新しいセキュリティの考え方として注目を集めるゼロトラスト。Microsoft 365で実現するゼロトラストセキュリティと、ゼロトラスト導入後の運用課題およびその解決策について紹介したウェビナーの内容をお届けする。
コロナ禍を経て働き方が大きく変化する中、セキュリティの新しい考え方「ゼロトラスト」が注目を集めている。日本マイクロソフト/ソフトバンク共同開催のウェビナー「Microsoft 365を活用したゼロトラストセキュリティの実現 〜ソリューションのフル活用〜」では、日本マイクロソフトが「Microsoft 365」のさまざまなセキュリティ機能で実現するゼロトラストセキュリティを紹介し、製品導入後に直面する運用課題とそれを解決するマネージドセキュリティサービスをソフトバンクが解説した。
Microsoftにおけるセキュリティ事業の売り上げは優に1兆円を超え、セキュリティのエキスパートとしての存在感が高まりつつある。
「弊社CEOのサティア・ナデラがホワイトハウスでの会合で、今後5年間で2兆円以上のセキュリティ事業への投資を表明し、話題になりました。われわれは、セキュリティをベースにお客さまのビジネスをどのように伸ばしていくか、どのようにお客さまの情報を守れるかという点に積極投資していく計画です」と語るのは、日本マイクロソフト マーケティング&オペレーション事業本部 セキュリティビジネス本部 プロダクトマーケティングマネージャー 山本築氏だ。
山本氏はMicrosoft Zero Trustの定義を、「アダプティブコントロール(≒動的ポリシー)と継続的な検証により、デジタル資産全体でアクセスを保護するための統合的なアプローチ」と紹介した。これは、「Azure Active Directory(Azure AD)を中心に動的ポリシーでアクセス制御していく(条件付きアクセス)」もので、ID/デバイス/データ/アプリ/インフラ/ネットワークなどレイヤーごとにセキュリティポリシーを評価、適用していくことが重要になるという。この辺りは、2019年に発表されたNIST(米国国立標準技術研究所)のゼロトラストアーキテクチャモデルで規定された7原則の1つ、「リソースへのアクセスは、ユーザーID/デバイスの評価と、リソース/データの重要度によって動的ポリシーによって決定される」とも符合する。
Microsoft 365でどのように端末の感染を検知し、対処フローを行うのかを示したのが下図だ。
メール添付ファイルの開封などで端末がマルウェアに感染すると、EDR(Endpoint Detection and Response)機能を有する「Microsoft Defender for Endpoint」が感染端末からのアクセスを無効化する。他に感染した端末がないかを自動でチェックし、修復する。「Office 365」のテナントに対しては、「Microsoft Defender for Office 365」が影響を受けたメールボックスから悪意のある添付ファイル削除。加えて、自動で他のメールボックスも分析し該当の添付ファイルを受け取らないようブロックする。
同時にIDベースでは、マルウェアに感染した端末について「Microsoft Defender for Endpoint」による自動修復が完了するまで、「Microsoft Intune」やAzure ADと連携し、SaaSアプリケーションなどへのアクセスを拒否するなど制御する。こうした処理フロー(ゼロトラストの運用)についてはきめ細かな対応が求められるため、「自社でどこまで内製化するか、社外のSOC(Security Operation Center)に任せるかを議論しながら進める企業が増えている」と山本氏はいう。
ゼロトラストにおけるMicrosoft 365の強みの一つが、必要なセキュリティ対策をワンストップで提供することによる迅速な処理だ。
メールフィルターはA社、WebフィルターはB社、EDRはC社、CASB(Cloud Access Security Broker)はD社……とセキュリティがサイロ化している場合、端末感染が発生すると各製品がばらばらにアラートを上げ続ける。それぞれを調査して対処することになると、1つずつつぶしていくのは相当な工数と時間がかかる。社外のSOCに任せれば自社の負担はなくなるが、問題を外部に転嫁しただけで「対処に時間がかかる」という本質的な課題は解決できない。
この点、Microsoft 365によるゼロトラストでは、メールからマルウェアが侵入してエンドポイントが感染〜オンプレミスのIDが侵害されるという一連の攻撃が1つのインシデントとしてアラートが出るため、その後の対処が極めてシンプルになる。
「セキュリティがサイロ化された状態では、各製品からアラートだけでなくイベントログも出てきて、その分析に大変な工数が必要になります。しかしMicrosoft Defenderは、イベントログをアラートログに自動的に変えてつなぎ、全てを1つのインシデントとしてダッシュボードに表示します。パスワードリセットやURL/ドメインのブロック、共有メール/メール転送設定の削除など、どこまで自動化するかを考えてポリシーをONにすることができ、社外のSOCに任せるケースでも、SOC側が素早く把握でき、お客さまとのコミュニケーションを経て迅速に対処できます」(山本氏)
