日本マイクロソフトは3月17日、セキュリティをテーマにしたメディア向けのオンライン説明会を開催した。ゲストにセキュリティ企業のラックを招き、「ゼロトラストセキュリティ」に向けた両社の取り組みや展望などについて語った。
ゼロトラストセキュリティとは、2012年に米IT調査会社のForrester Researchが提唱した新しいセキュリティの考え方になる。これまではオフィスの内側と外側に分け、その境目(境界)を基準に内側が安全になるようさまざまなセキュリティ対策を講じる多層防御を整備するものだった。
しかし、インターネットでオフィスの外側でも利用可能なクラウドサービスの普及や在宅勤務など多様な働き方の採用など背景に、境界を基準とするセキュリティの考え方が実態に合わなくなり始めたとされる。このため、ITを利用するユーザーを基準にして、そのユーザーのアイデンティティーやITを利用する環境、利用中の行動などが信頼できるものかどうかを常に確認して安全を確保する考え方として、ゼロトラストセキュリティが提唱された。
サイバーセキュリティトレンドの変化
セキュリティ業界では、クラウドや多様な働き方といったIT環境の利用の変化に応じて緩やかにゼロトラストセキュリティへ移行していくと予想されてきたが、2020年に新型コロナウイルス感染症が世界的に流行し、感染対策として在宅勤務の大規模な緊急導入などが発生、境界を基準とする従来のセキュリティ対策がさらに通用しなくなる恐れが高まったため、ゼロトラストセキュリティへの移行を促す動きが広まっている。
マイクロソフトで技術統括室 チーフセキュリティオフィサーを務める河野省二氏は、Windowsなど同社の製品やサービスの利用者の同意を得て、セキュリティに関する膨大な情報を毎日収集しており、その分析などを通じてサイバー攻撃などの脅威に備える取り組みを推進しているとした。
これを踏まえてゼロトラストセキュリティでは、脅威の顕在化を未然に防ぐべく脆弱性などが少ない健全なIT環境を保つサイバーハイジーン(サイバー衛生)、「どこの誰がどのようなものをどのように利用するか」といったポリシーベースの制御、パスワードに依存しない認証などの利便性の確保――がポイントになるとする。
河野氏は、「Security for ALL」をキャッチフレーズに、Azure Active Directory(AzureAD)などを活用したIDベースのセキュリティ、マルチベンダーで構成が複雑化している多層防御の簡素化、外部脅威だけでなく内部不正やハラスメントへの対応を含むコンプライアンス、そして、セキュリティの維持・向上に取り組む人材の確保やスキルの育成などに取り組んでいると説明した。
合わせて同社は、「Microsoft Digital Trust Security Alliance」というパートナーエコシステムを構築。現在までに62組織が参加し、120種類のセキュリティソリューションが提供されている。ラックはこの幹事社の1つになる。
ラックとマイクロソフトは同日、共同作成した「ゼロトラスト時代のSOC構築と運用ガイドライン」という資料を一般公開した。ゲストで登壇したラック 代表取締役社長の西本逸郎氏は、ゼロトラストセキュリティで常に確認を行う仕組みの1つとして、EDR(エンドポイント検知および対応)ソリューションがセンサーになると述べた。EDRは、PCやサーバーなどの端末の内部環境でマルウェアなどの動きやサイバー攻撃者の不正な遠隔操作といった様子を監視し、それらを検知した際に必要な対応を支援する機能を持つ。
ラックとマイクロソフトが作成したガイド
資料は、ゼロトラストセキュリティによる対策の構成要素やメリット・デメリット、具体策となるEDRやセキュリティ監視センター(SOC)の構築および運用でのポイントを解説したものになる。西本氏によれば、ゼロトラストセキュリティの全体像の解説をマイクロソフト、EDRやSOCの具体策をラックが取りまとめ作成した。まずはSOCを運用する大企業などを対象としているが、今後はSOCサービスを提供する同業他社などとも連携し、ゼロトラストセキュリティの普及につなげたいとした。
最後に河野氏は、直近のオンラインカンファレンスにおけるセキュリティ関連の発表を紹介。3月初旬のIgniteでは、Azure ADにおけるパスワードレス認証の標準化が発表された。2020年12月のShape Your Future with Azure Data and Analyticsでは、データガバナンスサービスのAzure Purviewが発表されている。
日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野省二氏(左)とラック 代表取締役社長の西本逸郎氏
なお、河野氏によれば、マイクロソフトではゼロトラストセキュリティ環境の実現に4年ほどを費やしており、「このうち1~1年半ほどは失敗もあり、実質的には3年ほどを要した」(河野氏)とのこと。ラックも2年ほど前から働き方改革の一環で社内セキュリティのゼロトラスト化を進めているという。西本氏は着手から実現までに3~5年ほどかかるとの見方を示す。「現実的はオフィスの有無がポイントになる」とも述べ、コロナ禍によるテレワークなどの普及状況や企業のオフィス戦略の動向もゼロトラストセキュリティの推進に影響するだろうとした。