多くの企業が従業員に自宅勤務を命じるよう強いられ、私たちが新しい働き方へ移行してから 1 年以上が経過しました。今では、多くの企業がオフィス勤務に戻したり、オフィス勤務と自宅勤務のハイブリッド勤務に切り換えたりしています。自宅勤務であろうとオフィス勤務であろうと、企業規模の大小を問わず、最優先事項がセキュリティであることは間違いありません。Microsoft の Joy Chik は、まったく新しい Azure セキュリティ機能、Azure AD の本格展開に向け、Joy とそのチームによるプレゼンテーション セッションを催しました。
リモート ワーカーの増加に伴いクラウドでグループ作業に使用するデータも増加しているため、セキュリティ攻撃と情報漏洩が拡大しました。安心で強固なサイバー防護の有用性はかつてないほどに高まっています。セッションでは、ユーザーにとって最大限のセキュリティと最大限の柔軟性を兼ね備えた適切なアプローチは、「ゼロ トラスト」であることが言及されました。ゼロ トラストは、以下を管理者に推奨する概念です。
- 明確な確認 – アクセス権を与えたりアクセス申請を承認したりする前に、最初にすべてを確認することが最善策です。
- 最低限のアクセス権の使用 – 常に必要最低限の数だけアクセス権を付与します。
- 侵入の想定 – 予め攻撃者がネットワークに侵入した場合を想定しておくことで、強固な防護フレームワークを構築します。
このようなゼロ トラスト原則は、管理者が新しい Azure 機能とロードマップを用いれば円滑に実装できるようになります。しかも、エンド ユーザーと管理者の双方に有益な体験となります。Azure AD には、すぐに活用できる優れたセキュリティ機能が 4 つあります。
1.パスワードレス認証
多くの企業はパンデミックの中でも新規採用を続けており、企業は新規採用者向けのリモート セットアップにやや苦戦しています。このプロセスを軽減する手段として、パスワードを使わない認証に期待が寄せられています。IT チームは全ての新規採用者をサポートするのではなく、セキュリティ キーを組み込んだマシンと手順説明書を送付するだけで済みます。ユーザーは、セキュリティ キーを登録し、そのキーを各種プラットフォームで使用可能な組織 ID に関連付けることができます。
これにより、パスワードレス認証が可能となり、ユーザーはログインにかかる余分な時間を節約しながら、認証の安全性が高まるというメリットがあります。管理者にとっては、パスワード関連のリクエストが減ります。これは、現在お使いの多要素認証にも応用できます。パスワードレス認証は、クラウドおよびハイブリッド環境で利用できるようになったため、こちらについても必ずご確認ください。
2.Verifiable Credentials (検証可能な資格情報)
パスワードレス認証のほかにも、Verifiable Credentials (VC) という優れた新機能があります。VC は、情報共有で使用可能な認証用アプリにデジタル カードとして保存されます。これにより、資格情報の保管、持ち運び、検証が可能になります。このインスタント検証は、既存の本人確認システムおよびワークフローに簡単に追加できます。
認証アプリは、オープンソース ブロックチェーン ソリューションを採用しているので、Microsoft を含め誰も所有および制御しない仕組みとなっています。これは、デジタル情報の交換、ユーザーが取得した証明書を含む情報、雇用履歴、組織全体で利用可能なその他の基本個人情報にとって革命的な技術です。
この方式で保存された VC の大きな利点を 1 つ挙げると、ユーザーの情報を収集する時間を節約できるところです。シンプルな情報の検証に数日または数週間を充てる代わりに、このデジタル カードはプロセスを劇的に短縮します (さらに、保存された資格情報が安全であることを確信できます)。また、アクセスが必要でなくなると、ユーザーは認証アプリから簡単にアクセス権を取り消すことができます。認証アプリの画面は以下を参照してください。
3.すべてのリソースとアプリを Azure AD に統合
自分の保有するリソースをすべて 1 箇所にまとめることができたら便利ではありませんか? 簡単にアクセスできるだけではなく、セキュリティ問題の予防にもなります。先日のセッションで話し合われた中で最も注目を集めた追加機能の 1 つは、一部の最も使用されるアプリをマイ アプリ ポータルに統合する新機能でした。一例を挙げると、Amazon Web シングル サインオンを Azure AD に統合すると、 Azure AD 資格情報を使用した AWS へのログインがより簡単になり、アクセスの安全性も高まります。Microsoft では、シングル サインオン アクセスできるように、Zoom や Google Meet などのアプリを Azure に今後も続々統合して行きます。下の図は、現在統合可能なアプリの一覧ですが、今後も拡張して行きます。
4.条件付きアクセス用認証コンテキスト
現在、ほとんどの企業では、条件付きアクセス ポリシーを自社のセキュリティ プロトコルとして設定しています。しかしながら、ユーザーのアクションに基づいてレベルアップした認証を要求することで、条件付きアクセス ポリシーはセキュリティをさらに高めることができます。分かりやすい例を挙げると、ユーザーに会計モバイル アプリで請求書を表示することを許可する一方、電信送金は禁止することができます。その際に認証が発生します。管理者が条件付きアクセスに適切なプロトコルを設定すると、セキュリティ機能はさらに強力になります。作成された認証コンテキストをトリガーする自分の条件付きアクセスに ID を設定できます。この機能を使用すると、認証されていないユーザーが条件付きファイルにアクセスすることも禁止できます。
アプリケーション環境は組織によって異なります。ハイブリッド環境のこともあれば、マルチクラウド環境のこともあります。ただし、長期的な視野で考えると、すべてをクラウドで管理する方法が最善のセキュリティ保護策と言えます。これは、Azure AD 認証を使用するもう 1 つの大きな理由です。オンプレミス アプリケーションを個別に保護する必要がないからです。 Azure AD は、オンプレミスでもクラウドでも環境全体を保護できます (下図参照)。
一部のアプリケーションを Azure AD に移行することが難しいように見えても心配はいりません。Azure クラウドを簡単に移行しやすくできるツールが ADD 管理センターで配布されています。意思決定を助け、移行、ADFS アクティビティ、インサイトの概要を確認するために、レポートで移行の準備における ADFS アプリケーションと Azure AD との互換性を評価します。
Azure AD を利用してセットアップされたハイブリッド作業環境のセキュリティの将来性は非常に素晴らしいものです。新機能を使用すると、管理者はエンド ユーザーから柔軟性を奪わずにセキュリティを実現できます。
※この記事は、米国 AvePoint で 2021 年 3 月 5 日付で公開された記事 “The Azure AD Roadmap for Strong Security in Hybrid Work” を日本語編訳したものです。
