SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

ゼロトラストとCSFでマイクロソフトのサービスを解剖すると 日本マイクロソフト 山野氏が解説

 サイバーセキュリティ対策ではゼロトラストやCSFが重要な指針となる。しかしこれらはあくまでも基本理念や指針。実在するツールとどう紐付けられ、どう連携するのだろうか。3月12日にオンラインで実施された「Microsoft Security Forum 2020」のブレイクアウトセッションでは、Office 365などの同社が提供するサービスをゼロトラストやCSFに照らし合わせて紐解かれた。

「誰も信頼せず、必ず確認する」ゼロトラストはどうすれば実現できる?

 サイバー犯罪は日々姿を変えている。日本マイクロソフト 山野 学氏は「攻撃サービスは低価格化し、攻撃機会が増えています。またクラウドベースの攻撃ツールが標準になっています」と現状を説明する。

日本マイクロソフト クラウド & ソリューション事業本部 モダンワークプレイス統括本部 山野 学氏
日本マイクロソフト クラウド & ソリューション事業本部
モダンワークプレイス統括本部 山野 学氏

 一方、防御側の指針として心得ておきたいのがNIST(アメリカ国立標準技術研究所)が発行したCSF(サイバーセキュリティフレームワーク)とゼロトラストだ。CSFは防御側のガイドラインであり教科書とも言える。特徴は資産に対する脅威とリスクが「識別(Identify)」、脅威から「防御(Protect)」、攻撃や侵入を「検知(Detect)」、インシデントに「対応(Respond)」、侵害されたものを攻撃前の状態に「復旧(Recover)」という5つのフェーズで成り立っている点だ。

 もう1つはゼロトラスト。こちらはサイバーセキュリティについての基本理念や基本戦略だ。かつては関所のようにネットワークに境界を設け、外側からの攻撃をブロックし、内側を信頼できるゾーンとしていた。

 しかし近年では社外にあるクラウドサービスを利用し、テレワークで社外からアクセスするユーザーが増え、境界が意味を成さなくなってきた。また攻撃は高度化、多様化しているため、攻撃者が内部に潜伏していることを前提に対策する必要がある。そこで全てのアクセスを無条件で信頼しないことを前提とした「ゼロトラスト(誰も信頼しない)」の実践が普及している。必ず相手の信頼性を確認し、その相手に適した領域へのアクセスを許可する。

 余談だが、ゼロトラストといえばGoogleの実践が興味深い。GoogleはテレワークでVPNを使わない。斬新なようだが考えてみると、VPNは会社のネットワークへの専用通路なので、境界で防御する時代の産物と言える。Googleではどこからのアクセスだろうと、自社開発した端末認証用のチップを用いるなどして認証を厳格にしている。ゼロトラストを徹底できるようになると、Googleのように脱VPNに行き着くのかもしれない。

 それでは本題。Microsoft 365など、マイクロソフトが提供するサービスではどうか。日本マイクロソフト 山野氏が解説した。まずはゼロトラストをベースとしたアクセス制御から。ここは識別、認証、認可の3ステップで行う。ユーザーとデバイスをID管理基盤に登録することでアクセス元を「識別」し、正当性を多要素認証等で検証して「認証」し、アクセス元の属性に応じてアクセスを「認可」するという流れだ。

 最後の「認可」の段階では、アクセス元の信頼性とアクセス先の機密性の両方で判断する。アクセス元の信頼性とは、アクセス元が疑わしいかどうかだ。例えば資格情報の流出やデバイスの侵害があれば信頼性を「低」、本人とは疑わしいイベント検出やレジストリの異常があれば信頼性を「中」などと区分する。アクセス先の機密性とは、ユーザーがアクセスしようとする情報の機密度だ。製品カタログのように既に公開済みなら機密性は低く、社外秘なら機密性は高い。

 例えばアクセス元の信頼性が低い場合、アクセス先の情報の機密度が低ければ大して問題ないのでアクセスは許可する。しかしアクセス先の情報の機密度が高ければ、アクセス元の信頼性を高めるようにするか、できなければアクセスを制限またはブロックする。実際にはより細かい制御をリアルタイムで実行している。

 こうしてマイクロソフトのサービスではゼロトラストを基本にして、アクセス制御を行うようにしている。これをCSFの5フェーズに照らし合わせると、識別と防御、加えて検知の一部までに該当する。

次のページ
CSFの識別、防御、検知、対応、復旧のフェーズでソリューションを分解

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12840 2020/04/16 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング