せっかく導入した貴社のMicrosoft 365/ゼロトラストセキュリティの実現にも活用してみませんか?

昨今、サイバー攻撃の複雑化・巧妙化が進み、従来のセキュリティ対策では対応が難しくなってきています。クラウドサービスの利用増に伴い、こうした脅威に対抗するために生まれたのが「ゼロトラストセキュリティ」という考え方ですが、これを一から始めようとすると、それなりの専門知識とコストが必要なため、導入を諦めている企業も少なくないようです。そこで本記事では、ゼロトラストセキュリティとは何かを説明した上で、Microsoft 365の各サービスやソリューションを活用することで、ゼロトラストセキュリティを実現する方法についてご紹介します。ゼロトラストセキュリティ実現の最初の一歩を始めましょう。

サイバー攻撃の脅威が拡大、従来のセキュリティ対策では対応困難に

近年、サイバー攻撃の数はますます増加しており、マルウェアも絶え間なく進化しています。その手法は、フィッシングやランサムウェア、DDoS攻撃、APT攻撃、ゼロデイ攻撃など多種多様で、目的も金銭的利益を求めるものから政治的意図を持つもの、破壊行為までさまざまです。そしてターゲットも、従来のコンピュータやネットワークだけでなく、スマートフォンやIoTデバイスも対象になっています。

このようにサイバー攻撃の脅威が拡大する一方で、コロナ禍によりテレワークなどが普及し働く環境が複雑化。結果、従来のセキュリティ対策ではサイバー攻撃から企業や従業員を守るのが難しくなってきました。そこで、こうした状況に対応するため生まれたのが、「すべてを信頼せず、都度確認する」という考え方、ゼロトラストセキュリティです。

要素境界型セキュリティ製品名ゼロトラストセキュリティ
基本理念内部ネットワークは信頼し、外部ネットワークは不信である場所やデパイスなど物理的なものは関係なく、全てを信頼せずに常に検証が必要
セキュリティの焦点ネットワーク境界の防御(LAN、WAN、DMZなど)全てのアクセスについて制御し、検証する
認証境界通過時に一度のみ検証する織続的な認証と検証を行う
アクセスポリシー広範囲なアクセス許可最小権限でのアクセスを許可(都度検証)する
メリット・比較的シンブルな構成
・比餃的安価
・内部脅威に対して非常に緊牢
・最新の脅威に対して柔軟に対応可能
・モパイル環境やクラウドサービスに対応
・ユーザーの利便性が向上する(SSOなど)
デメリット・内部脅威に対して非常に脆蒻
・最新の脅威に対して非常に脆弱
・主な環境はオンブレミス環境のみ
・比較的複雑な構成
・比較的高価
境界型セキュリティとゼロトラストセキュリティ

こちらの表は、境界型セキュリティとゼロトラストセキュリティを、さまざまな要素から比較したものです。特に注目すべき点は、認証とアクセスポリシーの違いです。境界型セキュリティでは、境界を通過する際に一度検証を行い、正当なものと確認されれば、その後は広範囲なアクセスが許可されます。

一方、ゼロトラストセキュリティでは、継続的に認証と検証を行い、正当なものと確認されればアクセスは許可されますが、その際には最小の権限を付与されます。その後、データやアプリケーション、サービスへのアクセスするたびに都度検証が行われます。

ゼロトラストセキュリティでは、アクセス単位でセキュリティが担保されるため、企業のセキュリティレベルは飛躍的に向上します。また、アクセスのたびに認証や検証が行われると聞くと、ユーザーの利便性が損なわれるように思われるかもしれませんが、実際にはその逆です。というのも、ゼロトラストセキュリティでは場所やデバイスに依存せず、SSO(シングルサインオン)を利用して一貫したIDでログインすることが可能だからで、ユーザーはスムーズにデータやアプリケーション、サービスにアクセスできます。

ゼロトラストセキュリティという考え方

前述したように、ゼロトラストセキュリティではセキュリティ対策を「性悪説」の観点から進めます。社内ネットワークからのアクセスであっても、企業が管理するPCであっても、安全とは考えません。すべてのアクセスやデバイスを信用しない(=ゼロトラスト)という前提で、認証や検証を行うのです。これならば、社内にマルウェアの侵入を許したとしても、ユーザー情報やデバイス情報が不十分なため、それ以上のアクセスを許すことはありません。

