本記事ではゼロトラストを実現するためのソリューションを一部提供しているマイクロソフト社の製品について、なぜ必要なのかどういった製品なのかを中心に分かりやすく解説しています。
ゼロトラストとは何か
ゼロトラストはアメリカの調査会社Forrester Research社が、2010年に提唱したセキュリティモデルです。ゼロトラストは「全てのアクセスを信頼しない」との考えの下、全てのユーザーとデバイス機器からのアクセスに対して、毎回認証を求めます。本人や安全性が確認できたアクセスしか、社内システムやアプリケーションにログインできません。
毎回ログインが必要なため、アクセスした場所や時間は関係がありません。1分前にログアウトした場合でも、カフェや自宅からログインした場合でも認証は毎回求められます。そのため、場所や時間を問わない働き方を実現するだけでなく、セキュリティレベルの確保を実現できます。
クラウドサービスの利用が増えてきた企業にとって、ゼロトラストは強固なセキュリティ対策を実現する手段の1つとして注目されています。
マイクロソフトのゼロトラスト製品は2つ
Azure Active Directory (Azure AD) とAzure Sentinelの特徴を紹介していきます。
ゼロトラストの基盤にもなるAzure Active Directory(Azure AD)
ゼロトラストの基盤となるAzure ADとは?
Azure ADは、クラウド上におけるユーザーIDの管理や認証機能を提供するIDaaSサービスです。管理者は、アプリケーションやシステムへのアクセス制限や多要素認証といった認証機能を強化することで、セキュリティレベルを上げることが可能です。
同じくMicrosoft者がWindows 2000から導入を始めた、ActiveDirectoryのクラウド版と考えてください。ActiveDirectoryは、社員のユーザーIDやメモリやCPUなどコンピューターリソースの一元管理の他、システム内のアクセス制限を行っていました。
クラウドサービスは、ActiveDirectoryが管理するドメインの範囲外であるため、利便性が失われるケースがあります。クラウドサービスへの対応と利便性を保つためにAzure ADが開発されました。
ゼロトラストを実現するためにAzure ADが提供する3つ
Azure ADの3つの機能を紹介します。
シングル サインオン
シングルサインオンはデータファイルやアプリケーションのログイン時に、パスワードを1つだけで利用可能です。アプリケーションやシステムごとに、複数のパスワードを用意する必要がありません。また、単一のパスワードを使い回しできるので、業務効率性と利便性を確保できます。
条件付きアクセス
重要なファイルやアプリケーションのアクセス許可をユーザーやグループごとといった、アクセス許可の人数を制限します。ログインできるユーザーを絞ることで、内部情報漏洩やマルウェア感染のリスク軽減が可能です。例えば、営業職の社員には顧客実績や売上実績、見積データなどのデータファイルやシステムへのアクセスを許可する一方で、人事や総務が管理している給与データや従業員データへの閲覧はできないといった明確に制限をすることで、情報流出を防ぎます。
統合認証基盤
システムやアプリケーションへのシングルサインオンを実現するためには、全てのシステムでID登録が必要です。別途ID管理システムを導入した場合、管理者の業務に負担がかかるだけでなく、スピーディーな認証機能も実現できません。シングルサインオンと単一のID管理を同時に実現するためには、統合認証基盤が必要です。
Azure ADを導入するメリット
サイバー攻撃への対策、多様な働き方の実現、業務負担軽減が主なメリットになります。
リモートワークにおけるサイバーセキュリティ攻撃のリスクが減る
