デジタルイノベーション2019

Security

日本マイクロソフト

ゼロトラストネットワークの考え方で
IDベースのセキュリティ対策を実現

クラウド、モバイルデバイスの利用が企業の業務に浸透する中、従来型のセキュリティ対策が限界になっている。マイクロソフトでは「ゼロトラストネットワーク」のコンセプトに則った、ユーザーIDをベースとする対策アプローチを提案。「Microsoft 365」において、今日の企業に求められる広範な対策を支援している。

IT環境の変化に伴い顕在化する
境界型セキュリティ対策の限界

藤本 浩司 氏
日本マイクロソフト株式会社
Microsoft 365 ビジネス本部
Securityビジネス開発部
部長
藤本 浩司

サイバーセキュリティ上の脅威がさらに拡大し、その攻撃手法がますます巧妙化を遂げている。一方、企業においては、Office 365をはじめとするSaaS、あるいは業務システムのインフラとしてPaaSやIaaSの活用が進むなど、そのIT環境が必ずしも社内に閉じたものではなく、外部のサービスに依存する傾向が高まってきている。さらに、働き方改革の推進などを背景に、社内システムやそれら外部サービスに様々なデバイスからインターネット経由でアクセスして業務を行うというスタイルも、一般的なものになってきている。

「企業においてこれまで取られてきたような、社内ネットワークと外部ネットワークの間に攻撃防御のための境界線を設け、そこにファイアウォールなどの機器を設置する対策のみでは、セキュリティ上の脅威から企業の大切な情報資産を保護することが困難になっています」と日本マイクロソフトの藤本浩司氏は指摘する。

信頼性の高いエンドポイントソリューション

IDC JapanがWindows PCを導入している国内従業員規模500人以上の企業と教育関連303社の調査結果による導入率
出典:IDC InfoBrief, sponsored by Microsoft「, 高度化するサイバー攻撃へのエンドポイントソリューション」
(2019年5月)
(IDC JapanがWindows PCを導入している国内従業員規模500人以上の企業と教育関連303社の調査結果)
Microsoft Defenderをはじめとするソリューションは、多くの企業から確かな信頼を得ている

拡大する

これに対してマイクロソフトが提案しているのが、Azure Active DirectoryをベースにユーザーIDをキーとして、セキュリティ対策を実現していくアプローチだ。クラウドやモバイルデバイスのビジネス利用の進展を背景として、ネットワークやユーザー、デバイスといったものを「信用しない(ゼロトラスト)」という、いわば性悪説に立ったセキュリティ対策モデルである「ゼロトラストネットワーク」という考え方がかねて提唱されてきており、近年、急速にその注目度が増している。マイクロソフトのIDに基づく対策アプローチは、まさにこうしたゼロトラストネットワークの考え方に立脚したものだ。

特に最近では、巧妙に偽装された著名企業のサイトへとユーザーを誘導して個人情報を詐取したり、企業の商慣習に精通した取引先を騙ったメールによるやり取りで不正にお金を奪取したりといった事案が世の中を騒がせている。「いかに攻撃者のなりすましを見破り、相手が本物であることを見極めるか。そのカギをIDの活用が握っており、そこにクラウドやAI、ビッグデータといった技術を組み合わせて、対策の精度向上、自動化を図っていこうというのが我々のアプローチです」と藤本氏は説明する。

Azure Active Directoryによる広範なセキュリティ対策

Azure Active Directory Premiumによるリスクのレベルに応じて自動アクセス制御
「ゼロトラストネットワーク」を前提に、Azure Active Directoryが広範なセキュリティ対策を実現する

拡大する

世界中の脅威情報をクラウドに集約
網羅的なセキュリティ対策に活かす

そうしたマイクロソフトのアプローチを具現化しているのが、Office 365、Windows 10、およびEnterprise Mobility + Securityを組み合わせた統合ソリューションである「Microsoft 365」だ。特にその最上位版に当たる「Microsoft 365 E5」では、およそ今日のシステム環境に求められるセキュリティ対策が網羅的に提供されている。セッションでは、そうしたMicrosoft 365 E5が提供する対策機能のいくつかが紹介された。

