第27回 もう何も信じない――セキュリティの新常識「ゼロトラストネットワーク」って何ですか?変わるWindows、変わる情シス(2/3 ページ)

» 2018年09月27日 08時00分 公開
[山本築ITmedia]

「Azure AD×Intune×Windows 10」でゼロトラストネットワークを作る

 ゼロトラストネットワークのカギになるのは「Azure AD(Active Directory)」です。通信の認証を担っており、動的なポリシーでアクセスをブロックしたり、二要素認証を要求したりできます。例えば、位置情報を加味することで「スマートフォンを社内で使っている場合はアクセスを許可、社外からのアクセスの場合は二要素認証を要求」といった複雑な条件を自動で適用できるわけです。

photo Azure ADで動的ポリシーに基づいてアクセスを制御し、その判断に必要な情報はIntuneやWindows Defender ATPで収集します

 ネットワークへのアクセス時に、端末の状態を確認し、さまざまな情報を取得するのはモバイルデバイス管理ツール「Intune」とクラウドベースのEDR「Windows Defender ATP」の役目です。企業が期待するデバイスのセキュリティレベルが担保されているかどうかを監視し続けます。

 このように、ポリシーが動的に変化していくことでセキュリティの運用を楽にし、感染後に検知するのではなく、感染したらアクセスを自動的に拒否する(制御する)というスピード対応が可能になるのです。ゼロトラストネットワークがどのように機能するか、分かりやすく示した動画があります。よければご覧ください。

 この動画では、ある女性がカフェで仕事をしている際に、インターネット経由でPCがマルウェアに感染してしまったところから始まります。その時点でWindows Defender ATPが感染を検知し、自動的に除去を始めます。その際に、端末の感染レベルが高に設定され、SaaSアプリケーションへのアクセス(この場合はメールの添付ファイルを開く)を拒否するというポリシーが自動で適応されました。

 添付ファイルが開けないことに対し、女性は不思議がりますが、そうこうしているうちに脅威が除去され、添付ファイルが開けるようになりました。セキュリティを保ちながら、ユーザーの生産性を極力落とさない。これがゼロトラストネットワークの目指すところです。

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

注目のテーマ