自社のセキュリティ対策に課題を感じており、厳しいセキュリティモデルである「ゼロトラスト」を実現したいと考えている企業も多いでしょう。この記事では、マイクロソフトでゼロトラストを実現する方法を知りたい人に向けて、マイクロソフトが提供しているゼロトラスト関連製品の機能やメリットなどについて解説します。ぜひ参考にしてください。
ゼロトラストとは?セキュリティに対する厳しい考え方
ゼロトラストとは、アメリカの調査会社が提唱した厳しいセキュリティモデルです。すべてのアクセスを信用しないという考え方をベースとして、厳しくセキュリティ管理することを指します。
ゼロトラストの重要性
テレワークの導入やサイバー攻撃の多様化により、社内外からのサイバー攻撃のリスクは高まっています。サイバー攻撃により情報漏えいやシステム停止といったトラブルが起こる可能性があり、回避するにはゼロトラストに基づいたセキュリティ対策が重要です。
ゼロトラストに基づいたセキュリティ対策とは?
ゼロトラストに基づいたセキュリティ対策ではすべてを疑ってかかることが重要です。具体的には「アクセスするたびに常に認証や承認を求める」「ユーザーアクセスを限定する」「何らかの侵害があることを前提とした対策をする」などが挙げられます。
ゼロトラストが求められる背景とは?
ゼロトラストが求められる理由は何なのでしょうか。以下では、ゼロトラストが求められる背景について解説します。
クラウドサービスの利用が増加したこと
社内ネットワークでデータを保存するのではなくクラウドサービスを利用したデータ保存や共有が進んでいます。クラウドサービスの利用で社内外からのアクセスが増えたため、機密情報などを守るためにゼロトラストの考え方が重要です。
テレワークの導入が進んだこと
テレワークの導入が促進されたことで、スマートフォンやタブレットなどさまざまな端末や社外からのアクセスが増加しました。個人用のパソコンなどからアクセスする機会も増え、従来のセキュリティ対策では対応が難しくなっています。
情報漏えいのリスクが高まっていること
外部からのサイバー攻撃だけでなく、内部不正によって情報が漏えいしてしまう事件が多くなっています。そのため、外部からのアクセスだけでなく内部ネットワークについても厳重な管理や監視の重要性が高まっています。
ゼロトラストを実現するために必要な要素
ゼロトラストを実現するために必要な要素は大きくわけて6つあります。
ID の確認
ゼロトラストでは信頼できるユーザーに限定したアクセス承認が重要です。そのため、すべてのアクセスに対して ID 確認を毎回行います。
デバイスの認証
信頼できるデバイスに限定したアクセス承認やアプリの利用が大切になるため、ネットワークにアクセスするデバイスの認証をアクセスのたびに行います。
社内アプリへのアクセス許可
アプリ内でのアクセス許可を適切に行いましょう。ユーザーの行動を監視し、アプリへのアクセスの許可・不許可をリアルタイムで判断します。
データの保護
データファイルの閲覧制限によって、データを保護しましょう。データをラベリングして閲覧できる範囲を決定、暗号化やアクセス制限などを行って保護します。
最小特権アクセス
誰がどのデータにアクセスでき、どのようなアクションが許可されているかを把握し、セキュリティと生産性のバランスをみながらアクセスできる人を最小限にします。
内部ネットワークの暗号化
内部不正の可能性もあるため、内部ネットワークであっても信頼してはいけません。内部通信についても暗号化して、セキュリティを高めましょう。
マイクロソフトの製品でゼロトラストを実現!
マイクロソフト社からゼロトラスト関連の製品がリリースされています。ここでは、「Azure AD」と「Azure Sentinel」について解説します。
「Azure AD」でアクセス管理
「Azure AD」とはクラウド上で ID 管理およびアクセスを管理するサービスです。ゼロトラスト実現のベースとなるサービスとして知られており、セキュリティレベルの向上に役立ちます。
AI を活用した「Azure Sentinel」
「Azure Sentinel」とは、AI とクラウドを活用した新しいセキュリティソリューションです。導入しているシステムからセキュリティ情報を集めて問題を検知、サイバー攻撃などによるトラブルを未然に防ぎます。
詳しくは、以下をご覧ください。
ゼロトラスト製品「Azure AD」の機能や導入のメリットは?
