全1714文字
PR

 国内企業でもゼロトラストネットワークの導入がすでに始まっている。その多くが第一歩として導入したのが、多要素認証とIDに基づくアクセス制御だ。

 auカブコム証券はマイクロソフトの「Microsoft 365 E5」を中心に、ゼロトラストネットワークに取り組んだ(図4-1)。多くの社内システムをスマホで操作できるように改善しているという。

図4-1 auカブコム証券の構成
図4-1 auカブコム証券の構成
Azure Active Directoryを中核に、IDを利用した認証を実施。IDに基づくアクセス制御をMDM/MAMツールの「Intune」や「Windows Defenderアプリケーションガード」を通じて実施する。一部対応できないアプリは、アカマイのEAAを併用して対応している。
[画像のクリックで拡大表示]

 まずスマホにはMDM/MAMツールである「Microsoft Intune」を導入した。クラウドで提供するIDaaSである「Azure Active Directory」を介して、Intuneがアプリケーションの利用を制御する。「例えば業務アプリでテキストをコピーした場合、そのテキストを業務アプリにはペーストできるが非業務アプリにはできないようにするといった制御ができる」(auカブコム証券システム統括役員補佐兼システム開発部副部長兼IT戦略グループ長の石川 陽一氏)。

 パソコンの基本的なアクセス制御にもIntuneを使う。ただし「パソコンは自由度が高いためスマホほど細かな制御ができない」(石川氏)。そこで「Windows Defenderアプリケーションガード」を追加して対応する計画だ。Windows Defenderアプリケーションガードを使うと、外部サイトなど信頼できないサイトを開こうとすると、自動的に新たな仮想マシンが起動し、そこで動作するEdgeブラウザーにアクセスさせる(図4-2)。この機能を使うことにより、細かなアクセス制御が可能になるという。

図4-2 Windows Defender アプリケーションガードの仕組み
図4-2 Windows Defender アプリケーションガードの仕組み
アプリケーションガードを組み込むとホストOSはハイパーバイザーで動く仮想マシンで動作するようになる。そこでホワイトリストにないサイトにアクセスすると、別途仮想マシンを作成し、そこで動くEdgeブラウザーからアクセスする。これにより不正なサイトにアクセスした際に、攻撃の影響が仮想マシン内に限定され、重要な情報が漏洩する危険を下げる。
[画像のクリックで拡大表示]

 一部の社内アプリについては、米アカマイ・テクノロジーズのID認識プロキシーである「Enterprise Application Access(EAA)」を「VPNの代わりとして導入した」(石川氏)。

 同社は現状端末からのアクセスをゼロトラスト化しているが、サービス間のゼロトラスト化は実現していない。将来は対応するために、現在ログを収集している段階だという。