Joy Chik
Corporate Vice President, Microsoft Identity
Vasu Jakkal
Corporate Vice President,
Security, Compliance, Identity, and Management
※※本ブログは、米国時間 2022 年 5 月 31 日に公開された Secure access for a connected world—meet Microsoft Entra – Microsoft Security Blog” の抄訳を基にしています。
デジタル上での体験やインタラクションがすべて信頼できるものであったら、この世界は何を達成できるでしょう?
この疑問がきっかけとなり、マイクロソフトは Identity やアクセスについて異なる考え方をするようになりました。そして本日、マイクロソフトは、あらゆるものがつながる世界でセキュアなアクセスを実現するにはどのような支援ができるかについて、拡張したビジョンを発表します。
Microsoft Entra は、マイクロソフトの Identity 機能とアクセス機能を網羅する新しい製品群です。Entra 製品群の中には、Azure AD のほかに、Cloud Infrastructure Entitlement Management (CIEM) および分散型 Identity という 2 つの新しい製品カテゴリーが含まれています。Entra 製品群は、Identity およびアクセス管理、クラウドインフラのエンタイトルメント管理、本人確認などを通じて、誰もが何に対しても安全にアクセスできるよう支援します。
ハイパーコネクテッドワールドにおける信頼の必要性
テクノロジは私たちの生活を驚くほどさまざまな形で変えてきました。人との交流や仕事の仕方、新しいスキルを育成する方法、ブランドとの関わり方、そして健康管理の方法まで再形成したのです。また、テクノロジはビジネスの手法を再定義し、既存のニーズに全く新たな手法で対応するとともに、体験や質、スピード、コストの管理を向上させてきました。
こうしたイノベーションの舞台裏では、人やマシン、アプリ、デバイスなどの間で毎秒数百万もの接続が発生しており、それによってデータの共有やデータへのアクセスが可能になっています。このようなインタラクションによって、テクノロジや人との関わり方に刺激的な機会が生まれています。一方で、それと同時に人やデータの脆弱性への攻撃対象もいっそう拡大しており、対処が求められています。
デジタル化への取り組みを進める上で組織がこうしたリスクに対処することは、ますます重要、かつ困難になってきています。不正アクセスを恐れることなくイノベーションを進められるよう、障壁を取り除かなくてはなりません。デジタル体験やサービスだけでなく、組織を支えている人、マシン、マイクロサービス、モノといったあらゆるアクセスポイントで発生するすべてのデジタルインタラクションに信頼を定着させる必要があるのです。
Video: Vasu Jakkal, Corporate Vice President, Security, Compliance, Identity and Management, と Joy Chik, CVP of Identity のビデオ
Identity とアクセスに対するマイクロソフトの拡張ビジョン
世の中がよりシンプルだった頃は、デジタルアクセスを制御することも比較的簡単でした。境界線を設定し、適切な人のみアクセスできるようにすればよかったのです。
しかし、それではもはや持続可能ではありません。組織のデジタル資産が拡大して変化し、境界がなくなりつつある中で、すべてにゲートを設けることはできないのです。組織とそのサプライチェーン全体で発生するであろう無限のアクセスシナリオを予測して対処することなど事実上不可能です。特に、組織の管理外にあるサードパーティーシステムやプラットフォーム、アプリケーション、デバイスなどが含まれている場合はなおさらです。
Identity といってもそれは単にディレクトリのことではありませんし、アクセスといってもネットワークだけのことではないのです。セキュリティの課題ははるかに広範囲にわたるため、より幅広いソリューションが必要です。あらゆるお客様やパートナー、従業員のアクセスを保護するだけでなく、マイクロサービス、センサー、ネットワーク、デバイス、データベースなどへのアクセスもすべて安全に保たなくてはなりません。
しかも、こうしたセキュリティの担保はシンプルに行う必要があります。組織は、問題の一部しか解決できなかったり、一部の環境でしか機能しなかったり、連携するにはガムテープと風船ガムが必要だったりするような、不完全でばらばらなソリューションを扱いたいとは考えません。アクセスに関する決定事項は、できるだけきめ細やかで、リアルタイムのリスク評価に基づいて自動的に適応されなくてはなりません。それがすべての環境で求められるのです。オンプレミスや Azure、Amazon Web Services、Google Cloud Platform、アプリ、ウェブサイト、デバイスなど、ここに挙げたすべてはもちろんのこと、次に来るものに対しても同様の対応が求められています。