それではここで、現在のセキュリティ対策の標準となっている「Zero Trust eXtended(ZTX、拡張ゼロトラスト)」の考え方についてご紹介しましょう。ゼロトラストセキュリティは以下の7つの要素で構成されます。

No. 要素 説明
アイデンティティ ューザーのアイデンテイティを検証し、アクセス権を厳格に管理します。正社貝、契約社員、契約者、ピジネスバートナーなど、組織内外のすぺての人に対して選用します。
デバイス 企業の情報などにアクセスするデパイスの識別と認証を行います。PCやスマホだ けではなく、ネットワークに接続された複合機やネットワーク携器、loT機器などすぺてのデバイスに適用します。
ネットワーク 企業内外のネットウークに対する侵入検知や防止、ファイアウォールによるセキュリティ強化、通信の暗号化や監視などによるセキュリティ対策を行います。
ワークロード ワークロードとは、物理サーバー 、仮想マシン、コンテナ、クラウド喋塊など、アプリケーションが動作する任意のコンピューティング哀境を指します。ワーク ロードのアクセス制御や特権吾理、継続的な監視や評価などを行います。
データ セキュリティ戦略の中心にデータを溢き、データの分類と暗号化、アクセス制御、データ保近のボリシーを菜定します。
可視化/分析 セキュリティの可視化を行い、リアルタイムでの分析、誓威検出、対応を可能にするためのツールと手法のことを指します。
総合管理(自動化) 統合管理を通じて、組織内のあらゆるエンドボイント、デパイス、アプリケー ション、ネットワークアクセスポイントにわたるセキュリティポリシーを一元管理します。また、自動化を進めていくとセキュリティインシデント発生時の対応を迅速に行うことができますし、手動管理に伴うエラーを減少させ、リソースを畏適化しボリシー適用の効率化することができます。
ゼロトラストセキュリティの7つの要素

ゼロトラストの構成イメージ

ZTXは、ゼロトラストという言葉の生みの親であるForrester Research社によって定義されました。ZTXフレームワークは、従来のゼロトラストモデルを広範囲に拡張し、組織全体のセキュリティを強化するための包括的なアプローチを提供します。

これとは別に、アメリカ国立標準技術研究所(NIST)が公開している「SP 800-207(SP 800-207, Zero Trust Architecture | CSRC (nist.gov))」もネットワークに特化したゼロトラストセキュリティの実装モデルとなりますので、こちらもご参考にされると良いでしょう。

ゼロトラストを具現化するものとしては、Gartner社がSASE(Secure Access Service Edge)を提唱しています。さらに同社は、コロナ禍におけるセキュリティ対策に対応するためとして、SASEのセキュリティ部分であるSSE(Security Service Edge)も発表しました。SSEではSASEと同様に、構成するソリューションはすべてクラウドサービスとして提供され、一元的なポリシーを設定できることが理想としています。

Microsoft 365でゼロトラストセキュリティが実現できる?

ゼロトラストセキュリティを実現するためには、さまざまなセキュリティ検知/管理/監視ソリューションが必要です。これには、IAM(Identity and Access Management)、MDM(Mobile Device Management)、EDR(Endpoint Detection and Response)、CASB(Cloud Access Security Broker)、SIEM(Security Information and Event Management)などが含まれます。

現在は数多くのセキュリティベンダからさまざまな製品やソリューションが提供されていますが、Microsoft 365 Enterpriseでもゼロトラストセキュリティを実現できることはご存じでしょうか。以下の表は、ゼロトラストセキュリティの7つの要素をMicrosoft製品で構成する場合の製品名とライセンスの種類を表したものです。

