Azure ADにおける制限付きアクセス(Identity Protection)機能は、従来はIPアドレスのホワイトリストやブラックリストを作って運用する形でしたが、ゼロトラストネットワークは動的なポリシーがキモです。異常なアクセスだと判断する根拠はさまざまなものがあります。
例えば、東京からアクセスした5秒後にシドニーからのアクセスが検知された場合や、Torブラウザ(匿名のIPアドレス)からのアクセスがある場合など、異常な通信だと判断し、ポリシーが適用され、自動でアクセスコントロールが変更されます。
Azure AD Identity Protectionは検証目的でのライセンス提供もあるので、興味がある方はぜひ試してみてください。先に挙げた例に加えて、既に漏えいしてしまっているIDからのアクセスなど、6種類のリスクを検知できます。
ここまで何度も「ゼロトラストネットワークは動的ポリシーがカギ」だとお話ししていますが、この動的ポリシーを作るには機械学習が必要です。
以前、この連載で「マルウェアの96%は使い捨て」とお話ししたように、攻撃者は日々、手を変え品を変え、さまざまなバリエーションの攻撃を生み出しています。そのため、ブラックリスト(ホワイトリスト)のような、データとルールを先に決め、白か黒かアウトプットさせるようなアプローチでは、運用で限界が来ますし、誤検知も増えるでしょう。
機械学習の場合、アクセスした場所やデバイスのOSといった情報をインプットして学習させることで、「どういう状況であればセキュリティレベルが高いのか」という判断モデル(AI)を作ることができます。AIが誤検知をした際に、初めてブラックリストを使えばいいのです。これだけでも、運用の負荷は非常に軽くなるはずです。
「いつでもどこでも、セキュアに仕事ができる」――口で言うのは簡単ですが、これを本当の意味で実現するのは、簡単なことではありません。ゼロトラストネットワークは、この理想に近づける有力な一手だと思います。概念としては古くからあったものですが、それがようやく現実的な形で実装できるようになってきました。本気で「働き方改革」を目指している企業こそ、検討してほしいと願っています。
Copyright © ITmedia, Inc. All Rights Reserved.