編集部からのお知らせ
令和時代のCIOとは?
「ニューノーマルとIT」新着記事一覧

テレワークで利用するサービスの
セキュリティ管理はどのようにしていますか

働き方改革や新型コロナウイルス感染症対策などからオフィスに限定しないワークスタイルが広がり、自宅から業務を行うテレワークが主体になっている企業も増えています。緊急事態宣言を受けて十分な準備ができないままテレワークを始めてしまったために、さまざまな課題が発生しているのではないでしょうか。

これまでは「シャドーIT」などを懸念していた企業も、オンラインストレージやオンライン会議など、IT部門などによる十分な管理ができないままにクラウドサービスを利用せざるを得なかったり、セキュリティ要件の検討ができないままにサービスを使うことになったりしているようです。

複数のサービスをどのように管理するか

 これまではネットワークの制限によりオンプレミス上のサービスを外部から使えないようにしたり、PCにインストールされたアプリケーションについてMDM(Mobile Device Management)を利用したポリシー管理アプリケーションなどで制御したりしてきた企業も多いと思います。同様に、クラウド上のサービスについても利用の可否をCASB(Cloud Access Security Broker)を利用することで制限してきたかもしれません。

 これらはサービスやアプリケーションの利用の可否を制御するには有効ですが、そこで何が行われているのかを管理するのは難しい管理方法です。そのサービスやアプリケーションでどのような振る舞いが行われているのか、どのようなデータが扱われているのかを知ることは残念ながらできません。

 在宅ワークによって、さまざまなサービス上に従業員などのIDが作成され、それぞれのサービス上にデータが置かれているような状況では、管理コストが増大するばかりです。連携するサービスが多くなればなるほど、管理も複雑になります。

ログマネジメントによる効率的な管理

 そこでよく利用されているのが、SIEM(Security Information and Event Management )です。さまざまなサービスのログを集約して相関分析を行うことで、企業が利用するサービス全体におけるセキュリティの状況を判断するための仕組みです。

 SIEMは、本来ログの分析を行うためのシステムですが、ログ管理システムとともに利用することで、ログの統合管理基盤として活用している企業も少なくありません。

 一見便利に思えるこのSIEMにも課題は幾つかあります。

  • 対象サービスが増えることでログも増大し、処理に時間がかかる
  • サービスごとにログの特性が異なるため、適切な解析を行うためにある程度の専門家が必要になる
  • ローカルネットワークにSIEMを配置することで、クラウドサービスのログをダウンロードしなければならず、ネットワーク帯域を圧迫する

 これらは一部ですが、こうした課題を解決するために、クラウド上にSIEMを配置したり、ログデータの関連性を持たせるために複数のサービスに共通の項目を持たせたりしているのが現状です。


※クリックすると拡大画像が見られます

複数のサービスをユーザー単位で一元管理する

 複数のサービスのログに共通項を持たせることは、どのようにすればできるのでしょうか。それぞれのサービスのログをユーザー企業が変更することは残念ながらできませんし、ベンダーなどにその要望をしたところで、個別の対応をしてもらえるとは限りません。

 そこで、「サービスを利用しているのはユーザーである」というところに着目します。同じユーザーが利用しているサービスであれば、ユーザー単位でログを管理することで、不審な行動について検知することができますし、ユーザー単位でサービスを制御することもできます。

 SIEMでの運用では、ネットワークやデバイスレベルでの管理が主体になっていたかもしれませんが、ユーザーの振る舞いによる管理に変えることで、より精度の高い分析が行うことができるようになります。あるデータによれば、ユーザーの振る舞い検知を採用することによって、分析が容易になり、誤検知を90%以上削減できたとも言われています。

 近年は、ネットワークの内と外で切り分けず、IT環境全体で厳格な認証と制御など通じてセキュリティを担保していく「ゼロトラスト」が注目されています。ネットワークに関するログの信頼性を確保するのが難しくなってきたこともあり、ユーザーの振る舞い検知にシフトしている企業も増えてきました。


