Windows環境のセキュリティ対策はどうする、どうなる?――Microsoftクラウドセキュリティの現在と未来を追う特集:Microsoft & Windows最前線2021(5)

ニューノーマルな時代に向けたMicrosoft&Windowsテクノロジー活用の新たな道筋を探る本特集。コロナ禍で働き方が一変したといわれて久しいが、そうした時代に合わせた情報セキュリティの在り方について、具体的なMicrosoftのサービスとともに解説する。

» 2021年03月31日 05時00分 公開
[国井傑Microsoft MVP]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

オンプレミスとクラウド、セキュリティ管理の変遷

 コロナ禍であるかどうかに関わりなく、ITインフラを取り巻く環境は数年前から既に変化していました。具体的には、クラウドとモバイルを活用したITインフラの仕組みであり、それを「働き方改革」や「デジタルトランスフォーメーション(DX)」といった表現で推進してきたいきさつがあります。そのため、クラウドとモバイルを活用した仕組みは今後、企業にますます浸透していくことになるでしょう。

 そうなるとオンプレミスにサーバを配置して運用していた時代から前提条件が変わるため、それに合わせたセキュリティ対策が重要になります。社内にサーバがあった時代はファイアウォールを中心とした境界型のセキュリティ対策で、「社内は安全、外は危険」という発想でサイバー脅威から防御してきました。しかし、クラウドとモバイルを活用したITインフラではクライアントもサーバも社内にはない状態であり、社内という場所にとらわれないセキュリティ対策が求められます。

 そこで、近年活用されるセキュリティ対策の概念として「ゼロトラスト」が出てきました。ゼロトラストは場所に関係なく、サービスへのアクセスが安全であることを常に検証し、アクセスを制御するセキュリティモデルです。クラウドとモバイルを活用する時代ではゼロトラストモデルをベースとしたセキュリティ対策が世の中の潮流であり、Microsoftもまたゼロトラストモデルに基づくセキュリティサービスを提供しています(図1)。

図1 図1 社内からのアクセスを安全と見なす境界型防御(左)と場所を問わず安全なアクセスであることを常に検証するゼロトラスト(右)

分野別Microsoft 365 & Windows 10セキュリティ管理のポイント

 ゼロトラストモデルでは、サービスへアクセスするたびに、それが安全であるかどうかを検証します。このとき、「何をもって安全なアクセスとするか?」はゼロトラスト関連サービスを提供するベンダーによって考え方が異なる場合がありますが、基本的には「サービスにアクセスしようとする主体の構成要素が安全であるかどうかを検証する」と定義していることが多いようです。ここでの「主体の構成要素」としては、主に次の4つの要素が挙げられます。

  • ID
  • デバイス
  • アプリケーション
  • データ

 従業員数300人以上の企業で利用可能な「Microsoft 365」のライセンスとしては、Microsoft 365 E3とMicrosoft 365 E5の2つがあります。どちらも「Office 365」と「Windows 10」のライセンスに加え、クラウドセキュリティを実現するサービス群「Enterprise Mobility+Security(EMS)」が含まれており、ゼロトラストの実現に必要なサービスの多くはEMSの機能として提供されます。EMSの各サービスは、先に挙げた4つの要素に図2のように対応しています(「Microsoft Defender for Endpoint」のみWindows 10 E5のライセンスを通じて提供)。

図2 図2 Microsoft 365に含まれる主な要素別サービス一覧

column:構成要素に「ネットワーク」を含まない理由

 上記4つの構成要素(ID、デバイス、アプリケーション、データ)の中に「ネットワーク」が含まれていないことに気が付いた方もいるでしょう。確かに、ネットワークは主体の構成要素の一つと考えることができますが、境界型防御の時代からすると、近年はその重要度が低くなっています。筆者自身もお客さまと話をしていると「社内からのアクセスだけを認めたい」という要望を伺うことが多くなっています。

 しかし、クラウドサービスから見た社内ネットワークはIPアドレスで定義する他なく、IPアドレスで安全なアクセスを検証しようとすると、DHCPによってIPアドレスが変化したり、マルウェアに感染したデバイスが社内に混入することで危険なデバイスが社内のIPアドレスから活動したりするなど、信頼できない要素がいろいろと生まれます。そのため、ここではネットワークを構成要素からは外しているのです。



ID分野におけるセキュリティ対策

 本稿執筆時点でも多くの企業でOffice 365が使われていますが、そのID管理を担当するサービスが「Microsoft Azure Active Directory」(以降、Azure AD)です。Azure ADはOffice 365のID管理だけでなく、さまざまなクラウドサービスに関連付けることで、Azure AD経由でのクラウドサービスへのシングルサインオン(SSO)を実現します(図3)。

図3 図3 Azure ADに一度サインインするだけで、さまざまなクラウドサービスへ再度サインインしてアクセスする必要がなくなる

 SSOが可能なようにAzure ADに関連付けられたクラウドサービスは、ユーザーやグループをベースにしたアクセス許可設定はもちろん、Microsoft 365 E3/E5に含まれる「条件付きアクセス」と呼ばれるアクセス制御を同時に実施できます。

Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。