これを実現するために、Microsoftのセキュリティ製品群をSOCとしてどのように扱っていくか。ここで「Modern SOC」が登場してくる。
山本氏はModern SOCの重要性を、Identify(識別)〜Protect(防御)〜Detect(検知)〜Respond(対処)〜Recover(復旧)というサイバーセキュリティフレームワークにのっとって次のように解説する。
「今回紹介してきたMicrosoft Zero Trustで実現するのは、前半の予防フェーズ(識別〜防御〜検知)に過ぎません。後半のインシデント発生後の対処(検知〜対処〜復旧)を実現し、エンドツーエンドで全体をカバーするには、ゼロトラストのセキュリティ基盤からクラウドに上がってくるさまざまなデータを分析、対処するModern SOCが欠かせません」
Microsoftは下図で示す通り、さまざまなセキュリティ製品をワンストップで提供している。サイバーセキュリティフレームワーク全体をカバーする数少ないセキュリティベンダーといえる。端末やアプリ(SaaS)、クラウドなど、何かしらMicrosoft製品を利用している多くの企業にとって、ゼロトラストの実装とModern SOCの構築によるセキュアで効率的な働き方実現への道はすでに開かれているともいえよう。
せっかく製品を導入したのに運用でつまずく企業も多い。そこで頼りになるのが、運用の課題を解決するマネージドセキュリティサービス(MSS)だ。
感染症対策でテレワーク導入が進んだ2020年3月以降、セキュリティインシデントの報告件数が増加している。「JPCERT/CC インシデント報告対応レポート(2020年7月1日〜9月30日)」のデータを見ると、2019年秋から2020年2月まで平均1700件前後で推移していた報告件数が、2020年3月以降右肩上がりで増え続け、2020年9月には5473件と3倍以上に急増している。
「標的型ランサムウェアによる被害も拡大しています。ある建設会社は、2020年9月に端末3台がマルウェアに感染し、約70台のサーバが暗号化されてファイルの一部が外部に公開される事態に陥りました。約2カ月かけて復旧はしたものの、企業イメージ悪化や取引停止による売り上げ減少などダメージは長期に及んでいます」という恐ろしい例を、ソフトバンク 法人事業統括 法人プロダクト&事業戦略本部 セキュリティ事業統括 セキュリティサービス第1部 サービス企画1課 浜義晃氏は紹介した。
テレワーク導入を進める企業が注目するのが、ゼロトラストセキュリティだ。だが、ゼロトラストには、実際にインシデントが発生した場合の複雑な対応フローなど、導入時はもちろん、導入後の運用においても負担が大きい。
「Microsoft 365によるゼロトラストセキュリティを導入しているお客さまから、アラート内容が分かりにくい、アラートを追っていくのが大変で適正な対処が分からない、誤検知・過検知の調査やチューニングなど運用負荷が大きいといった悩みをよく聞きます」(浜氏)
インシデント対処では何よりもスピードが重要であるが、そのためにはゼロトラストセキュリティを導入した上で、継続的に監視・運用を行い、迅速に初動対応する体制が欠かせない。「ソフトバンクMSS」は、Microsoft 365などセキュリティ製品(他社製品を含む)のサポートをソフトバンクの窓口で一元化。24時間365日の有人対応によるセキュリティ監視、分析、対処の統合窓口サービスを包括的に提供し、ゼロトラストセキュリティの運用負荷を大幅に軽減する。
最後に浜氏は「ソフトバンクMSS」の特長として下記3つを挙げ、迅速なインシデント対処や技術要員の確保/体制構築といった企業の課題解決に貢献することを強調した。
初動から復旧まで対応 迅速性が求められる初動対応を自動化し、これまで数十分以上を要していたオペレーションを数十秒から数分に短縮。封じ込め後に根絶、復旧への処方を導く調査など複雑性の高い対処はアナリストによる手動対応。両者の組み合わせで、監視・検知から根絶・復旧までエンドツーエンドのインシデントレスポンスに対応する。
一目で分かる通知文 Microsoftからの通知メール(英語)には事象の記載はない。そこでソフトバンクではアラートに関連する情報を追加取得し、日本語で「いつ」「誰に」「何が起こったのか」を分かりやすく通知する。
幅広いサービスの提供 Microsoft Defender for Endpoint/Microsoft Defender for Office 365/Azure AD Premium/Microsoft Cloud App Security/Microsoft Intuneなど、Microsoftのゼロトラストセキュリティを構成するさまざまなサービスに対応する幅広いサービスメニューを提供する。セキュリティポリシーに基づく「設計代行」「運用代行」などの代行サービスも提供する。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ソフトバンク株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年12月21日