Vasu Jakkal
Security, Compliance and Identity 担当
コーポレートバイスプレジデント
※ 本ブログは、米国時間 3 月 2 日に公開された “4 ways Microsoft is delivering security for all in a Zero Trust world” の抄訳を基に掲載しています。
2021 年の初めに明らかな事実の 1 つは、セキュリティへの対応が今まで以上に困難になっているということでしょう。最近注目を集めた情報漏洩事件は、今日の攻撃者がますます高度になっていること、そして、あらゆるものがつながり始めている世界のビジネスリスク管理がますます複雑になっていることを表しています。これは、官民問わず、規模の大小を問わず、あらゆる組織にとって困難な課題です。私たちがデジタルトランスフォーメーションの次の段階に入り、テクノロジが私たちの人間としての基本的活動の一部となりつつある中、マイクロソフトがセキュリティ防御者として自らに投げかけねばならない質問は「人々が自分のデバイス、データ、オンライン行動のセキュリティに確信を持てるようになるためにマイクロソフトは何ができるのか?」、「人々が安心してイノベーションと将来の成長を達成できるようにするためにどのような保護を行なえばよいのか?」、「Zero Trust の世界で信頼を確保するにはどうすればよいのか?」といったものです。
マイクロソフトは、私たち自身も防御する立場として、社外から社内への、そして、社内から社外への脅威の両方を含めたあらゆる形態の脅威を包含する Zero Trust のマインドセットを強く提唱してきました。そして、セキュリティ、コンプライアンス、アイデンティティ、デバイス管理を互いに関連する要素として総合的に扱い、それがマイクロソフト製品であるかどうかを問わず、あらゆるデータ、デバイス、アイデンティティ、プラットフォーム、クラウドを保護することが適切なアプローチであると考えています。
マイクロソフトの「Security for All (あらゆるものにセキュリティを)」といったコミットメントを耳にしたことがある方もいるでしょう。マイクロソフトは、常に変化する脅威の状況の中で、自身のコミュニティと組織を保護するという重要な仕事を担うあらゆる人々を支援することに腐心しています。
このアプローチを念頭に置き、アイデンティティ、セキュリティ、コンプライアンス、スキル育成という 4 つの主要領域において、今日のきわめて厳しいセキュリティ課題に対応する総合的保護を提供するイノベーションをご紹介していきましょう。
1.アイデンティティ– Zero Trust アプローチのスタート地点
Zero Trust 戦略は長期にわたる取り組みです。新たなステップを進むたびにセキュリティが強化されていきます。企業ネットワーク間の境界線が消滅しつつある今日の世界において、アイデンティティは防御の最前線です。Zero Trust への取り組み方は企業により様々ですが、最初にどこから手を付けるべきかを迷われている方には、クラウドによる強力なアイデンティティの基盤確立から始めることを推奨します。強力な認証、ユーザー証明書の保護、そして、デバイスの保護が最も重要です。
本日、マイクロソフトは、4 億 2,500 万人以上のユーザーに利用されているアイデンティティソリューション Azure Active Directory (AD) において、Zero Trust を支援する新機能を発表しました。
- 今日のセキュリティの最も脆弱な部分であるパスワードを排除してくれるパスワードレス認証機能が、クラウドとハイブリッド環境向けに一般利用可能になりました。全従業員に対してネットワークへのサインインにパスワードが不要なエンドツーエンドの体験を提供できるようになります。Azure AD において、Windows Hello for Business を使用した生体認証やタップ、Microsoft Authenticator アプリ、あるいは、Microsoft Intelligent Security Association パートナーのYubico、Feitian、AuthenTrend などが提供する FIDO2 互換セキュリティキーによるサインインが可能になります。現在はプレビュー段階の Temporary Access Pass によりパワードレス証明書の設定や回復に必要な時限コードを生成できます。
- マイクロソフトの Zero Trust ソリューションの中核にあるポリシーエンジン Azure AD Conditional Access が認証コンテキストを使用し、アプリ内のユーザーの行動やアクセスしているデータの機密性に応じて、さらに粒度が細かいポリシーを強制可能になります。これにより、機密性の比較的低いコンテンツに対するアクセスを不要に制限することなく、重要な情報を適切に保護できるようになります。
- 今後数週間で、Azure AD Verifiable Credentials のパブリックプレビューが提供されます。検証可能な証明書により、組織は個人情報を収集、保管することなく、あたかも教員免許や資格免許のように情報を検証可能になり、セキュリティとプライバシーを向上できます。さらに、新たなパートナーシップにより、Azure AD Verifiable Credentials が、LexisNexis、Onfido、Socure などの大手アイデンティティ検証プロバイダーと統合され、検証容易性と情報交換の安全性が向上します。慶応大学、ベルギーフランダース政府、英国の National Health Service などのお客様が既に Verifiable Credentials の試行を開始しています。
Azure AD の発表に関する詳細情報は、本日のジョイ チック (Joy Chik) によるブログ投稿をご参照ください。
2.セキュリティ – 「侵害を想定した」のソリューションを単純化する
今日の環境におけるセキュリティへのアプローチは、Zero Trust の基本規範である「侵害があることを想定すること」(assume breach) から始めるべきです。しかし、複雑性と分断化が障害になることがよくあります。マイクロソフトは、クラウドが提供する Security for All によりこの問題を解決することにコミットしています。
最初に必要なのは、すべてのプラットフォームとすべてのクラウドにわたり可視性を提供し、重要な課題にフォーカスできるようにしてくれる統合ソリューションです。エンドポイントやメールの保護を提供するベンダー、そして、SIEM (Security Information and Event) ツールを提供するベンダーは存在しますが、これらのツールを組み合わせるのは時間を要する作業です。マイクロソフトは、クラウド上で一から開発されたクラス最上級の SIEM と XDR (eXtended Detection and Response) ツールを組み合わせ、お客様の体制、保護、応答を強化します。ベストオブブリードとベストオブインテグレーションの組み合わせによって、妥協は必要なくなります。
本日、モダンな統合機能により企業のセキュリティを単純化する、以下の機能を発表します。
- Microsoft Defender for Endpoint と Defender for Office 365 のお客様は、Microsoft 365 Defender ポータルから脅威の調査と修復が行なるようになります。統一されたアラート、ユーザー、調査のページにより、詳細で自動化された使いやすい可視化機能が提供されます。また、新たに提供される Learning Hub により、お客様はベストプラクティスやハウツーなどの情報を活用できるようになります。
- Microsoft 365 Defender と Azure Sentinel 間でインシデント、スキーマ、ユーザー体験が共通になりました。また、Azure Sentinel のコネクタの機能が引き続き拡張され、データ入力と自動化が容易になります。
- 新たに提供される Threat Analytics は、Solorigate 攻撃などの最新の脅威の理解、防止、修復を支援するための、マイクロソフトのセキュリティ専門家によるレポートを Microsoft 365 Defender 内で提供します。
- Windows Server とエッジデバイス向けに Secured-Core が提供され、ファームウェアの脆弱性、そして、IoT やハイブリッドクラウド環境における高度なマルウェアによるリスクを軽減します。
本日の、脅威保護に関する発表の追加情報については、本日のロブ レファート (Rob Lefferts) とエリック ドア (Eric Doerr) のブログ記事をご参照ください。マイクロソフトの Secured-Core に関する発表の追加情報は本日のデビッド ウェストン (David Weston) によるブログ記事をご参照ください。また、Microsoft Teams の新しいセキュリティ機能に関する本日のジャレッド スパタロウ (Jared Spataro) によるブログ記事もご参照ください。
本日の発表は、あらゆるクラウドとあらゆるプラットフォームに向けて、業界最高レベルの保護、検知、応答のツールを提供するというマイクロソフトの継続的コミットメントをさらに強化するものです。このコミットメントから生まれたソリューションには、Android、iOS、MacOS、Linux、Windows 上で利用可能であり、Gartner Magic Quadrant でリーダーと評価された Defender for Endpoint、そして、AWS、Google Cloud Platform、Salesforce サービスクラウド、VMware、Cisco Umbrella などのマルチクラウド環境での監視を行なう Azure Sentinel などがあります。
3.コンプライアンス – 内部からの保護
マイクロソフトは、Zero Trust では、社外から社内への脅威だけではなく、社内から社外への脅威も保護するものと考えています。コンプライアンスへの対応にはデータ関連のリスクを管理することが必要です。
これは、マイクロソフトのクラウド上のデータだけを対象とするものではありません。お客様が使用している多様なクラウドとプラットフォームが対象になります。マイクロソフトは、自社製品向け機能をサードパーティ向けにも拡張することで、社内から社外への脅威の保護に対応し、お客様のデジタル資産全体のリスク軽減を支援します。
