Writer:手戸 蒼唯(てど あおい)
ゼロトラストとは? Azureで実現できる構成要素やSASEとの違いについても解説
企業でのクラウド利用が進み、テレワークなどの働き方改革が進む一方、ネットワークへのセキュリティリスクも高まっています。そのため、情報システム部門などの担当者はセキュリティリスクを最大限考慮する必要があります。そういった流れの中で重要になるのが「ゼロトラスト」という考え方です。本記事では、ゼロトラストとは何か、その基礎知識やゼロトラストの構成要素などについて解説します。
関連資料
ゼロトラストとは
ゼロトラスト(Zero Trust)は、セキュリティにおいて「すべてのネットワークを信用しない」という考え方のことです。従来は、社外と社内の間にファイアウォールを挟む境界型防御でした。しかしゼロトラストでは、社外と社内の境界は関係なく、「すべてを信用しない」という基本原則のもとでセキュリティ対策を進める必要があります。
ゼロトラストについては「ゼロトラストをわかりやすく解説!メリットや注意点などについて知ろう」でも詳しく解説していますので、あわせてご覧ください。
ゼロトラストの構成要素を実現するAzure
ゼロトラストの構成要素を実現する手段のひとつに、Microsoftが提供するAzureがあります。一例としては、Azureの「Microsoft Entra ID」「Microsoft Intune」「Azure Sentinel」を活用する方法が挙げられます。
ゼロトラストを実現するための要素に必要なのは、ネットワークへアクセスするユーザーの情報をIDなどで一元管理すること、ネットワークへアクセスする度にユーザーやデバイスのアクセスチェックを行うこと、セキュリティポリシーに準拠した通信がなされているかを監視することなどです。これらの要素を、Azureで構成することができます。
では、次に「 Microsoft Entra ID」「Microsoft Intune」「Azure Sentinel」の3つの概要を説明していきます。
Microsoft Entra IDでID認証
Microsoft Entra ID(旧Azure AD)は、ID認証関連の機能を提供するサービスです。ゼロトラストの構成要素の中でも「ユーザーIDの認証・管理」を担うことができます。
アプリケーションに対して条件付きのアクセス管理が可能です。たとえばアクセスしてきたユーザーのIPアドレスやデバイスのOS、ログインの試行回数などをアクセス条件とするなどの制御ができます。アプリケーションログイン時に多要素認証を要求したり、アプリケーションの細かな操作権限を設定したりすることもできます。
Microsoft Intune でデバイス管理
Microsoft Intuneは、各種デバイスを一元管理できるサービスです。
ユーザーが使用するデバイスを登録しておくことで、誰がどのデバイスを利用しているのかが把握できます。デバイスごとにアクセス制限をすることも可能で、これによりデバイスにインストールされているアプリケーションを把握できます。
たとえば、Windows PCであれば、Windows Updateの更新状態を管理するなど、ゼロトラストセキュリティの構成要素に必要なデバイス管理が実現できます。
Azure Sentinel で脅威検出
Azure Sentinelは、脅威検出サービスです。
クラウドサービスやアプリケーションサービス、サーバーやネットワーク機器などのハードウェアに至るまで、さまざまなログを収集して脅威を検知できます。この機能により、ゼロトラストの構成要素であるネットワーク上の脅威検知が可能です。
このように、ゼロトラストの構成要素は、Azureを使って構築できます。ここで記載した構成はごく一部の例です。自社の業務フローなどにあわせてゼロトラストセキュリティの構成を検討してみましょう。
ゼロトラストとSASEの違い
ゼロトラストを語る際によく出てくる考え方に「SASE」があります。ここでは、SASEについての概要とさらにゼロトラストの違いについても述べていきます。ここでは、ゼロトラストとSASEの違いについてみていきましょう。
SASEはゼロトラストを実現させる手段のひとつ
ゼロトラストは、「すべてを信頼しない」という基本原則に基づく考え方で、オンプレミス環境からクラウド、ネットワークすべてを対象にしたセキュリティの考え方です。それに対し、SASEはクラウド利用を前提にしたセキュリティであり、ゼロトラストを実現するための一つの方法です。
SASEは、ネットワークの利用者、利用者が使っているデバイス、ネットワークに接続する場所に依存しないセキュリティをクラウドサービスとして提供します。
SASEとゼロトラストセキュリティの関係性については「SASEとゼロトラストの違いとは?SASEの仕組みやメリット、導入の注意点について解説」にて詳しく解説していますので、あわせてご覧ください。
SASEの機能
SASEは、主に5つの機能で実現されます。
ネットワークを監視・制御する「SD-WAN(Software-Defined Wide Area Network)」と、セキュリティ対策の「ZTNA(Zero Trust Network Access)」「CASB(Cloud Access Security Broker)」「SWG(Secure Web Gateway)」「FWaaS(Firewall as a Service)」です。
SD-WANは、仮想的なWANを構築して通信を監視する機能です。この機能は、ネットワークにアクセスしているユーザーやデバイスを監視・制御することができます。
ネットワークのセキュリティは、ZTNAでアクセス要求の認証を、CASBでアクセスの可視化による不正アクセスの監視、SWGで通信の可視化とアプリケーションの制御、FWaaSでURLフィルタリングやIPSなどを行います。
つまり、仮想的なネットワークを構築して、そのネットワークにさまざまなセキュリティソリューションを適用することで、ゼロトラストセキュリティを構築できるのがSASEです。
提供されているSASEのサービスの中には、たとえば「Skyhigh Security 」があります。Skyhigh Security はクラウドセキュリティを専門として提供されているクラウドソリューションです。Skyhigh Security については、こちらをご覧ください。
また、SASEについては「SASEとは?基礎知識や仕組みをわかりやすく解説」にて詳しく解説していますので、あわせてご覧ください。
Azureなどを活用してゼロトラストの構成要素を実現しよう
近年の業務環境は、従来の境界型セキュリティではセキュリティリスクを低減させることが難しくなりました。ゼロトラストセキュリティモデルの構築が急務だといえるでしょう。ゼロトラストの構築要素を満たすためには、Microsoft Azureなどのサービス利用が効率的です。まずは、ゼロトラストの概要を把握して、ゼロトラストセキュリティを施すための手段を選定しましょう。
関連資料