ゼロトラスト実現のベースともいわれている「Azure AD」にはどのような機能・メリットがあるのか解説します。
「Azure AD」とはどのようなサービスなのか
「Azure AD」とは、クラウド上での ID 管理およびアクセス管理を行うサービスです。「Azure AD」の導入により、管理者はシステムやアプリなどへのアクセス制限や多要素認証などの認証機能強化が図れます。適切なアクセス管理ができるため、生産性とのバランスを取りながらセキュリティレベル向上を実現できます。
「Azure AD」の主な機能
シングルサインオン(SSO)機能
シングルサインオンとは、1組の ID・パスワードの組みあわせで複数のアプリケーションやネットワーク、クラウドサービスなどにログインできる機能です。1度認証を行えば、さまざまなシステムにログインできるため、業務がスムーズに進みます。
条件付きアクセス機能
条件付きアクセス機能とは、データやアプリケーションへアクセスできる人数を制限できる機能です。機密性の高いファイルへアクセスできる人を限定することで情報漏えいのリスク軽減が可能です。また、マルウェアなどの感染リスクも抑えられます。
統合認証基盤
統合認証基盤とは、複数のシステムやクラウドサービスでシングルサインオンを実現するために必要な機能です。シングルサインオンの実現には各システムなどの ID 登録が必要になりますが、統合認証基盤ではユーザーの ID 管理を統合的に行えます。
「Azure AD」のメリット
低コストでセキュリティを強化できる
「Azure AD」は、サーバー購入などの初期費用が必要なく、導入や運用にかかるコストが比較的安いです。認証機能によるセキュリティ向上が低コストで実現できるため、コスト面での不安がある場合でも安心して導入できます。
ID やパスワードの管理に手間がかからない
シングルサインオンによって、ID やパスワード管理の手間が軽減することも大きなメリットです。シングルサインオンでは1組の ID とパスワードの組みあわせでさまざまなシステムやクラウドサービスにログインできるため、複数の ID・パスワードを管理する必要がありません。
ユーザーの一括管理ができる
シングルサインオンと統合認証基盤によって、ユーザーの一括管理が可能です。さまざまなシステムのユーザー ID を一括で管理できるため管理の手間がかからず、社員からの問い合わせも減るなど、管理者の業務が軽減されます。
「Azure AD」のライセンスと価格
「Azure AD」にはどのようなライセンスがあるのでしょうか。ここでは、ライセンスの種類と価格について解説します。
無料ライセンス
無料ライセンスは、その名のとおり無料での利用が可能です。シングルサインオンや基本的なセキュリティ、使用状況レポート機能などがあります。ただし、条件付きアクセス制限やパスワード保護などはできません。
Office 365 アプリ
シングルサインオンや基本的なセキュリティなど、機能については無料ライセンスと変わりません。「Azure AD」のほかに、クラウド上で利用可能な Office 365 アプリ(Word・Excel・PowerPoint)の管理機能が追加されていることが特長です。
Premium P1
Premium P1は有料ライセンスで、無料ライセンスで利用できる機能に加えて、パスワードの保護や条件付きアクセス、Azure AD Join、権限やグループの管理などの機能が追加されています。料金は1ユーザーあたり月額672円です。
Premium P2
Premium P2は Premium P1で利用できる機能に加えて、サイバー攻撃への強化や脆弱性への対策などが強化されているプランです。アクセス監視や管理、脆弱性の高いアカウントの検出などができます。料金は1ユーザーあたり月額1,008円です。
「Azure Sentinel」とはどのようなサービスなのか?
