Microsoft Entra が Security Service Edge に拡張、Azure AD が Microsoft Entra ID に名称変更

Identity & Network Access 担当プレジデント
ジョイチック (Joy Chik)

※本ブログは、米国時間 7 月 11 日に公開された “Microsoft Entra expands into Security Service Edge and Azure AD becomes Microsoft Entra ID” の抄訳を基に掲載しています。

本ブログ抄訳と同時に公開しました、Azure AD が Microsoft Entra ID に名称変更も併せてご参照ください。

1 年前に Microsoft Entra 製品ファミリーを発表した時、マイクロソフトは、あらゆるデジタル体験とインタラクションを信頼できていたら、世界は何を達成できていたかと問いました¹。この問いかけに触発され、マイクロソフトは、データにアクセスし、共有する人々、マシン、アプリ、デバイスの間で起こる毎秒何百万、何千万もの接続を保護するためのビジョンを提案することにしました。

アイデンティティとアクセスの保護はきわめて重要です。私たちの仕事や生活のデジタル化が進むにつれ、サイバー攻撃はより頻繁に、そして、より巧妙になり、あらゆる規模の、あらゆる業界の、あらゆる地域の組織に影響を及ぼしています。過去 12 か月間、1 秒間に平均 4,000 件以上のパスワード攻撃がありました。これは、前年の 1 秒あたり 1,287 件という件数から比較して約 3 倍の増加です²。また、多要素認証のような厳重な防御をかいくぐって、アクセストークンを盗み、正当なユーザーになりすまして、重要なデータにアクセスするといった、はるかに巧妙な攻撃も見られるようになっています。

拡大を続ける組織のデジタル資産を保護するために、マイクロソフトは、ディレクトリ管理やユーザー認証に留まらず、あらゆるアプリやリソースへの、あらゆる ID のアクセスを、保護ならびに管理することに注力の範囲を拡大してきました。本日、私たちは、安全なアクセスを容易に確保できるようにするというビジョンに向けた次のマイルストーンとして、2 つの新製品 Microsoft Entra Internet Access と Microsoft Entra Private Access を発表します。デジタル体験やサービスだけでなく、それらを支えるすべてのデジタルなインタラクションに信頼を取り込むために、これらの製品の機能を追加しています。

どこからでも、どんなアプリやリソースにも安全なアクセスを

柔軟な勤務形態とそれに伴うクラウドワークロードの増加は、従来型の企業ネットワークやレガシーなネットワークセキュリティアプローチの負担になっています。VPN を使用してトラフィックをレガシーネットワークのセキュリティスタックに接続することは、セキュリティポスチャを弱体化させ、ユーザー体験を損ないます。また、サイロ化されたソリューションやアクセスポリシーは、セキュリティギャップにつながります。

Microsoft Entra Internet Access は、インターネット、SaaS、そして、Microsoft 365 のアプリやリソースへのあらゆるアクセスを保護する、ID 中心型の Secure Web Gateway です。条件付きアクセスによるポリシーをネットワーク条件で拡張し、悪意のあるインターネットトラフィックなどのオープンなインターネットからの脅威に対する保護を提供します。Microsoft 365 環境では、最高位のセキュリティと可視性を実現し、Microsoft 365 アプリへのより高速でシームレスなアクセスを可能にします。これにより、どのようなユーザーでも、どこにいても生産性を高めることができます。Microsoft Entra Internet Access の Microsoft 365 シナリオのプレビューが本日開始されました。今年後半に利用可能になるすべてのインターネットトラフィックおよび SaaS のアプリケーションやリソースに対する本機能のプレビューに参加ください。

Microsoft Entra Private Access は、プライベートなアプリケーションやリソースへのアクセスを保護する、ID 中心型の Zero Trust Network Access です。ハイブリッドクラウドやマルチクラウド環境、プライベートネットワーク、データセンターなどを通じて、あらゆるデバイスやネットワークから、ユーザーがどこにいても、プライベートアプリケーションに迅速かつ容易に接続できるようになりました。現在、プレビュー中であり、従来の VPN を置き換えることで運用の複雑性とコストを削減し、よりきめ細かいセキュリティを提供します。個々のアプリケーションに条件付きアクセスを適用し、アプリケーションを変更することなく、あらゆるレガシーアプリケーションに多要素認証やデバイスコンプライアンスなどのポリシーを適用できるようになりました。

Internet Access と Private Access は、マイクロソフトの SaaS セキュリティに特化した CASB である Microsoft Defender for Cloud Apps と共に、マイクロソフトのセキュリティサービスエッジ (SSE) ソリューションを構成します。私たちは、自社とパートナーソリューションの間で柔軟な選択肢を提供するオープンプラットフォームとして SSE ソリューションの拡張を続けていきます。Microsoft Entra Internet Access と Microsoft Entra Private Access の料金体系は、製品が一般提供開始となった時点でお知らせいたします。

図 1:マイクロソフトの Security Service Edge (SSE) ソリューション — 図 1: マイクロソフトの Security Service Edge (SSE) ソリューション