それが Identity とアクセスに対するマイクロソフトの発展的なビジョンであり、新たな製品群 Microsoft Entra が提供するものです。
ビジョンの実現に向けて: 信頼の基盤としての Identity
このビジョンを実現するには、Identity 自体に進化が必要です。現在の相互接続された世界では、人や組織、アプリはもちろん、スマートなモノまでもが自信を持ってリアルタイムでアクセス権を決定できるよう、柔軟で迅速なモデルが求められます。お客様が直面するすべてのシナリオをサポートできるよう、機能を構築し拡張していかなくてはならないのです。
今後もマイクロソフトは Identity およびアクセスのソリューションを拡張し、現在から将来にわたってこれらのソリューションがすべてのデジタルエコシステムにおける信頼の基盤となるようにしていく考えです。
Microsoft Entra は、あらゆるタイプの Identity を検証するほか、すべてのリソースへのアクセスを保護し、管理し、ガバナンスを実現します。新しい Microsoft Entra 製品群では、次のような機能が提供されます:
・ あらゆるユーザによる、あらゆるアプリやリソースへのアクセスを保護します。
・ ハイブリッド環境やマルチクラウド環境全体で、すべての Identity を保護し、検証します。
・ マルチクラウド環境におけるアクセス権限を検出し管理します。
・ リアルタイムでインテリジェントにアクセス権の決定を下し、ユーザエクスペリエンスを簡素化します。
これは、Identity とアクセスへのニーズに対応する包括的な製品群を提供するにあたっての重要なステップで、今後も当社では Microsoft Entra 製品群を拡張していく予定です。
「Identity は、将来のサイバーセキュリティにおける基礎となるものです」
—トーマス・ミュラー-リンチ (Thomas Mueller-Lynch) Service Owner Lead for Digital Identity―Siemens
Microsoft Entra の概要
当社の主要な Identity およびアクセス管理 (IAM) 製品である Microsoft Azure Active Directory (AD) は、Microsoft Entra 製品群の一部となり、これまでお客様に親しまれ愛されてきた条件付きアクセスやパスワードレス認証などの機能は変更されることはありません。Azure AD External Identities は、今後もお客様やパートナーに向けた Identity ソリューションとして、Microsoft Entra 製品群より引き続き提供されます。
また、Entra 製品群の一環として、複数の製品イノベーションの発表につながる新ソリューションを追加します。
クラウド間でのアクセスリスクを軽減
マルチクラウドの採用により、パブリッククラウドプラットフォーム全体で ID や権限、リソースが大幅に増加しました。大半の ID は過剰にプロビジョニングされており、それによって組織の攻撃対象が拡大して事故や不正の承認誤用リスクが高まります。クラウドプロバイダー全体を可視化するか、一貫したエクスペリエンスを提供するツールがなければ、Identity チームとセキュリティチームが権限を管理し、デジタル資産全体で最小特権の原則を適用することは非常に困難になってしまいます。
マイクロソフトは昨年 CloudKnox Security を買収し、Cloud Infrastructure Entitlement Management (CIEM) ソリューションを提供する初の大手クラウドプロバイダーとなりました。その CIEM ソリューションが、Microsoft Entra Permissions Management です。同ソリューションは、マルチクラウドインフラ全体におけるすべて (ユーザとワークロード双方) の ID や、アクション、リソースに対するアクセス権限を包括的に可視化します。また、未使用や過剰なアクセス権限を検出し、適切なサイジングを施して監視するほか、Microsoft Azure、Amazon Web Services、および Google Cloud Platform にて最小権限アクセスの原則を適用し、データ漏えいのリスクを軽減します。Microsoft Entra Permissions Management は、今年 7 月より全世界で一般提供される唯一の製品で、Defender for Cloud ダッシュボードに統合されます。これにより、Microsoft Defender for Cloud の保護機能が CIEM にも拡張されます。
また、Microsoft Entra のワークロード ID Identity 管理のプレビューにより、Azure でホストされているすべてのアプリケーションやサービスに対して Identity を割り当て保護できるようになります。
プライバシーを尊重する安全なデジタルインタラクションの実現
