ヴァス ジャッカル (Vasu Jakkal)
セキュリティ、コンプライアンス、アイデンティティ担当
コーポレートバイスプレジデント
※本投稿は、米国時間 5 月 12 日に公開された “How to secure your hybrid work world with a Zero Trust approach” の抄訳を基に掲載しています。
私たちは、かつてないほど複雑なサイバーセキュリティ環境の中で事業を運営しています。洗練され確固たる意思を持った攻撃者が一般的になっていることに加え、ハイブリッドワークという次の大きな変化に向け準備をしなければなりません。
セキュリティの重要性はこれまでにないほど高まっており、別のセキュリティブログでも紹介したように、セキュリティ侵害があることを前提とするゼロトラストのアプローチが成功に欠かせないことも明確になりました。マイクロソフトは世界中のお客様の声に耳を傾け、密に連携しながら、各組織の安全な保護に向け迅速なイノベーションを進めています。今回はそのお客様からの意見を元に、セキュリティ、コンプライアンス、アイデンティティ、マネジメントに関する最新情報をお届けし、皆様のゼロトラストに向けた取り組みを支援したいと思います。
環境全体でゼロトラストへのアプローチを強化
リモートで働く人とグループオフィスで働く人が混在するハイブリッドな職場環境では、境界線がより流動的なため、デジタル攻撃の対象となるものが増えるほか、複雑性やリスクも増大します。そこで、多くの組織はゼロトラスト戦略を検討することになります。ゼロトラストの原理は、明確に検証すること、特権的アクセスは最小限にすること、侵害を想定しておくことで、これがハイブリッドワークによる IT の複雑さの中でセキュリティを維持することにつながります。
常に確認する
ゼロトラストへの道のりの中で最も重要な最初のステップとなるのは、強力な認証を確立することです。マイクロソフトの CISO であるブレット アーセナル (Bret Arsenault) が言うように、「ハッカーは侵入などしない、ログインする」ということです。パスワードがどれだけ長く複雑でも、パスワードだけで大半の攻撃からアカウントを保護することはできません。ログインをモニターして不審な動きがないか確認し、本人であることを証明できる追加の情報が提示されるまでアクセスを制限するかブロックすることで、侵害の可能性を大幅に減らすことが可能です。最新の多要素認証 (MFA) がユーザーにとって複雑なものである必要はありません。マイクロソフトではこのほど、クラウドアイデンティティソリューションの Azure Active Directory (Azure AD) にて、パスワードレス認証と Temporary Access Pass を発表し、お客様のアクセス管理強化とユーザー体験の簡素化を図っています。
検証の明確化に向けては、誰がどんなリソースにアクセスしようとしている場合であっても、入手可能なすべての情報に基づいてリアルタイムにアクセス可否を決められるようにする必要があります。マイクロソフトの場合、Azure AD 条件付きアクセスがそのリアルタイムアクセスポリシーエンジンになります。これは、アクセスしようとしているユーザーに関するすべてのデータやシグナルを調べるエンジンで、本日マイクロソフトは強力な新機能を発表します。この新機能により、管理者はより詳細にアクセスを制御できるようになり、増え続けるポリシーの管理が容易になります。GPS ベースによる場所の特定やデバイスのフィルタリング機能により、GPS の位置情報に基づいて特定の国や地域からのアクセスを制限したり、Surface Hub から特権アクセスワークステーションまでのデバイスの使用を保護したりといったような新たなシナリオが実現します。
また、すべての人のセキュリティを強化するには、全員に対し明確な検証ができなくてはなりません。そこでマイクロソフトは、B2C アプリと B2C ユーザーに向け、Azure AD Conditional Access および Identity Protection の一般提供を開始し、詳細なアダプティブアクセス制御を全ユーザーに拡大します。さらに、新たな検索機能やソート機能、フィルタリング機能、そして最近のポリシー変更を追跡する監査ログの強化などにより、新しいポリシーすべて管理しやすくしました。詳細は、Azure Active Directory Identity ブログをご覧ください。
またマイクロソフトでは、ゼロトラストによって包括的な保護を実現するにはデバイス管理とアイデンティティをエンドツーエンドで統合する必要があると考えています。そこで、本日新たに Microsoft Endpoint Manager のデバイスフィルターのプレビューを発表します。(Configuration Manager と Intune を組み合わせた) Microsoft Endpoint Manager と、Azure AD Conditional Access を統合したこのユニークな機能により、よりきめ細やかな制御が可能になります。デバイスフィルターを使えば、管理者は特定のデバイスを使うユーザーにポリシーやアプリケーションを適用できるため、例えばフィルターを割り当て、ポリシー制御を Surface Pro デバイスのみに適用するといったことも可能です。詳細は本日の Tech Community ブログをご覧ください。
今後もゼロトラストの肝となるのは、健全なデバイスと、プラットフォーム全体で統一されたデバイス管理です。これにより、モバイルデバイスからのデータ漏えいを防ぐことも可能です。そこでマイクロソフトは、Microsoft Endpoint Manager の App Protection Policies にて新たに条件付き起動設定を導入します。こうして制御することにより、OS の最大バージョンや、ジェイルブレイクおよびルート化したデバイスなどの条件に基づいてアクセスをブロックしたりデータを消去したりすることができるほか、SafetyNet 認証に合格するには Android デバイスを必須とするようにもできます。
