マルチクラウド本格活用で改めて見直すべきセキュリティ対策

ハイブリッドに加えマルチクラウドを本格活用する中で、これまでにはなかったセキュリティ上の課題が散見されるようになってきた。対策のキーワードになるのが「ゼロトラスト」。これまでの「境界型」のセキュリティ対策の欠点を改善する次世代のセキュリティモデルである。マイクロソフトは世界で2番目にセキュリティ攻撃を受ける企業。お客様にマルチクラウド活用を推進する担当者の一人にその最前線を聞いた。

従来の「境界モデル」のセキュリティ対策では今後に破綻の恐れも

情報の流出やアプリケーションの改ざんを防ぐために、セキュアな環境を構築することは昔も今もIT組織にとって極めて重要な課題だ。オンプレミスのシステムが中心の時代には、社内ネットワークとインターネットとの境界を防御することがセキュリティ対策の王道だった。防御の対象となる情報とアプリケーションのいずれもが社内ネットワーク上にあったからだ。

「クラウドファースト」の合い言葉の下で、多くの企業がIaaSやSaaSを活用したハイブリッドクラウド環境を構築しつつある現在は、情報とアプリケーションの双方ともに社内ネットワークにとどまっているわけではない。それでも、境界型のセキュリティ対策を主軸としている企業が多いのが実情だ。日本マイクロソフトの赤間信幸氏は、現在の状況を次のように評する。

 

写真:日本マイクロソフト株式会社 エンタープライズ事業本部 金融サービス営業統括本部 インダストリーテクノロジースペシャリスト 赤間 信幸 氏

日本マイクロソフト株式会社
エンタープライズ事業本部
金融サービス営業統括本部
インダストリーテクノロジースペシャリスト
赤間 信幸 氏

「ハイブリッドクラウドやマルチクラウドの環境では、境界の意味合いが薄くなっています。にもかかわらず、従来の境界型のセキュリティモデルを前提として、境界の外にあるクラウドを例外的な対応によって取り扱っているのが現実です」

同氏は「この結果として、せっかくクラウドを活用しているのに、高コスト・低アジリティ体質から脱却できていない企業が少なくありません」と指摘する。特定の場所からしかクラウドサービスを使えないために生産性が上がらない、あるいは社外とのコラボレーションに活用できないといった状況に陥っている。また、内部不正はセキュリティ上の大きな脅威だが、境界型セキュリティではこれを防げないという大きな問題もある。

加えて外部のクラウドサービスを利用する際、サービスごとにIDとパスワードを個別に発行し、利用しているケースが少なくない。導入しているクラウドサービスの数が少ないうちは、この体制でも運用できるだろう。しかし、オンプレミスのシステムを次々とクラウドに移行する、さらには導入するSaaSの数や利用するデバイスの数や種類が増えてくると、こうした運用が破綻する恐れがある。個別のシステムやサービスごとにIDとパスワードを管理したり使いまわしたりすることは生産性とセキュリティレベルの低下に直結する。

日本の場合、現時点ではまだクラウドサービスの利用が限定的である企業がほとんどであるためこうしたことは大きな問題になっていない。しかしこれから本格的にクラウドサービス利用を増やしていくと、「境界型セキュリティを前提とした環境で、例外的にクラウドサービスを使う」といったやり方ではいずれセキュリティが破綻してくる。

 

図:クラウドの利用状況 [クラウド利用] Ph0.机上検討 - Ph1.部分利用 - Ph2.停滞期(日本はここまで) - 突破 -  Ph3.本格利用(海外の一部は先へ) / [状況] Ph0.検討中だが利用はしていない - Ph1.一部の案件でAWS/Azureを利用 - Ph2.クラウド利用が一定以上進まない -  Ph3.本格的にクラウドを活用 / [課題] Ph0.方向性もなく案件もない - Ph1.IaaS中心、単発mode2案件、クラウドメリット薄 - Ph2.技術以外の複合要因

本格的なクラウド活用が進む先進国のように、日本のクラウド活用が発展していくためには、既存手法の見直しが必要だ

次世代の「ゼロトラスト」モデルが境界型の欠点を改善

こうした課題を解決する次世代のセキュリティモデルが「ゼロトラスト」だ。このモデルは、その名の通りに「全てのアクセスを信頼しない」という性悪説を前提として、ユーザーがアプリケーションやサービスにアクセスするごとに、そのユーザー(ID)およびデバイスに対する認証を行い、アクセス権限があるか否かを検証する仕組みだ。といっても、アクセスのたびにIDとパスワードの入力を求められるわけではない。クラウドサービスとして提供される認証基盤と連携することで、シングルサインオンが実現される。

 

図:【現在求められている世界観(ゼロトラスト型)】物理隔離・ネットワーク隔離を前提としないセキュア化 - ロケーションフリー化 - 柔軟なSaaS利用 - セキュリティを確保しながら生産性改善を追求
図:【現在求められている世界観(ゼロトラスト型)】物理隔離・ネットワーク隔離を前提としないセキュア化 - ロケーションフリー化 - 柔軟なSaaS利用 - セキュリティを確保しながら生産性改善を追求 / [多彩なSaaSサービスを活用] オンラインストレージやSFAなどのSaaS - ソースコード - ドキュメント / [オフィス環境] 多彩な情報を参照 - 内部脅威にも対応可能 / [自宅] 場所に縛られずに作業 / [ベンダー] 海外ベンチャーともコラボ可能