※クリックすると拡大画像が見られます

ユーザーの振る舞い検知の基盤づくり

 テレワークで利用しているサービスの要件として最も重要なのは、IDaaS(ID as a Service)を利用したアカウント統合が可能かということです。

 例えば、3つのサービスを使っているとして、「どれか1つのアカウントに統合できるか、できないか」では、ユーザー管理のコストだけではなく、ログの管理コストも増加します。もちろん、正しく利用できていることを確認するための時間もコストも増加します。

 あるオンライン会議システムでは、企業が既に持っているユーザー管理基盤(IDaaS)を利用してもらうことを前提として、多要素認証機能の実装を先送りにしています。オンライン会議システムの機能の安全性については十分に検討するが、ID管理は他のサービスを使うことができるので、そちらを使うことでセキュリティ要件を補完して欲しいということです。

 これはクラウドでは珍しいことではありません。オンラインストレージサービスを提供しているベンダーでも、ID管理基盤については連携(フェデレーション)を推奨していることが少なくありません。クラウドでは、機能単位でサービスを使うことを想定しており、それらを連携することでさらに便利に使っていこうというのが、考え方の基盤にあるからです。

 つまり、クラウドを安全に使うためにはIDaaSを設置し、連携できるサービスを選ぶことが重要なポイントとなっています。

 これによって、それぞれのログに記録されるIDの相関を正しく把握することができるようになり、さまざまなサービスを安全に利用していることを把握できるようになります。

全てのものにIDを付与することでさらに安全にサービスを利用する

 IDaaSでは、ユーザーアカウントだけではなく、デバイスやアプリケーション、データにもIDを付与することが可能です。ユーザーIDとこれらのIDが結び付くことにより、より詳細な管理を行うことができるようになります。

 例えば、あるユーザーが利用しているデバイスがいつものものではないと分かれば、そのユーザーアカウントが正式なものかどうかを確認するための追加認証を行うことができるようになります。アプリケーションについても、適切なライセンスを所有しているかだけではなく、そのアプリケーションで作成されたデータにユーザーIDをひも付けることで、データを作成した時点から適切なデータ管理を行えるようになります。


※クリックすると拡大画像が見られます

ID連携に対応しているサービスかどうかを調べる

 IDaaSは認証サービスではありません。さまざまなサービスを利用するためのチケットを発行するサーバーです。つまり、ここで発行されるチケットに対応しているサービスかどうかを判断することが必要です。

 例えば、MicrosoftのIDaaSである「Azure Active Directory」で発行されるチケットでは、Googleのサービスを使うことができます。Googleの発行するチケットでMicrosoftのサービスを使うこともできます。これはお互いのチケットが標準に従って発行されているためです。

 チケットを管理するプロトコルには、SAML、OAuth、Open ID Connectなどがありますが、これに対応しているサービスかどうかというのもクラウドサービスを選ぶ際には重要なポイントとなります。

 SaaSだけではなく、PaaSでも同様です。最近ではIaaS上にインストールしたLinuxサーバーのユーザーもIDaaSを利用して管理することができるようになっています。

 テレワークで一時的に利用すると決めたサービスが、ID連携の仕組みで使うことができるかどうかをぜひ確認してみてください。

 最近のセキュリティインシデントの多くはなりすましです。

 サービスごとにID管理をしていると、なりすましに気づきにくくなるだけではなく、なりすましの可能性のあるユーザーの他のサービスについての検証や影響分析も正確にできなくなる可能性があります。

 ぜひ、クラウドサービス利用を前提に、IDaaSの構築を検討してみてください。

Azure Active Directory (Azure AD) は Microsoft が提供するクラウドベースの ID およびアクセス管理サービスであり、Microsoft Office 365、Azure portal、その他サードパーティーのSaaSといった外部リソース、企業ネットワークとイントラネット上のアプリや、自分の組織で開発したクラウド アプリなどの内部リソースへのサインインとアクセスを支援します。詳細とメリットについてはこちらをご覧ください。

提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2021年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]