本人認証が確認できたアクセスしかログインを許可しないため、不正な外部からのアクセスの侵入等サイバーセキュリティ攻撃を防ぎます。毎回全てのユーザーとデバイス機器からのアクセスに認証を求めるので、場所や時間は関係ありません。高い安全性を確保することができるため、Azure ADを導入してテレワークを認める企業も増えてきました。
ユーザー認証を簡略化できる
シングルサインオンができるため、1つのIDとパスワードでログインができます。複数のパスワードを管理しなくてすむので、管理の手間やメモの紛失の心配をする必要はありません。
様々なクラウドサービスのアカウントを一括管理できる
シングルサインオンの実現と社員のIDを一元管理できるため、ユーザーである社員、管理者、企業に様々なメリットがあります。表にまとめました。
| ユーザー | 企業 | 管理者 | |
| 導入効果 |
|
|
|
Azure ADのライセンスは4種類
それぞれのライセンスで使用できる機能が異なります。本格的なセキュリティ対策を行う場合は、無料ではやや対策が限定されます。
Azure AD Free
無料で利用できるライセンスです。パスワード保護や条件付きアクセスの設定ができないといった点もあり、セキュリティレベルの確保には限度があります。
利用可能な機能を一部まとめました。
| 機能名 | 導入効果 |
| シングルサインオン | 1つのIDとパスワードで、アプリや社内ファイルにログイン可能 |
| フェデレーション機能 | 別のシステムやアプリでのログイン時に認証されていれば、再度認証を求めなくてもログインを許可 |
| 基本的なセキュリティと使用状況レポート | 自社システム内とデバイス機器のセキュリティ状況の確認 |
本格的なセキュリティ対策をこれから始めようとしている企業におすすめです。無料で始められるため、コストをかけずに機能の導入効果を確認できます。
Azure AD Office 365
Azure AD Freeの機能に加え、クラウド上で利用できるワード・Excel・パワーポイントを提供しているオフィス365アプリの管理機能を追加したプランになります。追加された機能は下記になります。
本格的なセキュリティ対策を始めようとしている方におすすめです。基本的にはAzure ADFreeの機能とほとんど変わりません。
Azure AD Premium 1
1ユーザーあたり672円/月で利用できるプランになります。条件付きアクセスやパスワードの保護、Azure AD Join機能などが利用可能です。企業の情報セキュリティレベルを上げる手段として、人気を集めています。
| 機能内容 | 導入効果 | |
| 条件付きアクセス |
| |
| パスワードの保護 |
| |
| Azure AD Join | ||
| アプリケーションプロキシ |
|
オンプレミスからクラウド上の管理へ本格的に移行を検討している企業におすすめです。どちらにも対応できる機能が揃っているので、スムーズに移行することができます。
Azure AD Premium 2
1ユーザー1,008円/月でAzure ADPremium 1の機能に加え、脆弱性への対策と機密情報を狙うサイバー攻撃への強化を高めたプランになります。 企業規模にもよりますが、情報資産を狙うセキュリティ対策への強化と経済的余裕がある企業であれば、検討価値のあるライセンスでしょう。
Azure ADPremium 2で加わった機能をまとめました。
- 脆弱性の高いアカウント検出
- 脅威検知
- リスクに基づいた条件付きアクセス
- アクセスの制御・監視・管理(PIM)
セキュリティ対策を以前から実施していて、更なる強化を行いたい企業におすすめです。脆弱性へのセキュリティ強化や重要なファイルへのアクセス制御・監視も可能であるため、不審なアクセスのリスク軽減ができます。1ユーザー¥1,000/月であるため、経営状況と人数に応じて導入することをおすすめします。
AIを用いたセキュリティ検知のAzure Sentinel
Azure Sentinelとは?