ID 管理やネットワークセキュリティだけでは、現代の組織が必要とする多様なアクセスポイントやシナリオを保護することはできません。サイバー攻撃がより巧妙になる中、マイクロソフトが、クラウドのID ソリューションに ID 中心型のネットワークアクセスを追加しているのはそれが理由です。私たちは、ID とネットワークアクセスのコントロールを集約し、すべての ID とリソースにあらゆる保護とガバナンスを拡張する統合的な条件付きアクセスポリシーを作成できるようにしています。ID の保護と検証、アクセス許可の管理、インテリジェントなアクセスポリシーの適用を単一の場所で行うことで、あらゆるデジタル資産をかつてないほど容易に保護できます。

Microsoft Azure Active Directory が Microsoft Entra ID に名称変更

2022 年 5 月に Microsoft Entra を発表したときには、Azure Active Directory (Azure AD)、Microsoft Entra Permissions Management、Microsoft Entra Verified ID という 3 製品が含まれていました。その後、Microsoft Entra ID Governance と Microsoft Entra Workload ID のリリースに伴い Microsoft Entra ファミリーが拡張されました³。現在、Microsoft Entra は、マルチクラウド ID とネットワークアクセスソリューションを統合した製品ファミリーとなり、あらゆる ID を保護し、オンプレミス、クラウド、そして、それらの混在環境におけるあらゆるリソースへのアクセスを保護します。

製品名を簡素化し、製品ファミリーを統一するため、Azure AD の名称を Microsoft Entra ID に変更します。機能、ライセンスプラン、サインイン URL、API に変更はなく、既存のすべての導入、構成、統合は従来どおり機能します。本日より、管理者ポータル、Web サイト、ドキュメントなどの Azure AD の利用場所で通知が表示されるようになります。2023 年末までに、Azure AD から Microsoft Entra ID への名称変更を完了します。お客様による作業は一切必要ありません。

図 2 : Microsoft Entra ID への名称変更に伴い、単品ライセンスの名称が変更されます。Azure AD Free は Microsoft Entra ID Free に、Azure AD Premium P1 は Microsoft Entra ID P1 。Azure AD Premium P2 は Microsoft Entra ID P2 、そして、顧客 ID 向け製品である Azure AD External Identities は、Microsoft Entra External IDへと変更になります。SKU とサービスプランの名称変更は 2023 年 10 月 1 日に有効となります。 — 図 2: Microsoft Entra ID への名称変更に伴い、単品ライセンスの名称が変更されます。Azure AD Free は Microsoft Entra ID Free に、Azure AD Premium P1 は Microsoft Entra ID P1。Azure AD Premium P2 は Microsoft Entra ID P2 、そして、顧客 ID 向け製品である Azure AD External Identities は、Microsoft Entra External IDへと変更になります。SKU とサービスプランの名称変更は 2023 年 10 月 1 日に有効となります。

Microsoft Entra のさらなるイノベーション

本日は、脆弱な認証情報、設定ミス、過剰なアクセス許可など、アイデンティティ関連の脆弱性を悪用することに習熟しつつある攻撃者に対する防御を強化する、Microsoft Entra ポートフォリオのその他のイノベーションもご紹介します。

ID 乗っ取りのリアルタイム防御: Microsoft Entra ID Protection (現在の Azure AD Identity Protection) のいくつかの重要な変更が、IT および ID 管理担当者による、アカウント乗っ取りの防止に貢献します。ID Protection は、古いデータに基づいて事後的にアクセスを取り消すのではなく、高度な機械学習を利用して異常なサインインやユーザー行動を特定し、リアルタイムでアクセスをブロックし、確認し、制限します。たとえば、機密性の高いリソースにアクセスするために、高い保証とフィッシング耐性のある認証方法を要求する、リスクベースの条件付きアクセスポリシーを設定することが可能です。

新しいダッシュボードでは、防がれた ID 攻撃と最も一般的な攻撃パターンの包括的スナップショットにより、組織が展開する ID 保護の影響を示します。ダッシュボード上でリスクの根本原因、経時的なセキュリティポスチャ、現在の攻撃の種類、リスクに基づく推奨事項を示すシンプルな指標カードと攻撃グラフを表示し、適用されたポリシーのビジネスへの影響を確認することができます。これらのインサイトにより、追加のツールやアプリケーションで自社のセキュリティをさらに調査し、推奨事項を強化できます。

図 3 : 新製品の Microsoft Entra ID Protection のダッシュボード — 図 3: 新製品の Microsoft Entra ID Protection のダッシュボード

アクセスガバナンスの自動化: あらゆるアプリに対するあらゆるアイデンティティのアクセスを安全にする上で重要なのは、適切なアイデンティティだけが適切なタイミングで適切なアクセスを行えるようにすることです。組織によっては、セキュリティ監査で不合格になって初めて、このアプローチの必要性に気づく場合もあります。一般提供が開始された Microsoft Entra ID Governance は、組織や規制上のセキュリティ要件に準拠しながら、リアルタイム、セルフサービス、およびワークフローベースのアプリケーション権限付与によって従業員の生産性を向上させるフル機能のアイデンティティガバナンスソリューションです⁴。

