Azure Managed Service Column ＜Azure運用コラム＞ゼロトラストネットワークとは？仕組みとメリット、Azureでの実現方法について解説

クラウドや働き方改革を支える新時代のネットワークセキュリティとは

クラウド導入やリモートワーク等、DX（デジタル・トランスフォーメーション）を見据えた対策を導入する企業が増えています。生き残りをかけて DX を目指しさまざまな対策を講じる企業が増える一方で、企業が持つ重要なデータを守るためのセキュリティの考え方も大きく変化しつつあります。

クラウドや場所を選ばない働き方により、企業の情報資産の配置場所やアクセス方法が多様化しており、従来のセキュリティ対策では不十分となりつつあります。

本記事では、新しいセキュリティの考え方として脚光を浴びつつある「ゼロトラストネットワーク」の考え方と、マイクロソフトのクラウド「 Microsoft Azure 」においてゼロトラストネットワークを実現する方法について解説します。

1. ゼロトラストネットワークとは

クラウド利用やリモートワークの普及に伴い、ゼロトラストネットワークという言葉をよく耳にするかもしれません。ゼロトラストネットワークはどのようなものでしょうか。まず、ゼロトラストネットワークの概要について解説します。

1.1　ゼロトラストとは

ゼロトラストとは、「全てのアクセスを信用しない」ことを前提とした、従来と異なる新しいネットワークセキュリティの考え方を指します。

従来のネットワークセキュリティでは、社内ネットワークは保護されているという前提で、重要な情報資産を配置し、社外からの境界に対してファイアーウォールや IDS・IPS 等のセキュリティ対策を施すことが一般的でした。

しかし、昨今のクラウド利用やリモートワークの普及・増加に伴い、情報資産は社内ネットワークとインターネット上に分散して配置され、社内ネットワークへのアクセス方法も多様化したことで境界線が曖昧になってきています。このため、従来のネットワークセキュリティの考え方では十分な対策を行うことが難しくなってきています。

1.2　ゼロトラストネットワークの概要

ゼロトラストネットワークとは、ゼロトラストの考え方を前提として、全てのユーザーとデバイス機器からのアクセスに対して、毎回認証を求めるネットワークセキュリティの考え方と、そのためのシステム構成を指します。ゼロトラストネットワークでは、全てのアクセスに対して下記のような安全性の確認を行います。

• 許可されたユーザーIDであること
• 通常通りの位置情報であること
• 許可されたデバイスであること
• 許可されたサービスやアプリケーションに対するアクセスであること

ネットワークを通る全ての通信に対してこのような認証・確認を行うことで、社内ネットワーク、インターネット関係なく通信の安全性を確保することが可能となります。

1.3　ゼロトラストネットワークのメリット

ゼロトラストネットワークを導入するメリットは下記の通りです。

• どこからでもネットワークにアクセスできる
• シンプルで強固なセキュリティの確保
• コスト削減

どこからでもネットワークにアクセスできる

ゼロトラストネットワークの考え方では、ユーザーはいつでもどこでも、どのデバイスからでも安全にアクセスして必要な情報を参照し、仕事を進めることが可能となります。

シンプルで強固なセキュリティの確保

ゼロトラストネットワークでは、セキュリティ専用製品・ツールを導入せず、シンプルな構成のまま、全てのアクセスを認証することで強固なセキュリティを確保できます。シンプルな構成を取るためクラウド移行もスムーズに行えるメリットもあります。

コスト削減

ゼロトラストネットワークでは、セキュリティ専用製品・ツールの導入を行わずシンプルな構成を取ることでシステム開発のコスト削減も可能となります。

2. Azure Active Directoryとは

マイクロソフトのクラウド、Microsoft Azure では、ゼロトラストネットワーク実現するサービスのひとつとして、Azure Active Directory を提供しています。ここでは、Azure Active Directory の概要と料金体系について解説します。

2.1 Azure Active Directory の概要

Azure Active Directory とは、マイクロソフトが提供するクラウドベースの ID 管理・アクセス管理サービスで、次のリソースへの認証・認可とサインイン（アクセス）機能を提供します。

• Azure サービス、Microsoft 365、その他外部の SaaS アプリケーションなど
• 企業が独自に開発したアプリケーションなどの内部リソース

Microsoft は従来からオンプレミス型の Active Directory を提供していましたが、Azure Active Directory は従来の Active Directory をクラウドサービスの認証に対応させたサービスです。Azure Active Directory は ID（ユーザー）単位で、Azure サービスに対する細かいアクセス制御を行うことができます。そのため、全てのアクセスを疑い、常に認証・認可を行うゼロトラストネットワークの理念に合致しており、ゼロトラストネットワークの認証基盤として利用することができます。

2.2 Azure Active Directory の料金体系

Azure Active Directory には下記 4つ の料金プランが用意されています。

• Azure Active Directory Free
• Office365
• Azure Active Directory Premium P1
• Azure Active Directory Premium P2

Azure Active Directory Free は無料で利用できるが基本的な機能に限定されています。その他のプランは有料となり、それぞれのプランによって利用できる機能に制約があります。

3. ゼロトラストネットワークを実現する Azure Active Directory の機能

Azure Active Directory の機能をもう少し掘り下げてみてみましょう。Azure Active Directory でゼロトラストネットワークを実現するための機能について紹介します。

3.1　Identity Protection

Identity Protection とは、Azure 環境における認証／認可を提供する機能です。Azure だけでなく、M365 や SaaS サービスへのシングルサインオン機能など、統合的なセキュリティ機能を提供しています。

Identify Protection は、アクセスに対して自動的にリスクの検出を行い、匿名 IP や遠隔地からのアクセス、マルウェアとの関連性などリスクレベルに応じてアクセスの遮断や多要素認証の要求、パスワードリセットを行うことができます。

3.2　条件付きアクセス

条件付きアクセスとは、Azure Active Directory　が持つアクセス制御機能で、ポリシーの作成と割当てにより、ユーザーやグループに対して Azure のサービスやアプリケーションへの細かなアクセス制御を設定することを可能とします。

例えば、特定 IP アドレス以外からのアクセスを遮断したり、Identity Protection と連携して匿名や遠距離からのアクセスに対して多要素認証を求めたりするといったことも可能です。また、マイクロソフトが組織のポリシーに「準拠している」と判定したデバイスからのアクセスを許可するといった制御もできます。このように、条件付きアクセスによって、ゼロトラストネットワークで求められるユーザーごとの細かいアクセス制御を実現しています。

まとめ

企業の DX（デジタル・トランスフォーメーション）のために、クラウドや場所を選ばない柔軟な働き方の実現が重要なポイントとなっています。そのため、企業の重要なデータが社内ネットワークの外に置かれるようになり、従来のネットワークセキュリティの考え方では十分に守り切ることができなくなりつつあります。

ゼロトラストネットワークは、こうした時代に対応するセキュリティの考え方で、Microsoft Azure ではゼロトラストネットワークを素早く構築するサービスを提供しています。自社のDXを見据えて、Azure を活用したゼロトラストセキュリティの導入を検討してみてはいかがでしょうか。

Tag： Azure Active Directory ゼロトラストネットワーク 条件付きアクセス

• 

  Azure DNSとは？DNSの基本とAzureが提供するDNSの概要・メリットついて解説

• 

  データウェアハウス（DWH）とは？データベースとの違いとAzureでのデータウェアハウスの実現方法を解説