Microsoftが提供しているAIを活用したセキュリティソリューションです。SIEMとSOARを組み合わせたソリューションで、導入しているネットワーク製品やセキュリティ製品からの情報を自動で相関分析し、素早くインシデントを検知します。効率的なセキュリティ運用を自動で実現できるセキュリティソリューションとして、注目を集めています。
Azure Sentinelの注目すべき2つの機能とは
SIEMとSOARについてまとめました。
クラウド規模でのデータの収集と脅威の検出(SIEM)
SIEM(Security Information and Event Management)は、ファイアーウォールや各種サーバー、アプリケーションなどからログを集めて一元管理します。 ただ情報を集めるだけでなく自動で相関分析をすることで、異常や異変を早期に発見することが可能です。セキュリティインシデントと呼ばれるサイバー攻撃やマルウェア感染は、初動対応が重要です。被害を拡大させないためにも、システム上の脅威を広範囲に検出できるSIEMの注目度はここ数年増しています。
セキュリティオーケストレーション自動応答(SOAR)
SOAR(Security Orchestration, Automation and Response)は、情報の優先順位の位置づけとインシデントの自動対応が特徴です。機能の特徴をまとめました。
| 種類 | 機能内容 | 導入効果 |
| 情報の優先順位付け |
| |
| インシデントの自動対応 |
| |
| レスポンス |
|
Azure Sentinelを導入するメリット
精度の高い脅威検出とインシデントへの迅速な対応が主なメリットになります。
AIを用いてデータ全体から未知のマルウェアなどの脅威を検出
未知のマルウェアと既知のマルウェア両方に対して効果的なアプローチが期待できます。膨大なファイルデータからマルウェアの特徴や傾向を学習させることで、少しでも異変を感じれば検知します。未知の要素をミックスさせたマルウェアに対しても、精度の高い検出が可能です。従来のセキュリティ製品を組み合わせてマルウェアの侵入を防ぐ方法だと、未知のマルウェアの検知やWindowsのPowerShellを悪用したファイルレス・マルウェアに対して十分な対策ができませんでした。AIを利用することで、精度の高いマルウエア検出が可能になります。
速やかにセキュリティ問題に対応できる
脅威の優先順位の振り分けと対象方法の提示、自動処理機能によって被害を最小限に抑えることが可能です。ユーザーのスキル不足による時間ロスが無くなるからです。まず、SIEMが情報を相関分析し、SOARが集めた情報に対処をするべき順位の振り分けを行います。対処方法はプレイブックとして指示されるので、操作に迷うことはありません。そして、大半の部分は自動処理によって対処されます。脅威に対して素早くアプローチできるので、マルウェア感染やサイバー攻撃を受けたとしても、被害を最小限に食い止めることが可能です。
Azure Sentinelにかかるコスト
Azure Sentinelの日別と月別のコストをまとめました。高い投資になるので、資金的に余裕のある企業からの導入になることが予想されます。
| 容量 | 1日 | 月換算 |
| 100GB/日 | ¥14,560 | ¥436,800 |
| 200 GB/日 | ¥26,208 | ¥786,240 |
| 300 GB/日 | ¥37,856 | ¥1,135,680 |
| 400 GB/日 | ¥48,533 | ¥1,455,990 |
| 500 GB/日 | ¥58,240 | ¥1,747,200 |
マイクロソフトのゼロトラストの今後
AIを用いた「Azure Sentinel」のようなタイプで、ゼロトラストの考え方に則った製品が増えることが予想されます。セキュリティ分野の人材が不足している点と精度の高いマルウェア検出が可能である点です。前者に関しては、総務省の調査では約20万人前後のセキュリティ分野での人材が現在不足しています。半数の中小企業では、セキュリティ分野専任の担当者も置けない状況です。
一方で後者に関しては、サイバー攻撃やマルウェア感染の被害を最小限に食い止めることができます。サイバー攻撃が巧妙化している点と社員が使用するデバイス機器が増えたため、マルウェアや不正アクセスを完全にブロックするのは困難です。そのため、マルウェアやサイバー攻撃の侵入を防ぐのではなく、侵入を許したとしても迅速に対応するためのセキュリティ対策が求められています。近年ではサプライチェーン攻撃のように、中小企業を対象にした攻撃も増えているので、強固なセキュリティ対策がどの企業でも必要な状況です。
効率的で強固なセキュリティソリューションを実現する方法として、「Azure Sentinel」は効果的な方法だと言えます。ただし、現状ではランニングコストが高いです。低コストでの製品が出てくれば、使用する企業はもっと増えるでしょう。
マイクロソフト社のゼロトラスト製品まとめ
マイクロソフトが提供しているゼロトラストに関わる製品として、Azure Active DirectoryとAzure Sentinelの特徴と導入効果をまとめました。
| Azure Active Directory | Azure Sentinel | |
| 機能 |
|
|
| 導入効果 |
|
