この 1 年半で、「リモート ワーク」と「クラウド」という言葉を誰もが耳にするようになりました。実際、私たちはこの新たな労働エコシステムの中に置かれており、世界中の業界の人間がリアルタイムでその発展を目の当たりにしてきました。
この新たなリモート ワーク環境においても、生産性が優先事項であることに変わりはありませんが、同時に重要性が高まっているのがセキュリティです。そして管理者にとって、セキュリティ面での監視は困難になっています。増大したセキュリティ上のリスクに対処するのに、アイデンティティのガバナンスだけでは不十分です。
例えば Microsoft Teams は今や従業員の業務とデータ利用のハブとして利用されています。機密性の高いデータの安全性と、こういったアプリケーションの安全性を確保するには、データの適切なガバナンスが不可欠となっています。
確かにデータおよびアイデンティティの両者について強力なガバナンスを実施することで、機密性の高いデータをクラウドにおける大半のリスクから保護できるかもしれません。ですが、さらに条件付きアクセスのような追加のセキュリティ対策を導入することで、セキュリティ戦略全体が一層強化されます。
条件付きアクセスとは何か
条件付きアクセスは Azure Active Directory で使われるツールで、シグナルをひとつにまとめることで組織におけるポリシーの遂行を支援します。条件付きアクセスによってアイデンティティや位置情報、デバイスに基づくアプリへのアクセス制御が実現し、疑わしいアイデンティティからの防御が強化されます。
条件付きアクセス ポリシーとは、簡単に言えば、ユーザーやデバイスが特定条件を満たすかどうかに基づき、リソースやアプリへのアクセスのブロックや許可を行う指針です。次に、条件付きアクセス ポリシーで一般的に採用されている条件をご紹介します。
- 多要素認証の実施
- デバイスが適合していることを示す認証
- デバイスの Hybrid Azure AD への参加
- クライアント アプリが承認済みであること
- アプリ保護ポリシー (プレビュー)
※この記事は、米国 AvePoint で 2021 年 9 月 22 日付で公開された記事 “What You NEED to Know Before Enabling Conditional Access Policies in Microsoft Teams” を日本語編訳したものです。
SharePoint および Exchange Online の Microsoft Teams への統合
条件付きアクセス ポリシーは容易に適用できるようにも思えますが、Microsoft 365 アプリケーションの統合という観点で見ると、状況は複雑です。
Azure Active Directory の条件付きアクセス ポリシーにおいて、Microsoft Teams はクラウド アプリとして別途サポートされています。ですが、皆さんもよくご存知のように、Microsoft Teams は SharePoint Online や Exchange Online と密接に統合されています。
これにより、一貫性のあるポリシーを実施し、透明性のある結果を得るのが困難になります。例えば、Teams へのアクセスは許可しなければならないが、SharePoint の共有リソースへのアクセスはブロックしなければならないといった状況が発生するためです。
しかし、ここで SharePoint Online および Exchange Online は、Teams を支える基盤となるプラットフォームであるということを理解する必要があります。そのため、ユーザーがサインインすると、このふたつのクラウド アプリで設定したポリシーが Teams にも適用されます。逆に、Teams で設定したポリシーが SharePoint Online および Exchange Online に反映されるとは限りません。
例えば SharePoint Online に多要素認証を設定した場合、ユーザーが Microsoft Teams のテナントを通じて SharePoint Online 環境のリソースにアクセスしようとすると、そのユーザーも MFA ポリシーの対象となります。
目標とする結果を得るため、代わりに Microsoft 365 でのポリシー設定を検討する
統合によってこういった複雑さが生じることで、アプリ間における一貫性を欠いたポリシーを意図せず設定してしまうおそれがあります。これにより、一部のリソースには同意なくアクセスできてしまうというギャップが生じます。この状況を防ぐには、関連アプリやサービスに一貫したポリシーを設定し、セキュリティ戦略を強固にする必要があります。
そのために Microsoft が推奨しているのが、Microsoft 365 スイートでサービスをまとめて対象として、クラウド アプリのサービス依存関係による問題を回避することです。管理者は、アプリおよびアプリの依存関係で全メタデータが保護されるように、Microsoft 365 のアプリにポリシーを割り当てる必要があります。
Microsoft Intune で条件付きアクセス ポリシーを強化する
一貫したポリシー マップの策定が完了したら、次に重要になるのが、自動化を導入し、セキュリティのために生産性を低下させることなくポリシーを強化することです。
Microsoft Intune を使用して Azure AD と統合することで、セキュリティを強化できます。Intune の導入によりポリシー設定を自動化できるほか、アクセス設定にセキュリティ対策を追加できます。これにより、IT 部門は常時監視という重い負担から解放されるでしょう。
最後に
Microsoft は、クラウドにおけるリスクから身を守る計画を支援する、セキュリティ関連のさまざまな製品を提供しています。管理者は、これらの製品の機能を理解することで、組織におけるセキュリティ上のニーズに応える準備を整えることができます。
★セキュリティ戦略を立案するにあたって、AvePoint Cloud Governance のようなサードパーティのツールを導入し、Microsoft のソリューションを強化することも重要です。これにより、IT 部門の負担を減らし、管理者にとってセキュリティ管理をよりシンプルなものにできます。
【無料eBook】
・Microsoft 365 ガバナンス自動化入門
【無料オンデマンドセミナー】
・Teams/SharePointのゴミ箱化を予防!組織に合わせて運用管理をカスタマイズする方法
・Teams/SharePointのずさんな管理が招く情報漏洩リスクとは?
Microsoft Teams について詳しく知りたい方は、是非当社のブログの配信登録を行ってください。