No要素ソリューション製品・機能ライセンスの種類
1アイデンティティIAMEntra ID、条件つきアクセスポリシー、
Application Proxy
M365 E3以上
Windows Helloo for Business(生体認証)M365 E3以上
Priviledged Identity ManagementM365 E5
2デバイスMDMIntuneM365 E3以上
xDRMicrosoft Defender XDRM365 E5
EDRMS Defender for Endpoint P2M365 E5
EPPMS Defender for Endpoint PlM365 E3以上
パッチ配布Intune(自動バッチ配布)M365 E3
3ネットワークSWGMS Entra Internet Accessプレビュー版のため未発表
ZTNAMS Entra Private Accessプレビュー版のため未発表
4ワークロードCSPMMS Defender for Office 365M365 E5
5データDLPAzure Information ProtectionM365 E3以上
ディスク暗号化BitLockerM365 E3以上
6可視化/分析CASBMS Defender for Cloud AppsM365 E5
UEBAEntra Identity ProtectionM365 E5
7統合管理(自動化)SOAR/SIEMMicrosoft SentinelAzure サブスクリプション契約が必要
ゼロトラストの7つの要素をMicrosoft製品で構成する場合の製品名とライセンスの種類

こちらの表に示されているように、ゼロトラストセキュリティの7つの要素は全て、Microsoft製品を活用して構築することができます(一部の要素については、Azureを利用するため追加の契約が必要になる場合もあります)。

一般に、Microsoftのセキュリティ製品は「コストパフォーマンスが高い」「稼働の安定性が高い」と言われており、GartnerやForrester Researchなど権威ある調査機関からも高い評価を得ています。 また、同じベンダの製品を導入することで、相互運用性が向上し、管理が容易になるというメリットもあります。

Microsoft 365を用いてゼロトラストセキュリティの実現を目指す場合、まずはMicrosoft 365 E3を活用し、可能な範囲から手を付けていくのが望ましいでしょう。既存のセキュリティ製品を順次Microsoft 365へ移行・統合することで、コストを削減。ここからさらにセキュリティ強化を目指すなら、Microsoft 365 E5へのアップグレードも視野に入れておくべきでしょう。

Microsoft 365 ゼロトラストセキュリティ構築サービス

SCSK Minoriソリューションズは、Microsoft 365を活用しゼロトラストセキュリティを実現する「Microsoft 365 ゼロトラストセキュリティ構築サービス」を提供しています。このサービスでは、Microsoft 365 E3ライセンスによるゼロトラストセキュリティを、以下の5つのステップで進めていきます。

このサービスの詳細につきましては、以下のURLをご参照ください。
URL:https://www.scskminori.co.jp/product/microsoft-solutions-service/zerotrust/

まとめ

今や多くの企業がMicrosoft 365を利用するようになりましたが、セキュリティの部分まで十分に使いこなせているところは少ないようです。Microsoft 365 E3を活用しゼロトラストセキュリティを実現すれば、統合管理が可能で、コストパフォーマンスに優れたセキュリティ基盤を構築することができます。また、Microsoft 365に含まれるセキュリティ製品と機能が重複しているセキュリティ製品を移行・統合することでコストを節約できれば、そのメリットを活かしてMicrosoft 365 E5ライセンスにアップグレードも出来る可能性があります。

SCSK MinoriソリューションズのMicrosoft 365 ゼロトラストセキュリティ構築サービスは、Microsoft 365を導入したいとお考えの企業や、ライセンスは持っているがどうやってゼロトラストセキュリティを実現したらよいか分からないという企業に最適なサービスとなっております。
さらにEDRを強化したソリューションとの組み合わせやMicrosoft 365に対応した幅広いサービスラインアップもありますので、ぜひお気軽にご相談ください。

関連する製品・サービス
Microsoft 365 ゼロトラストセキュリティ構築サービス
Microsoft 365 E3 ライセンスを有効活用し、「ゼロトラスト=信用せずすべて検証する(アクセス単位)」というクラウド時代に最適な強固なセキュリティ基盤を段階的に構築します。Microsoft 365を使用することで、統合的な管理ツールや次世代マルウェア対策などを含む包括的なセキュリティ対策を推進できます。
Microsoft 365 ゼロトラストセキュリティ構築サービスについて詳しくみる

お問い合わせ

ご相談やお見積もり依頼は
こちらからお気軽にお問い合わせください。

お問い合わせ

資料請求

私たちの特長、支援事例をまとめた会社紹介資料は
こちらからダウンロードできます。

資料をダウンロード