脅威の多様化により、従来の境界型セキュリティでは新しいセキュリティリスクへの備えを万全にするのは難しくなっています。そうしたなか注目されているのが、ゼロトラストによるセキュリティ対策です。この記事では、ゼロトラストの概要やゼロトラストを実現するMicrosoft 365の機能について紹介します。
近年注目されている「ゼロトラスト」の概要
ゼロトラスト(Zero Trust)とは、文字通り全ての接続機器・ユーザーを「一切信用しない」ことを前提としたセキュリティ対策の考え方です。ゼロトラストでは全トラフィックに対して正当性や安全性の評価を行ってスコア付けし、スコアに応じた処理を実行します。
またゼロトラストに基づくセキュリティでは、社内外を問わず全ての通信に対して暗号化が必要です。その他多要素認証による認証強化や、あらゆる通信のログ監視を行うなどして、統合的にセキュリティリスクを対策します。
昨今では外部からの脅威だけでなく、社内からの情漏えいも多く発生している状況です。テレワーク・リモートワークの普及により、社外から社内システムへアクセスしたりクラウドサービスを利用したりする機会も増えています。そうしたなかでゼロトラストは、複雑化した企業のネットワーク環境に適したセキュリティ対策として注目されているのです。
既存セキュリティと何が違うのか
これまでのセキュリティ対策ではネットワークの内側と外側を明確に分割し、それぞれに応じたセキュリティ対策を行ってきました。「社内ネットワークは安全」「外部ネットワークは危険」と考え、各種セキュリティ対策が実行されてきたのです。
たとえば従来のセキュリティ対策では、外部(インターネット)からの通信はファイアーウォールなどのソフトウェアやセキュリティ機器で監視・制限します。一方、社内からの通信に関しては基本的に許可され、社内の情報資源にアクセスが可能となるわけです。
このようにネットワーク内外を明示的に区分し、それぞれに応じたセキュリティ対策を適用する考え方を「境界型セキュリティ」と呼びます。一方のゼロトラストは、この境界に関する概念を捨てたセキュリティの考え方です。
ゼロトラストでは、社内からのアクセスに関しても平等に正当性の評価が行われ、アクセスの可否が判断されます。また、社内のユーザーに関しても必要最低限の権限しか与えません。これにより社内ユーザーが悪意をもって情報資源にアクセスしても、その被害を最小限にとどめられるのです。
ゼロトラストが重要視される理由とは
企業を取り巻くネットワークの利用環境が変化するなか、なぜゼロトラストが重要視されているのでしょうか。以下、その主な理由を紹介します。
サイバーセキュリティ攻撃の増加
昨今のセキュリティ環境においては、従来と比べ高度で悪質なサイバー攻撃が増加し続けている状況です。そうしたなか、これまでのセキュリティ対策では対応しきれなくなってきました。
社内ユーザーであっても最小限のアクセス許可しか与えないゼロトラストでは、仮に悪意のある第三者が内部へ侵入しても、不正な社内情報の閲覧による被害を最小限におさえられます。こうした特徴が複雑化する多様な脅威への対処につながっているのです。
マルウェアウィルスの増加
攻撃者が社内PCをマルウェアに感染させて遠隔操作し、社内システムを攻撃したり情報を盗み出したりするケースが増えています。この場合、システムを攻撃したり情報を盗み出したりするのは、従来のセキュリティ対策ではアクセスを許可されていた社内のPC経由です。
このように内部からの攻撃や情報漏えいは、従来のセキュリティ対策では対処できません。そのため、社内からのアクセスも疑うゼロトラストが注目されているのです。
なお、社内からの情報漏えいは必ずしもマルウェアによるものとは限りません。メール誤送信など、ヒューマンエラーによって情報漏えいが発生する事例もあります。また、社内ユーザーの不正によって情報が外部に持ち出されてしまう可能性も否定できません。
外部だけを疑う従来の境界型セキュリティでは、言うまでもなくこれらセキュリティリスクへの対策として不十分です。内部も外部と同様に疑うゼロトラストが必要となります。
テレワーク推進に伴うセキュリティ強化
これまでであれば、社内システムにアクセスする場合は、一部の例外をのぞいて社内ネットワークを利用するのが一般的でした。しかし、働き方改革が推進されテレワーク普及がすすむ昨今では状況が変わっています。
機密情報が保存された社内システムに対し、自宅など外部にいる社内ユーザーがアクセスする機会が飛躍的に増加しているのです。部外者を疑う境界型セキュリティでは、こういったアクセスに対して当然ながら対応できません。「社内ユーザーは社内ネットワークからシステムへアクセスし、攻撃者は外部からシステムへアクセスする」という境界型セキュリティの前提は、崩れてしまっているためです。
テレワークが一般化している企業では、こういった社外からのアクセスに対しても正しく対処できなくてはなりません。そこで、ネットワーク内外の区別をしないゼロトラストが注目されているのです。
Microsoft 365でゼロトラストを実現
Microsoft 365を採用することによって、企業はゼロトラストを実現可能です。本項では、Microsoft 365がどのようにしてゼロトラストに求められるセキュリティを実現するか解説します。
Azure ADを連携してゼロトラストを実現
Microsoft 365において、ゼロトラストを実現する中心的な役割を果たすのがAzure AD(Azure Active Directory)です。Azure ADはクラウド上でユーザーIDなどの認証を一元的に管理する「IDaaS」であり、シングルサインオン※1や多要素認証※2を実現します。
Azure ADを使えば、Microsoft 365をはじめ連携が可能な様々なSaaSでもシングルサインオン・多要素認証が可能となるわけです。多要素認証を採用したシステムでは、万が一ユーザーID・パスワードが漏えいしても不正にログインされてしまうことはありません。またIDaaSの採用により、社内外どこからでも従来と比べセキュアな認証が実行されます。
※1)シングルサインオン
1度ユーザー認証を行うと、連携している他サービス・システムにおいて認証が不要となる機能です。
※2)多要素認証
以下3種類の要素のうち2種類以上を使って行う認証のことです。多要素認証を採用したシステムでは、2種類以上の認証をクリアしないとログインできません。
- 知識情報:ID・パスワードやPINコード、秘密の質問などによる認証
- 所持情報:スマートフォン(ワンタイムパスワード)・ICカードなどによる認証
- 存在情報:指紋認証や顔認証など
Azure Active Directoryを利用したアクセス管理
Azure AD(Azure Active Directory)には、「条件付きアクセス」というアクセス制御機能があります。条件付きアクセスを使うことで、あらかじめ作成したポリシーに基づき、ユーザーやグループに対する詳細なアクセス制御が可能です。
たとえば指定したIPアドレスからのアクセスを禁止したり、匿名・遠距離からのアクセスに対し多要素認証を要求したりすることもできます。Azure ADの条件付きアクセスによって、ゼロトラストで求められる厳正なアクセス制御を実現できるのです。
テレワークの普及などネットワーク環境が大きく変化した昨今、従来の境界型セキュリティでは十分なセキュリティを確保できません。Azure ADの特徴や機能を活かすことで、より安全性の高いゼロトラスト環境を整えることが可能です。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
企業のネットワークに境界を設けず、「一切を信頼しない」ゼロトラストが注目されています。ゼロトラストに基づくセキュリティ対策であれば、近年複雑化している多様なセキュリティリスクにも対処できるためです。Microsoft 365は、Azure ADによって安全性の高いゼロトラスト環境を実現できます。