本日、マイクロソフトはコンプライアンス分野において以下の 3 つのイノベーションを発表します。
- Microsoft Information Protection により、共同作成されるドキュメントが保護されます。Microsoft 365 のアプリ全体を通じて、複数のユーザーが保護されたドキュメントに対して同時に作業しながら、インテリジェントで、統合され、拡張可能なドキュメントとメールの保護機能を利用できます。
- Microsoft 365 Insider Risk Management Analytics は、組織内のインサイダーによる潜在的リスクを識別し、ポリシー構成を支援します。1 つのクリックで、履歴を含む監査ログをシステムに日次スキャンさせ、機械学習エンジンによりプライバシーを保護しながら潜在的なリスクを発見できます。
- Microsoft 365 は、Chrome ブラウザ、そして、ファイルサーバや SharePoint Server などのオンプレミスのサーバベースの環境向けに DLP (Data Loss Prevention) を提供します。
- Azure Purview が、Microsoft Information Protection と統合され、他のクラウドやオンプレミスのデータに対して、Microsoft 365 Compliance Center で定義されたものと同じ機密性ラベルを適用することができるようになりました。オンプレミス、マルチクラウド、SaaS (Software-as-a-Service) データを対象とする統合データガバナンスソリューション Azure Purview により、AWS Simple Storage Services (S3)、SAP ECC、SAP S4/HANA、Oracle Database 上のデータのスキャンとクラス分けを行なうことができます。
マイクロソフトのコンプライアンス関連の追加情報については、本日のアリム ラヤニ (Alym Rayani) によるブログ記事をご参照ください。
4.スキル育成 – セキュリティスキルの育成で未来を創る
マイクロソフトは、多くのお客様が、セキュリティのスキルギャップに悩まれていることを認識しています。2021 年時点で、セキュリティ専門家は 350 万人不足していると推定されています。これが、今日の複雑なサイバーセキュリティ攻撃に追随するために必要なスキル習得と学習のリソースを提供できるよう、マイクロソフトが取り組んでいる理由です。サイバーセキュリティプロフェッショナルのスキル構築を支援するための方法をご紹介します。
第 1 に、マイクロソフトは、お客様のセキュリティスキルレベル、そして、職務とニーズに合わせた 4 つのセキュリティ、コンプライアンス、アイデンティティ関連認定資格を提供しています。これらの新しい認定資格の詳細については、Microsoft Certifications. のリソースページをご参照ください。
- Security, Compliance, and Identity Fundamentals 認定資格は、マイクロソフトのクラウド関連サービスにおけるセキュリティ、コンプライアンス、アイデンティティの基礎習得を支援します。
- Information Protection Administrator Associate 認定資格は、組織のコンプライアンスのニーズに合致する統制機能の計画と実装にフォーカスしています。
- Security Operations Analyst Associate 認定資格は、セキュリティ運用プロフェッショナルによる脅威保護と応答システムの設計を支援します。
- Identity and Access Administrator Associate認定資格は、Azure Active Directory を活用した、組織のアイデンティティとアクセス管理システムの設計、実装、運用を支援します。
マイクロソフトは、私たちの住む世界が複雑であるからといってスキル育成も複雑であるべきではないことを認識しています。Microsoft Security Technical Content Library は、お客様のニーズに基づきコンテンツの発見を支援します。是非、自分のニーズに合ったコンテンツを探してみてください。
Security for All
Microsoft Security のチームはあらゆる人にとって安全な世界の構築を支援することにコミットしています。毎日のように、セキュリティ担当者の努力に触発されており、重要な仕事を行なうあらゆる防御担当者を支援すべく、イノベーション、専門知識、リソースを提供することにフォーカスしています。セキュリティはチームスポーツであり、私たちはみなチームの一員です。
マイクロソフトセキュリティに関してより詳細の情報はこちらのサイトをご確認ください。
こちらの Security Blog では、セキュリティに関する様々な最新情報を提供しています。また、@MSFTSecurity も併せてフォローください。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。