さらに、どの OS でもデバイス管理が簡単に行えるようになりました。まず、Android Enterprise に登録されたデバイスを、Microsoft Endpoint Manager の Azure AD 共有デバイスモードで設定できるようになります。この新機能は現在一般公開しており、複数のユーザーが共有するデバイス上にてシンプルかつより安全な体験が実現します。共有デバイスモードでは、シングルサインオンやシングルサインアウト、アプリケーション全体でのデータ消去などが可能で、ユーザー間のプライバシー向上につながるほか、現場担当者が仕事用アプリケーションにアクセスする際に必要な手順を簡素化できます。
Apple デバイスの管理とセキュリティの簡素化に向けては、Microsoft Endpoint Manager にて iOS、iPadOS、macOS の自動デバイス登録が可能な Setup Assistant のプレビュー版を最近リリースしています。お客様からのフィードバックに基づき、許可前の iPadOS デバイスに Company Portal がインストールされていなくても、登録後はすぐにデバイスが利用できるようになりました。また、条件付きアクセスポリシーを設定し、Setup Assistant の登録時または Company Portal の認証時に多要素認証を要求することも可能です。共有デバイスと Setup Assistant の管理者体験およびユーザーの体験については、こちらの Tech Community ブログをご覧ください。
そして最後に、マイクロソフトは今後も保存データを保護する BitLocker への投資を継続することをお伝えしておきます。BitLocker には現在いくつかの機能強化が施されており、Microsoft Endpoint Manager による包括的で最新型の管理ができるほか、BitLocker の回復パスワードに向けたロールベースのアクセス制御、回復パスワードの検索、回復パスワードの監査などが可能です。BitLocker シリーズでは、Microsoft Endpoint Manager での BitLocker の管理方法を解説しており、サイレントモードで暗号化を有効にする方法などが書かれています。
最小権限のアクセス
新たにハイブリッドワーク環境へと移行する中で、企業は新しいデバイスや「Bring Your Own」(BYO) などの接続デバイス、さらには新たな働き方を支えてきた新アプリケーションなどの流入から組織をプロアクティブに保護する方法を検討しなくてはなりません。こうしたニューノーマルが、これまでに遭遇したことのない最も困難なサイバーセキュリティ環境を生み出しています。このような状況下においては、特権的アクセスを最小限にとどめることで、共有する必要のあるものだけを共有することが可能になります。
そこで、Microsoft Defender for Endpoint に、管理されていないエンドポイントやネットワークデバイスを発見し保護する機能を追加しました。そのようなネットワークデバイスが見つかると、セキュリティ管理者は最新のセキュリティ勧告や脆弱性情報を受け取ります。見つかったワークステーションやサーバー、モバイルデバイスなどのエンドポイントは、高度な保護機能を提供する Microsoft Defender for Endpoint に登録することも可能です。詳細は、Microsoft Security ブログの Secure unmanaged devices with Microsoft Defender for Endpoint now (Microsoft Defender for Endpoint で管理されていないデバイスを保護) という記事をご覧ください。
組織の全体的なセキュリティ体勢を整え、脆弱性の悪用を防ぐには、脆弱性や設定ミスを早期発見することが重要です。さまざまなプラットフォームをサポートするというマイクロソフトの取り組みの下、Microsoft Defender for Endpoint における脅威や脆弱性の管理機能が Linux OS にも対応しました。これにより組織は、Linux デバイスで発見された脆弱性を確認し、最新のセキュリティ勧告を評価し、修復タスクを発行することが可能です。Linux に対応したことで、脅威や脆弱性の管理機能は、Windows や macOS を含めすべての主要なプラットフォームをサポートすることになりました。
侵害を想定する
「侵害を想定した」アプローチにおいては、マルチプラットフォームかつマルチクラウドで、シンプルさを中心とした包括的なセキュリティが重要になります。そこでマイクロソフトは本日、Microsoft 365 Defender 統合ポータルの一般公開を発表します。これは、エンドポイントやメール、コラボレーションにおいて、XDR機能を統合し簡素化するものです。Azure Sentinel では、自社およびサードパーティーでの統合において、コネクタや検出、計画、ワークロードを、すべてひとつのパッケージとしてシンプルに展開するソリューションを発表しています。また、Security Operations Center におけるチームのコミュニケーション簡素化に向けては、Microsoft Teams を Azure Sentinel に統合し、インシデントから直接 Teams の通話ができるようにしました。
