Azure Managed Service Column <Azure運用コラム>

ゼロトラストネットワークとは?仕組みとメリット、Azureでの実現方法について解説

Category: 実践編

2021.09.10

クラウドや働き方改革を支える新時代のネットワークセキュリティとは

クラウド導入やリモートワーク等、DX(デジタル・トランスフォーメーション)を見据えた対策を導入する企業が増えています。生き残りをかけてDXを目指しさまざまな対策を講じる企業が増える一方で、企業が持つ重要なデータを守るためのセキュリティの考え方も大きく変化しつつあります。クラウドや場所を選ばない働き方により、企業の情報資産の配置場所やアクセス方法が多様化しており、従来のセキュリティ対策では不十分となりつつあります。本記事では、新しいセキュリティの考え方として脚光を浴びつつある「ゼロトラストネットワーク」の考え方と、マイクロソフトのクラウド「Microsoft Azure」においてゼロトラストネットワークを実現する方法について解説します。

1. ゼロトラストネットワークとは

クラウド利用やリモートワークの普及に伴い、ゼロトラストネットワークという言葉をよく耳にするかもしれません。ゼロトラストネットワークはどのようなものでしょうか。まず、ゼロトラストネットワークの概要について解説します。

1.1 ゼロトラストとは

ゼロトラストとは、「全てのアクセスを信用しない」ことを前提とした、従来と異なる新しいネットワークセキュリティの考え方を指します

従来のネットワークセキュリティでは、社内ネットワークは保護されているという前提で、重要な情報資産を配置し、社外からの境界に対してファイアーウォールやIDS・IPS等のセキュリティ対策を施すことが一般的でした。

しかし、昨今のクラウド利用やリモートワークの普及・増加に伴い、情報資産は社内ネットワークとインターネット上に分散して配置され、社内ネットワークへのアクセス方法も多様化したことで境界線が曖昧になってきています。このため、従来のネットワークセキュリティの考え方では十分な対策を行うことが難しくなってきています。

1.2 ゼロトラストネットワークの概要

ゼロトラストネットワークとは、ゼロトラストの考え方を前提として、全てのユーザーとデバイス機器からのアクセスに対して、毎回認証を求めるネットワークセキュリティの考え方と、そのためのシステム構成を指します。ゼロトラストネットワークでは、全てのアクセスに対して下記のような安全性の確認を行います。

  • 許可されたユーザーIDであること
  • 通常通りの位置情報であること
  • 許可されたデバイスであること
  • 許可されたサービスやアプリケーションに対するアクセスであること

ネットワークを通る全ての通信に対してこのような認証・確認を行うことで、社内ネットワーク、インターネット関係なく通信の安全性を確保することが可能となります

1.3 ゼロトラストネットワークのメリット

ゼロトラストネットワークを導入するメリットは下記の通りです。

  • どこからでもネットワークにアクセスできる
  • シンプルで強固なセキュリティの確保
  • コスト削減

どこからでもネットワークにアクセスできる

ゼロトラストネットワークの考え方では、ユーザーはいつでもどこでも、どのデバイスかでも安全にアクセスして必要な情報を参照し、仕事を進めることが可能となります。

シンプルで強固なセキュリティの確保

ゼロトラストネットワークでは、セキュリティ専用製品・ツールを導入せず、シンプルな構成のまま、全てのアクセスを認証することで強固なセキュリティを確保できます。シンプルな構成を取るためクラウド移行もスムーズに行えるメリットもあります。

コスト削減

ゼロトラストネットワークでは、セキュリティ専用製品・ツールの導入を行わずシンプルな構成を取ることでシステム開発のコスト削減も可能となります。

2. Azure Active Directoryとは

マイクロソフトのクラウド、Microsoft Azureでは、ゼロトラストネットワーク実現するサービスのひとつとして、Azure Active Directoryを提供しています。ここでは、Azure Active Directoryの概要と料金体系について解説します。

2.1 Azure Active Directoryの概要

Azure Active Directoryとは、マイクロソフトが提供するクラウドベースのID管理・アクセス管理サービスで、次のリソースへの認証・認可とサインイン(アクセス)機能を提供します。

  • Azureサービス、Microsoft365、その他外部のSaaSアプリケーションなど
  • 企業が独自に開発したアプリケーションなどの内部リソース

Microsoftは従来からオンプレミス型のActive Directoryを提供していましたが、Azure Active Directoryは従来のActive Directoryをクラウドサービスの認証に対応させたサービスです。Azure Active DirectoryはID(ユーザー)単位で、Azureサービスに対する細かいアクセス制御を行うことができます。そのため、全てのアクセスを疑い、常に認証・認可を行うゼロトラストネットワークの理念に合致しており、ゼロトラストネットワークの認証基盤として利用することができます。

2.2 Azure Active Directoryの料金体系

Azure Active Directoryには下記4つの料金プラン(※1)が用意されています。

  • Azure Active Directory Free
  • Office365
  • Azure Active Directory Premium P1
  • Azure Active Directory Premium P2

Azure Active Directory Free は無料で利用できるが基本的な機能に限定されています。その他のプランは有料となり、それぞれのプランによって利用できる機能に制約があります。

※1参考:Azure Active Directoryの価格

3. ゼロトラストネットワークを実現するAzure Active Directoryの機能

Azure Active Directoryの機能をもう少し掘り下げてみてみましょう。Azure Active Directoryでゼロトラストネットワークを実現するための機能について紹介します。

3.1 Identity Protection

Identity Protectionとは、Azure環境における認証/認可を提供する機能です。Azureだけでなく、M365やSaaSサービスへのシングルサインオン機能など、統合的なセキュリティ機能を提供しています。

Identify Protectionは、アクセスに対して自動的にリスクの検出を行い、匿名IPや遠隔地からのアクセス、マルウェアとの関連性などリスクレベルに応じてアクセスの遮断や多要素認証の要求、パスワードリセットを行うことができます。

3.2 条件付きアクセス

条件付きアクセスとは、Azure Active Directoryが持つアクセス制御機能で、ポリシーの作成と割当てにより、ユーザーやグループに対してAzureのサービスやアプリケーションへの細かなアクセス制御を設定することを可能とします。

例えば、特定IPアドレス以外からのアクセスを遮断したり、Identity Protectionと連携して匿名や遠距離からのアクセスに対して多要素認証を求めたりするといったことも可能です。また、マイクロソフトが組織のポリシーに「準拠している」と判定したデバイスからのアクセスを許可するといった制御もできます。このように、条件付きアクセスによって、ゼロトラストネットワークで求められるユーザーごとの細かいアクセス制御を実現しています。

あわせて読む:条件付きアクセスでゼロトラストセキュリティを実現する

まとめ

企業のDX(デジタル・トランスフォーメーション)のために、クラウドや場所を選ばない柔軟な働き方の実現が重要なポイントとなっています。そのため、企業の重要なデータが社内ネットワークの外に置かれるようになり、従来のネットワークセキュリティの考え方では十分に守り切ることができなくなりつつあります

ゼロトラストネットワークは、こうした時代に対応するセキュリティの考え方で、Microsoft Azureではゼロトラストネットワークを素早く構築するサービスを提供しています。自社のDXを見据えて、Azureを活用したゼロトラストセキュリティの導入を検討してみてはいかがでしょうか。

Azureを利用したゼロトラストネットワークの構築を任せたい

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag: Azure Active Directory ゼロトラストネットワーク 条件付きアクセス

関連記事

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php