「Azure Sentinel」とは AI を活用した高度なセキュリティ分析のできる、セキュリティソリューションです。以下では、どのような機能やメリットがあるのか解説します。
「Azure Sentinel」の主な機能
セキュリティ情報イベント管理 (SIEM)
セキュリティ情報イベント管理では、各種サーバーやアプリケーション、ファイアウォールなどから情報を集めます。集めた情報を基にして自動で相関分析が行えるため、トラブルや異常などの素早い検知が可能です。
セキュリティ オーケストレーション自動応答 (SOAR)
セキュリティーオーケストレーション自動応答では、セキュリティツールから情報を収集し、情報順位の位置づけやインシデントの自動対応などが可能です。また、自動検索や対応履歴の自動保存、報告書の自動作成など、さまざまな対応を自動で行えます。
「Azure Sentinel」のメリット
あらゆるセキュリティデータを収集する
「Azure Sentinel」では、AI を活用してユーザーやデバイス、アプリケーションなどのあらゆる場所からセキュリティデータの収集が可能です。さまざまなデータを素早く収集でき、企業全体のデータ確認が行えます。
脅威を自動的に検出する
「Azure Sentinel」では AI による脅威を検出できることが特長です。マルウェアなどの特長や傾向などを学習させることで、マルウェアなどの脅威を自動的に検出でき、重大なセキュリティトラブルを未然に防げます。
迅速なセキュリティ対策が実現できる
「Azure Sentinel」ではあらゆるセキュリティデータを統合し、一括管理が可能です。また、脅威の位置づけやインシデントへの対応などが自動で行われるため時間のロスもなくなり、データやシステムの保護を迅速に行えます。
「Azure Sentinel」の利用料金
「Azure Sentinel」の料金は容量予約と従量課金制の2種類に分けられます。従量課金制は取り込まれた1GB あたり224円です。容量ごとの料金は以下のとおりです。
| 容量 | 1日あたりの料金 |
|---|---|
| 100GB | 11,200円 |
| 200GB | 20,160円 |
| 300GB | 29,120円 |
| 400GB | 37,332.96円 |
| 500GB | 44,800円 |
| 500GB以上 | 44,800+8,960円(100GB 増量ごと) |
ゼロトラストセキュリティを実現するための課題と対策
ゼロトラストセキュリティを実現するための課題として、セキュリティに詳しい人材の不足が挙げられます。対策としては、クラウド型セキュリティサービスなどの外部サービス導入があります。外部サービスであればメンテナンスや運用の手間がかかりません。
業務効率が低下する可能性があることも課題です。社内システム利用時にはシングルサインオンでのアクセス許可を導入するなど、利便性とセキュリティの両立を心がけましょう。
ゼロトラストセキュリティ導入はコストがかかります。どの程度セキュリティ分野に投資できるのか検討し、自社にあったサービスを選びましょう。サービスによって提供される機能は異なるため、コストとのバランスをみながら検討します。コストパフォーマンスの高いサービスとしては、「Microsoft 365 E5 Security」が挙げられます。
まとめ
ゼロトラストとはすべてのアクセスを信用しないという考え方をベースとした、厳しいセキュリティモデルです。クラウドサービスの普及やテレワークの促進、内部不正などによる情報漏えいの増加などでゼロトラストの重要性が高まっています。
SBテクノロジーの「SIEM 構築・運用支援サービス for Microsoft Sentinell」は、「Azure Sentinel」の導入を支援するサービスです。マイクロソフトのセキュリティソリューションに関するノウハウも豊富であるため安心して任せられます。
また、ゼロトラストセキュリティを実現するクラウド型セキュリティサービス「Microsoft 365 E5 Security」の提供も行っています。セキュリティ対策の強化やサイバー攻撃に対するリスク対策だけでなく、コストダウンの実現も可能です。ゼロトラスト導入をお考えなら、ぜひ一度オンラインセミナーを受講してください。