脅威の高度化が進んでいることから、最新のAIや機械学習機能を用意し、重要なインシデントとノイズを分離することが重要となっています。Azure Sentinel をご利用しているお客様からは、マイクロソフトの提起するインシデントが製品内で直接クローズできることが非常に便利だというご意見をいただいています。セキュリティ専門家らは、今期 Azure Sentinel の AI によって生成されたインシデントの 92% 以上が有益なものだったと報告しています。この数字は、業界標準よりも飛躍的に高い割合で、これによってお客様は重要な事業に集中できるようになります。本日マイクロソフトは、Azure Sentinel に新たな異常検知機能を追加します。これには、設定可能な機械学習を活用した User and Entity Behavioral Analytics (UEBA) などの機能が含まれます。検知した異常は、ハンティング中に追加でコンテキストを提供する際に利用できるほか、インシデントと融合することも可能です。何よりも、機械学習による異常変数をわずか数クリックで設定し、特定の環境にあわせてカスタマイズできるという強力さを備えています。
現在のハイブリッドワーク環境は、複数のプラットフォームや複数のクラウド、そしてオンプレミス環境にまで広がっています。マイクロソフトでは、このほど Azure Defender のマルチクラウド対応を拡張し、サーバーや SQL だけでなく Azure Arc を利用している Kubernetes も対象としました。Azure Security Center は、クラウドベンダーが提供するセキュリティポータルとしては、Azure や Amazon Web Services、Google Cloud Platform などのマルチクラウドをサポートする唯一のポータルです。本日発表する Azure Sentinel 向け SAP 脅威監視ソリューションのプレビューにより、アプリケーションレベルにまで保護を拡張することになります。これにより、さまざまなクラウドやオンプレミスで稼働している SAP がサポート対象となり、搭載された検知機能によって SAP の継続的なモニタリングができるほか、お客様独自の SAP 環境に合わせてカスタマイズすることも可能です。この詳細や、Azure Sentinel のその他の発表内容については、Tech Community のブログ記事をご覧ください。
このようなハイブリッドワーク環境においては、クラウドアプリケーションに安全にアクセスできるようにし、リソースを保護することが重要になります。Microsoft Cloud App Security が新たに強化され、不審なアプリケーションの動きやデータ流出の試みを検知するようになったことで、最近のクラウドベースの攻撃タイプから保護することが可能になります。今後数週間以内には、統合された Microsoft Information Protection と Cloud App Security の一般提供も開始します。この統合された情報保護ポリシー管理を Cloud App Security ポータルから行うことで、クラウド上の機密データの可視性が高まり、より強固な制御と保護が可能になります。
脅威の 90% 以上がメールによって表面化していることから、組織は自らの環境に合った方法でセキュリティツールを設定できなくてはなりません。時が経てば設定は古くなり、新たな攻撃シナリオも発展するほか、新しいセキュリティ対策も登場します。つまり、定期的に古い設定を見直し、維持し、修正し、時には削除する必要があるのです。そこでマイクロソフトは先日、お客様がより簡単に自社環境における設定のギャップを把握できるよう、Microsoft Defender for Office 365 の新機能を発表しました。これには、事前設定されたセキュリティポリシーや、Configuration Analyzer、アラート無効化などの機能が含まれます。基本的には、メールに悪意のあるコンテンツが含まれているとマイクロソフトが確信した場合、お客様側の設定に関わらずユーザーにメッセージは配信しません。また、古い設定によるリスクを排除する Secure by Default 機能も最近発表しています。詳細は、Tech Community のブログ記事をご覧ください。
「侵害を想定する」とはいっても、これは外部からの脅威だけを指しているわけではありません。組織内部からの保護についても考慮する必要があるのです。そこで本日、全体的かつ協調的にインサイダーリスクに対応できるよう、Insider Risk Management ソリューションの新機能をリリースします。詳細は、本日の Tech Community ブログをご覧ください。
調査にあたっては、eDiscovery が重要となります。そこで本日、2021 年夏より開発者プレビュー版にて Microsoft Graph コネクタで eDiscovery をサポートすることを発表します。Microsoft Graph コネクタにより、調査員は Microsoft 365 や当社のパートナーから直接 130 以上のシステムが参照できるようになります。Microsoft 365 のアプリやサービスでコンテンツを検索するように、Microsoft 365 の eDiscovery ツールを使って Microsoft Search に接続されたサードパーティーシステムのコンテンツが検索できます。詳細は、本日の Tech Community のブログ記事をご覧ください。
ゼロトラストへの道のり
リスク環境が複雑な現在においては、ゼロトラストアプローチを一夜で適用することなどできません。完璧であることよりも進歩を重視し、必要であれば支援を得ることが重要です。マイクロソフトとパートナーは、お客様のゼロトラストへの道のりを支援すると約束します。道のりを描きたい、また進歩を評価したいのであれば、ゼロトラストセキュリティを取り入れリモートワークを実現してください。
マイクロソフトコミュニティの一員として、より安全な世界の構築にご協力いただいていることに感謝いたします。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