まず、Microsoft 365 E5が提供する対策の中でも、とりわけ重要な位置付けを担っているのが「Microsoft Defender ATP」だ。マイクロソフトでは、Windows 10に搭載される「Windows Defender」において、ウイルス対策はもちろんファイアウォールやファイルレス攻撃対策など多彩な機能を提供しているが、Microsoft Defender ATPはクラウドベースのEDR(Endpoint Detection and Response)ソリューションとなる。

Microsoft Defender ATPでは、OSに組み込まれた挙動センサーによって、セキュリティイベントやエンドポイントの挙動についての詳細なログを取得。それをマイクロソフトが世界中のエンドポイントから収集した脅威情報などのデータを蓄積・管理している「Microsoft Intelligent Security Graph」と突き合わせて、異常な挙動や攻撃者の手法を検出し、既知の攻撃との類似点を特定するという仕組みを実現している。

また、Microsoft 365 E5が提供する「Microsoft Cloud App Security」では、企業の統制下にないSaaSなどへのアクセスを監視できる。これは、一般に言うところのCASB(Cloud Access Security Broker)に相当するもので、クラウド上のMicrosoft Intelligent Security Graphを参照しながら外部アプリケーションの安全性を検査し、問題があれば管理者に通知するとともに、IDをベースに利用者を割り出してそのクライアントから当該サービスへのアクセスをブロックできる。仮にアクセスしている端末が社外にあるケースでも、Microsoft Defender ATPとの連動によって、同様の自動ブロックが可能だ。

「あわせてMicrosoft Cloud App Securityでは、ユーザーが利用しているSaaSについてのセキュリティレベル、あるいは各種コンプライアンス規格への準拠状況を管理画面上でチェックするといったことも行えます」と藤本氏は言う。

ファイルへのラベリングをベースに
文書からの情報漏洩にも万全の対策

一方、社内へと脅威が侵入する際に主要な入り口となるメール対策については、Microsoft 365に含まれる「Office 365 Advanced Threat Protection(ATP)」で対応している。

例えば、送信されてきたメールに関し、本文と添付ファイルを分割して本文のみを受信先に送信。添付ファイルはサンドボックスで検査して、問題がなければ宛先のユーザーに別途送信するという機能もOffice 365 ATPには装備されている。

加えてOffice 365 ATPでは、メール本文にURLが記されている場合に、Microsoft Intelligent Security Graph上に蓄積された情報を基に、それが危険なサイトへ導くリンクではないかどうかをチェック。問題があれば、画面上にアラートを表示してユーザーのアクセスをブロックする仕組みも提供している。

そのほかMicrosoft 365 E5では、文書を介した情報漏洩に向けた対策も万全だ。それについては、組織の情報資産ポリシーに応じて、作成する文書ファイルに対し、例えば「Confidential」といったラベル付けを行い、そのラベルの内容に応じて共有範囲を制御したり、表示・印刷といったアプリケーションでの操作を制御したりできるような仕組みを提供。機密情報にかかわる文書ファイルをメール送信する際に、自動的に暗号化を施すことも可能である。

ここで紹介した以外にも、Microsoft 365では今日の企業に求められる広範なセキュリティ対策を提供しているわけだが、マイクロソフトではOffice 365のユーザーがそうしたセキュリティ機能を手軽に体験できるMicrosoft 365の30日間の無償版も用意している。「マイクロソフトがお客様の抱えるセキュリティリスクをチェックするサービスも提供しています。ぜひ、実際に体験していただければと思います」と藤本氏は会場に呼びかけた。

お問い合わせ

日本マイクロソフト株式会社
URL/https://www.microsoft.com/ja-jp
TEL/03-4332-5300