ID Governance は、従業員の ID ライフサイクル管理を自動化、IT 部門の手作業を削減し、ID やアプリの権限に関する機械学習ベースの洞察を提供します。クラウドで提供されるため、従来の ID ガバナンスのオンプレミス型ポイントソリューションとは異なり、複雑なクラウド環境やハイブリッド環境にも拡張できます。あらゆるプロバイダーのクラウドやオンプレミスのアプリをサポートし、パブリッククラウドやオンプレミスでホストされるカスタム構築アプリもサポートします。Edgile (Wipro 子会社)、EY、KPMG、PwC といった、マイクロソフトのグローバルシステムインテグレーターパートナーが、2023 年 7 月 1 日より、ID Governance の計画と展開の支援を開始しています。

図 4 : 新製品 Microsoft Entra ID Governance のダッシュボード — 図 4: 新製品 Microsoft Entra ID Governance のダッシュボード

顧客やパートナー向けのあらゆるアプリケーションへのパーソナライズされた安全なアクセスを実現

Microsoft Build 2023 で発表されたように、Microsoft Entra External ID の開発者向け新機能のプレビューが開始されました。External ID は、顧客、患者、市民、ゲスト、パートナー、サプライヤーなどの外部ユーザーのための統合 ID ソリューションです。豊富なカスタマイズオプション、条件付きアクセス、ID 保護、ソーシャル ID プロバイダーのサポートを提供します。マイクロソフトの包括的な開発者ツールにより、ID 分野の経験がほとんどない開発者でも、数分でアプリケーション用にパーソナライズされたサインインとサインアップのエクスペリエンスを作成できます。

Microsoft Entra Verified ID による本人確認の簡素化

昨年夏の Entra Verified ID の一般提供開始の発表以来、世界中の組織が、この新しくシンプルな本人確認方法を中心に、新入社員のオンボーディングなどのビジネスプロセスを改革してきました⁵。たとえば、LinkedIn の数百万人の会員が Verified ID のクレデンシャルを使って勤務先を確認できるようになることが最近発表されました⁶。2023 年度の Microsoft Build では、開発者があらゆるモバイルアプリケーションに安全なデジタルウォレットを迅速に追加できるようにするため、Verified ID SDK を発表しました。さらに、このアプリは、多様なデジタル ID カードを保存し、検証できます。

Microsoft Entra: 接続された世界のためのセキュアなアクセス

マイクロソフトの拡張された Entra 製品ファミリーの情報は図 5 でご覧いただけます。詳しくは Microsoft Entra のウェブサイトをご参照ください。

図 5 : マイクロソフトEntra ファミリーの ID とネットワークアクセス製品 — 図 5: マイクロソフト Entra ファミリーの ID とネットワークアクセス製品

マイクロソフトは、脅威アクターにとってより困難で、管理者にとってより容易で、すべてのユーザーにとってより安全な世界の実現にコミットしています。その一環として、私たちは Microsoft Entra の機能拡張を継続し、可能な限り広範なカバレッジを提供するとともに、人、組織、アプリ、さらにはスマートなモノが安心してリアルタイムのアクセス決定を行えるような、柔軟で俊敏なモデルを提供していきます。

技術チームの皆さまは、これらの発表をより深く理解できるよう、2023 年 7 月 20 日に Microsoft Tech Community で開催される Tech Accelerator イベントに参加されることをお勧めします。

追加情報

マイクロソフトのセキュリティソリューションの詳細は、当社ウェブサイトをご覧ください。セキュリティブログでは、セキュリティ関連の専門情報が入手できます。また、LinkedIn (Microsoft Security) や Twitter (@MSFTSecurity) でも、サイバーセキュリティに関する最新ニュースや最新情報をお届けしています。

¹ “Secure access for a connected world—meet Microsoft Entra” (接続された世界のためのセキュアなアクセス: Microsoft Entra のご紹介）、ジョイチック (Joy Chik)、バスジャッカル (Vasu Jakkal) (2022 年 5 月 31日)

² マイクロソフト社内データ

³ “Do more with less—Discover the latest Microsoft Entra innovations” (少ないリソースでより多くを実現: Microsoft Entra の最新のイノベーション）、ジョイチック (2022 年 10 月 19 日）

⁴ “Microsoft Entra ID Governance is generally available” (Microsoft Entra ID Governance の一般提供を開始)、ジョセフダジー (Joseph Dadzie) (2023 年 7 月 7 日)

⁵ “Microsoft Entra Verified ID now generally available” (Microsoft Entra Verified ID の一般提供を開始)、アンカーパテル (Ankur Patel) (2022 年 8 月 8 日）

⁶ “LinkedIn and Microsoft Entra introduce a new way to verify your workplace” (LinkedInとMicrosoft Entra が勤務先確認の新しい方法を導入)、ジョイチック (2023 年 4 月 12 日)

—

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。