第27回 もう何も信じない――セキュリティの新常識「ゼロトラストネットワーク」って何ですか？：変わるWindows、変わる情シス（3/3 ページ）

[山本築，ITmedia]

　Azure ADにおける制限付きアクセス（Identity Protection）機能は、従来はIPアドレスのホワイトリストやブラックリストを作って運用する形でしたが、ゼロトラストネットワークは動的なポリシーがキモです。異常なアクセスだと判断する根拠はさまざまなものがあります。

　例えば、東京からアクセスした5秒後にシドニーからのアクセスが検知された場合や、Torブラウザ（匿名のIPアドレス）からのアクセスがある場合など、異常な通信だと判断し、ポリシーが適用され、自動でアクセスコントロールが変更されます。

　Azure AD Identity Protectionは検証目的でのライセンス提供もあるので、興味がある方はぜひ試してみてください。先に挙げた例に加えて、既に漏えいしてしまっているIDからのアクセスなど、6種類のリスクを検知できます。

Azure AD Identity Protectionでは、既に漏えいしてしまっているIDからのアクセスなど、6種類のリスクを検知できます

「動的ポリシー」のカギとなる機械学習

　ここまで何度も「ゼロトラストネットワークは動的ポリシーがカギ」だとお話ししていますが、この動的ポリシーを作るには機械学習が必要です。

　以前、この連載で「マルウェアの96％は使い捨て」とお話ししたように、攻撃者は日々、手を変え品を変え、さまざまなバリエーションの攻撃を生み出しています。そのため、ブラックリスト（ホワイトリスト）のような、データとルールを先に決め、白か黒かアウトプットさせるようなアプローチでは、運用で限界が来ますし、誤検知も増えるでしょう。

　機械学習の場合、アクセスした場所やデバイスのOSといった情報をインプットして学習させることで、「どういう状況であればセキュリティレベルが高いのか」という判断モデル（AI）を作ることができます。AIが誤検知をした際に、初めてブラックリストを使えばいいのです。これだけでも、運用の負荷は非常に軽くなるはずです。

　「いつでもどこでも、セキュアに仕事ができる」――口で言うのは簡単ですが、これを本当の意味で実現するのは、簡単なことではありません。ゼロトラストネットワークは、この理想に近づける有力な一手だと思います。概念としては古くからあったものですが、それがようやく現実的な形で実装できるようになってきました。本気で「働き方改革」を目指している企業こそ、検討してほしいと願っています。

著者プロフィール：山本築

　日本マイクロソフト クラウド＆ソリューション事業本部 モダンワークプレイス統括本部 セキュリティ技術営業部

　日本企業に対して、Microsoftのセキュリティ製品をどう活用すれば、ビジネスに役立つかということを提案している。プライベートイベント「FEST 2015」「Tech Summit 2016」「de:code 2017」では、Windows 10のテーマで登壇。入社3年目にして大きな異動を経験し、奮闘の日々。