Microsoft Entra IDに新たな2製品を追加 ID中心型のセキュリティとは

Microsoftは2023年7月に「AzureAD」の名称を「Microsoft Entra ID」に変更した。このリブランディングに伴い、新たなアクセス保護製品も発表された。

[大河原克行，ITmedia]

　日本マイクロソフトは2023年7月20日、IDおよびネットワークアクセス管理ソリューション群「Microsoft Entra」を中心としたセキュリティ戦略について解説するメディアブリーフィングを開催した。

　Microsoftは2023年7月11日（現地時間）、「Microsoft Azure Active Directory」（以下、AzureAD）の名称を「Microsoft Entra ID」（以下、Entra ID）に変更すると発表し、「Microsoft Entra Internet Access」（以下、Entra Internet Access）と「Microsoft Entra Private Access」（以下、Entra Private Access）という2製品を新たに公開した。今回の発表ではこの新たな2製品に関する説明もあった。

AzureADをリブランディング　あらゆるデジタル資産を保護

日本マイクロソフトの山本 築氏

　日本マイクロソフトの山本 築氏（クラウド＆AIソリューション事業本部　モダンワークプレイス統括本部　クラウドエンドポイント技術営業本部　本部長）は冒頭、「あらゆる業界や規模の企業でデジタル資産が拡大している。これを保護するには、ディレクトリ管理やユーザー認証だけでなく、さまざまなアプリケーションやリソースへのアクセス保護に注力する必要がある」と話した。

　Microsoftはこの実現に向け、権限の検出し、アクセスライフサイクルを管理する。また、あらゆるIDに対する最小限の権限でアクセスを保証し、インテリジェントなアクセスポリシーの適用を単一の場所で実施することで、あらゆるデジタル資産を容易に保護できるようなソリューション群を展開している。

　Microsoft Entraは2023年5月時点では、Entra IDと「Microsoft Entra Permissions Management」「Microsoft Entra Verified ID」の3製品で構成されていたが、その後、アクセスガバナンスの自動化を図る「Microsoft Entra ID Governance」と、クラウドリソースへのアクセスを保護する「Microsoft Entra Workload ID」、パートナーやゲストと共同作業したり、顧客向けアプリに顧客IDやアクセス管理を追加したりできる「Microsoft Entra External ID」がファミリーに加わった。

　これによって、マルチクラウドIDとネットワークアクセスソリューションを統合した製品ファミリーとして、あらゆるIDを保護してオンプレミスやクラウド、ハイブリッドクラウド環境におけるあらゆるリソースへのアクセスを保護できるようにしている。

　山本氏は「現在、『ID＆アクセス管理』『新たなIDカテゴリー』『ネットワークアクセスカテゴリー』の3つの領域で製品群を構成し、接続された世界のために、安全なアクセスを支援している」と話す。

Microsoft Entraファミリー（出典：日本マイクロソフト提供資料）

　また、Microsoft Entra IDへの名称変更に伴い、各機能の名称も変更された。「Azure AD Conditional Access」は「Microsoft Entra Conditional Access」に、「Azure AD MFA」は「Microsoft Entra MFA」に、「Azure AD single sign-on」は「Microsoft Entra single sign-on」に「Azure AD tenant」は「Microsoft Entra tenant」に変わる。製品や機能の名称は変更しても、機能やライセンスプランには変更がなく、ユーザーによる変更対応も不要だ。

Azure ADの機能も名称変更になった（出典：日本マイクロソフト提供資料）

　山本氏は「Azure ADは2013年4月にリリースされ、10年間にわたって愛着を持って利用されてきた名称だ。一方でEntraには入口という意味がある。Entra IDという新たな名称で全てのデジタル資産を保護するための新たな歴史の一歩目を踏み出したい」と意気込みを語った。

ID中心型のSWGとZTNAを提供

　次に新たに発表された2製品の解説に移ろう。Entra Internet AccessとEntra Private Accessは、「Security Service Edge」（SSE）ソリューションに位置付けられる。SSEとは「SASE」（Secure Access Service Edge）を構成する一要素で以下のようなイメージだ。

SSEとはSASEを構成する一要素だ（出典：日本マイクロソフト提供資料）

　Entra Internet AccessはインターネットやSaaS、「Microsoft 365」のアプリケーションおよびリソースへのあらゆるアクセスを保護する、ID中心型のSWG（Secure Web Gateway）だ。

　条件付きアクセスによるポリシーをネットワーク条件で拡張し、悪意のあるインターネットトラフィックなど、オープンなインターネット環境からの脅威に対する保護を提供する。

　特に「Microsoft 365」環境では、高い水準のセキュリティと可視性を実現しており、Microsoft 365アプリに対しては、高速でシームレスなアクセスを可能にする。現在、Microsoft 365シナリオを対象にしたパブリックプレビュー版の提供を開始しており、2023年後半には、全てのインターネットトラフィックやSaaSでも利用できるようにする。

Entra Internet Accessのイメージ（出典：日本マイクロソフト提供資料）

Microsoftの兒玉雄介氏

　Microsoftの兒玉雄介氏（Microsoft Entra開発部門　プリンシパルプロダクトマネージャー）は「エンドユーザーがクラウドにアクセスする際のリスクは、セキュリティ担当者にとって頭が痛い問題だが、Entra Internet Accessはこれを軽減する。各クライアントOS向けのエージェントを用意しており、OSを問わずに『MicrosoftグローバルプライベートWAN』への接続が可能になる」と語る。

　Entra Internet Accessのロードマップでは今後、さまざまな機能強化が予定されており、Webサイトへの条件付きアクセスを強制する機能などが追加されるという。

　Entra Private Accessはプライベートなアプリケーションやリソースへのアクセスを保護するID中心型のZero Trust Network Access（ZTNA）だ。

Entra Private Accessのイメージ（出典：日本マイクロソフト提供資料）

　ハイブリッドクラウドやマルチクラウド環境、プライベートネットワーク、データセンターなどを通じて、あらゆるデバイスやネットワークから、ユーザーがどこにいても、プライベートアプリケーションに対して、迅速かつ容易に接続できるようになる。

　MicrosoftグローバルプライベートWANを活用し、従来のVPNを置き換えることで運用の複雑性とコストを削減し、よりきめ細かいセキュリティも提供する。個々のアプリケーションに条件付きアクセスを適用し、アプリケーションを変更することなく、あらゆるレガシーアプリケーションに多要素認証やデバイスコンプライアンスなどのポリシーを適用できるようになる。現在はパブリックプレビュー版を提供している。

　山本氏は「ID管理やネットワークセキュリティだけでは全てのデジタル資産を保護するのは難しいのが実情だ。また、保護ができたとしても、組織の拡大や統合に伴う速やかな対応には課題が残る。脅威はこうした隙間を狙ってくることも多く、レガシーなセキュリティ対応では限界がある。新製品は、MicrosoftのIDを中心としたSSEソリューションとして提供することになる。Microsoft Entraの設定変更で容易に導入できるのが特徴だ」と述べた。