「ゼロトラスト型」のセキュリティ対策が従来の「境界型」の課題を改善

赤間氏は「働き方改革の一環として、モバイルワークやテレワーク、在宅勤務を導入している企業が増えていますが、こうした取り組みでもゼロトラストが大きな貢献を果たします」と語る。IDやデバイスに対するアクセス権限確認をそのつど行うゼロトラストモデルであれば、物理隔離・ネットワーク隔離を前提とする必要はなくなる。このため物理的に社内ネットワークの境界の外にいるユーザーからのアクセスでも同じ枠組みの中で扱えるようになるためだ。社外からインターネット経由でBYOD(Bring Your Own Device)のスマートフォンでアクセスするような用途でも、例外的な対応を必要とすることなく、社内(境界の内側)と共通の仕組みが使えるのだ。

現在、セキュリティツールを提供するベンダーの多くが「ゼロトラスト」と名付けたソリューションを投入し始めているが、採用しているテクノロジーには違いがある。マイクロソフトでは、ゼロトラストには次の4つの要素が必要だと考えているという。

  1. ユーザーおよびユーザー関連の情報を保持するIDプロバイダー
  2. 対応するデバイス情報(デバイスの種類、整合性など)に基づいて、会社のリソースにアクセスできるデバイスのリストを保持するデバイスディレクトリー
  3. ユーザーまたはデバイスがセキュリティ管理者によって設定されたポリシーに準拠しているかどうかを判断するポリシー評価サービス
  4. 組織リソースへのアクセスを許可または拒否する上記の方式を利用したプロキシー

「Azure AD」と「Azure Sentinel」がゼロトラストを実現

マイクロソフトは、ゼロトラスト環境の実現に必要な①~④の機能を統合的に提供している。まず最も重要なのが「Azure Active Directory(AD)」である。Azure ADは、各種のクラウドサービスやアプリケーションのアカウントに対する認証基盤の役割を果たすクラウドサービスである。「AWS(Amazon Web Service)」や「Box」をはじめとして、他社が提供するクラウドサービスと認証を連携させることができる。このため、一度のサインインで全てのサービスやアプリケーションが利用できるようになるのだ。企業のディレクトリーサービスとして事実上の標準となった、オンプレミスのADとアカウント情報を統合できることも大きな特徴。オンプレミスのADと連携する形でAzure ADを導入すれば、クラウド環境のために別途のIDを管理する作業は不要になる。

 

写真:日本マイクロソフト株式会社 エンタープライズ事業本部 金融サービス営業統括本部 インダストリーテクノロジースペシャリスト 赤間 信幸 氏

②におけるデバイス情報を管理するのが、エンタープライズモビリティー管理(EMM)の機能を提供する「 Microsoft Intune 」である。これは、モバイルデバイスやPC、アプリケーションを管理するための機能を備えたクラウドサービス。 Azure AD が備える「条件付きアクセス」という機能を使うと、Intune が管理している情報を活用して、アクセス制御に関する複雑なポリシーを設定することが可能になる。例えば、スマホの位置情報を使って「社内でスマホを使っている場合はアクセスを許可、社外からのアクセスの場合は二要素認証を要求」といった条件を設定できる。

 

図:【Azure Sentinental を利用した包括的なセキュリティ対策】Azure Active Directoryを基にした共通のID管理・権限管理

「ゼロトラスト」モデルに基づいたITインフラのアーキテクチャ

サイバー攻撃の巧妙化・複雑化している現在、境界型であろうとゼロトラスト型であろうと、組織内に攻撃が侵入したことをいち早く検知する対策も必須だ。マイクロソフトのソリューションで、この役割を果たすのが「 Azure Sentinel 」である。 Sentinel は「 SIEM(Security Information Event Management) 」の役割を果たすクラウドサービス。 SIEM とは、サーバーやネットワーク機器などのハードウエアと、アプリケーションやOSなどのソフトウエアおよびクラウドサービスからログを収集して一元管理し、それらを分析することで脅威を検知する仕組みのことだ。

Sentinel は、 Windows や Azure AD 、 Office 365 をはじめとする同社のソフトウエアやクラウドサービスで収集したログに加えて、サードパーティーのセキュリティツールのログ、デバイスや電子メールのログなどを集約し、機械学習技術を使って脅威を検知する機能を提供する。この際、認証基盤としてAzure ADを使っていると、様々なクラウドサービスを利用しているとしても、特定ユーザーが利用するIDは常に同一となる。このため、横断的なログの解析とユーザー作業の追跡が非常に容易になる。

赤間氏は「現時点でセキュリティ対策が十分に機能していると考えているお客様でも、クラウドサービスが増えてくると運用が困難になる恐れがあります。将来を見据えてITインフラを見直すことが大切です」と指摘する。実際、こうしたインフラを整備せずに他社のクラウド基盤を導入した結果、IDとアクセス権限の管理に苦労している企業も少なくないという。ここで紹介したソリューションは、いずれも「 Microsoft 365 」( Windows 10 Enterprise と Office 365 、 Enterprise Mobility + Security を統合したクラウドソリューション)の最上位エディションである「 Microsoft 365 E5 」に含まれている。

※本記事は、日経 XTECH Special 「I&O リーダーが知っておくべき最新トレンド  未来を実現する IT インフラ」からの転載です。

BACK TO TOP