マイクロソフトでは、プライバシーを深く尊重し、保護し、防御しており、プライバシーが最も重要な分野は個人の Identity だと考えています。そこで分散型 Identity のコミュニティと数年にわたって協力した結果、分散型 Identity の標準規格に基づいた Microsoft Entra Verified ID という新製品を発表することになりました。Verified ID は、移植可能な自己所有型 Identity を実現する業界標準を実装しています。これは、個人と組織に対し、オープンで信頼でき、相互運用可能な標準規格に対応した分散型 Identity の未来を実現するという、当社の取り組みを示すものです。Verified ID により、個人や組織は無数のアプリやサービスを幅広く承認したり、Identity に関するデータをさまざまなプロバイダーに拡散したりするのではなく、どの情報をいつ、誰と共有するか、また必要であればその情報を取り戻すか、を自ら決められるようになります。
分散型 Identity の潜在的シナリオは無限にあります。組織の認証情報を 1 秒以内に証明できれば、企業間取引や企業対顧客の取引をより効率的に、確信を持って実施できます。個人の学歴や認定資格情報をデジタル化して保存し、共有できれば身元調査もより迅速になり、信頼性も高まります。また、医師と患者の双方が互いの身元を確認し、そのやり取りが完全にプライベートで安全だと確信できれば、健康管理のストレスも軽減されるでしょう。Microsoft Entra Verified ID は、8 月上旬に一般提供される予定です。
「Microsoft Entra のような世界屈指のテクノロジを使い、自社のオフィス環境で従業員に Verified ID を実装できればなんてすばらしいだろうか、と考えました。仕事の効率化に役立つビジネスチャンスを簡単に見つけることができたのです」
―クリス・テイト (Chris Tate) Chief Executive Officer ―Condatis
重要な ID ガバナンスシナリオの自動化
次に焦点を当てるのは、従業員やパートナーの Identity Governance です。IT チームやセキュリティチームにとって、新規ユーザやゲストアカウントをプロビジョニングし、そのアクセス権を手動で管理するのはとても大変なことです。これが、IT 部門と個人の生産性の両方に悪影響を及ぼすこともあるでしょう。よくあるケースとしては、新入社員が仕事に必要なアクセス権の入手を待つ間、完全に効果的に働くことができずにいることが挙げられます。同様に、ゲストユーザに必要なアクセス権を付与するのが遅れると、サプライチェーンがスムーズに機能しなくなってしまいます。また、ユーザーアカウントの再度のプロビジョニングや無効化に関する正式なプロセスや自動化プロセスがなければ、ユーザの役割が変わった場合や退職した際にもアクセス権がそのままになっている可能性があります。
Identity Governance は、Identity ライフサイクル管理によってこうした課題に対処し、ユーザのオンボーディングプロセスやオフボーディングプロセスを簡素化します。ライフサイクルワークフローによって、ユーザの属性変更に伴うアクセス権の割り当てと管理や、アクセスの監視と追跡が自動化されます。Identity Governance のライフサイクルワークフロー機能は、今年7月にパブリックプレビューとして公開される予定です。
「長い間古い技術で後手に対応してきましたが、それは大変なことでした。(Azure AD Identity Governance によって、) ようやくプロアクティブな対応ができるようになり、事業サイドからの複雑な要求にも応えられるようになりました」
—サリー・ハリソン (Sally Harrison) Workplace Modernization Consultant―Mississippi Division of Medicaid
障壁ではなく可能性の創造へ
Microsoft Entra は、モダンでセキュアなアクセスのあるべき姿に対するマイクロソフトのビジョンを具現化したものです。Identity は、新しい可能性の世界への入り口となるべきもので、アクセスを制限し、摩擦を生み出し、イノベーションを阻止するものではありません。皆様には、探索し、協力し、実験してもらいたいと思っております。それは無謀だからではなく、恐れを知らないからこそできることだからです。
ぜひ Microsoft Entra のウェブサイトをご覧いただき、Azure AD や Microsoft Entra Permissions Management、Microsoft Entra Verified ID がいかにしてコネクテッドな世界で安全にアクセスを提供しているかをご確認ください。また、マイクロソフトのセキュリティに関する詳細は、当社のウェブサイトやセキュリティブログをご覧いただくか、Twitter (@MSFTSecurity) をフォローすることで最新ニュースやアップデートに関する情報を確認いただけます。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
