。「すべての通信を信頼しない」という性悪説に基づくアプローチであるため、場所を問わない働き方、デバイスの多様化が定着した環境においては有効的な手法と言えるでしょう。

2. ゼロトラストの構成要素について

ではゼロトラストの概念を実現するために必要な構成要素とは何でしょう。境界型セキュリティモデルには侵入後の対処と、場所やデバイスに縛られるという制約的な課題がありました。

その課題に対し、ゼロトラストでは、アクセス自体に都度セキュリティチェックを行うことで、境界型セキュリティモデルの制約を解消する事が可能です。この時、ゼロトラストが行うセキュリティチェック(認証)は主に以下 2 点です。

  • ユーザーおよびユーザー関連の情報を保持する ID は正しいか?
  • 対応するデバイス情報(デバイスの種類、整合性など)は正しいか?
またこの要素に加え、セキュリティポリシーに準拠しない通信が発生した場合、いち早く脅威を検出する基盤が必要となります。

以上のことから、ゼロトラストの概念を実現するために、ID認証、デバイス管理、脅威検出基盤という要素が必要であると言えるでしょう。これらの機能を提供するMicrosoft のサービスについて紹介します。

2.1 Azure AD( ID 認証機能+条件付きアクセス機能)

ID 認証に関するサービスを提供するのが Azure AD です。各種クラウドサービスやアプリケーションの ID に対する認証機能を提供するクラウドサービスです。Microsoft 以外のサードパーティサービスとの認証連携や、オンプレミス環境の Active Directory ともユーザー情報を統合できるので、業務に必要なアプリケーションやサービスをほぼ網羅する事ができるでしょう。

他にもシングルサインオン( Single Sign-On )、ID とパスワードの認証と複数組み合わせて使う多要素認証機能、パターンマッチングの認証、IP アドレス単位でのアクセス制御など基本的なセキュリティ管理を実現できるサービスです。

2.1.1 Azure AD が提供する条件付きアクセス機能

全てのアプリケーションやシステムへのアクセスは基本的に ID 認証を前提としています。つまり、ID 認証のリクエストを厳密に管理することは、ゼロトラストを実現するために、大変重要な機能と言えます。ここでは Azure AD が持つ条件付きアクセス制御機能について紹介します。

Azure AD の条件付きアクセスは、アクセスしてきたユーザーが「割り当て」条件に合致するかを判断し、合致するものに「アクセス制御」条件を付与します。

「割り当て」条件として、ユーザーの IP アドレス、デバイス OS、どのアプリケーションにログインしようとしているのか、ログイン試行回数など様々な条件を指定することができます。この時、後述する Microsoft Intune と連携してデバイスの状態を細かく条件とすることも可能です。

該当する通信は「アクセス制御」条件に基づき、アプリケーションへのコントロール権限を設定したり、多要素認証を求めたり、権限を付与したりアクションを要求することができます。このように、Azure AD にはユーザーのアクセス状況によってアクセスを細かく制御することができる機能があります。

2.1.2 Azure AD のライセンス形態

Azure AD には無料で利用できるエディション、Microsoft 365 に付属するエディション、セキュリティ機能が強化された Premium P1、Premium P2 という有償のエディションが用意されています。認証機能は無料のエディションや Microsoft 365 に含まれるものでも実現可能ですが、今回ご紹介した、条件付きアクセス機能は Premium プランで利用可能な機能です。価格については公式サイトでご確認ください。

2.2 Microsoft Intune(デバイス管理機能)

デバイス情報を管理するのが Microsoft Intune です。これは、各種デバイスを一元的に管理するためのクラウドサービスです。誰がどのデバイスを利用しているか、デバイスのアクセス制限、Windows Update 等の更新状態、インストールされているアプリケーション管理や利用制限などが可能です。テレワークの普及により、社外で業務をする機会が増加する中で、デバイスを安全に利用するために大変有効な機能です。Azure AD がユーザー情報の統合管理を実現するのに対し、Microsoft Intune はデバイス情報の統合管理を実現します。

また先述した、Azure AD の条件付きアクセス機能で連携が可能です。さらに細かい条件の指定により強固なアクセス管理を実現します。例えば、Windows Update が最新ではない場合や、不明なアプリケーションをインストールしている等、Intune で設定したポリシーに準拠していないデバイスからのアクセスを拒否する等の設定が可能です。

2.2.1 Microsoft Intune のライセンス形態

Microsoft Intune は主に Microsoft 365 サービスのライセンスに含まれています。Microsoft 365 が提供するセキュリティ機能と併せ、デバイスの多様化が進む近年、注目されている機能と言えるでしょう。

2.3 Azure Sentinel(脅威検出機能)

Azure Sentinel はクラウド型の脅威検出サービスです。様々なアプリケーションやクラウドサービス、OS やソフトウェア、サーバーやネットワーク機器などのハードウエアからログを収集し、脅威を検知する機能です。クラウド上で SIEM( Security Information Event Management )の役割を果たしています。

SIEM は従来、オンプレミス環境に構築されることが多いシステムでした。大量のログデータを収集・分析を行い、高精度な検出を実現するために、高性能なコンピュータと大量のストレージが必要なことから、構築・運用コストが高いシステムでもありました。

しかし近年のクラウド技術の進化により、クラウド環境でも高性能で大容量のストレージを利用できるようになり Azure Sentinel ではクラウド型のサービスとして利用できるようになりました。脅威の検出に加え、自動応答機能も提供されるため、構築・運用コストを削減しながら迅速かつ効果的な対応が可能です。

2.3.1 Azure Sentinel の価格

Azure Sentinel は取り込むデータに対する利用料金と、ログの保管場所であるAzure Log Analyticsワークスペースの両方の利用料金が発生するため注意が必要です。価格の詳細については公式サイトでご確認ください。

3. まとめ

本記事では、Microsoft が提供するゼロトラスト構成要素である Azure AD、Microsoft Intune、Azure Sentinel が提供するそれぞれの機能について解説しました。今回ご紹介した 3 つのサービスについて、それぞれオプションや細かい設定等もありますが、ゼロトラストが示す概念を実現できるでしょう。

現状では境界型セキュリティモデル、または境界型とゼロトラストモデルを併用したハイブリッドな環境で運用されている企業もまだまだ多く存在します。新型コロナ感染防止の観点から、緊急的にテレワークが普及したという背景もありましたが、今後も DX 化の流れ、働き方改革の流れは継続すると考えられます。自社のセキュリティ対策について、専門家の支援を受けながらゼロトラストモデルの導入をご検討されることを推奨いたします。

Azure セキュリティについて相談する

Azuresセキュリティ対策サービス

Azure セキュリティ対策サービス

Azure 環境に対する、Azure Security Center を利用したセキュリティ対策の評価と対策のご提示、ユーザーごとの適切な権限と条件付きアクセスポリシーの定義、シングルサインオンの導入計画の策定などを行います。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Azure導入個別相談会(無料)

Tag: Azureセキュリティ

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php