新型コロナウイルス禍で広がったテレワーク。新しい働き方として今後の定着が期待される一方、大勢の社員が一斉に社内LANにアクセスすることによるVPNの処理遅延など、これまでにもさまざまな課題が生じている。さらに、社内ネットワークへのリモートアクセスで懸念されるのがセキュリティだ。社員が自宅などから安全にテレワークを行うためには、認証管理についても改めて見直す必要があるだろう。ユーザーの利便性を損なわずに、テレワーク環境下でも安全にアクセス可能な仕組みが求められる。そのためにはどのような認証管理の仕組みを構築すれば良いのか。関連ソリューションベンダーの提案や直近の顧客動向を通して、市場のトレンドを掘り下げる。
（取材・文／谷川耕一　編集／前田幸慧）

日本マイクロソフト
「Microsoft 365 E5」でゼロトラストネットワークを実現

　新型コロナの感染拡大、それに伴う4月の緊急事態宣言発令を受けて、全国で外出自粛を余儀なくされた。企業は急きょ従業員が在宅勤務できる環境の整備に追われることとなったが、全従業員がテレワークを実施するためのノウハウを持つ企業は少なく、中小企業から大企業まで、どう対応すればいいのか悩む声もあった。

　日本マイクロソフトには、こうした企業から新型コロナ対策に関連した相談が多く寄せられた。中堅・中小企業からは、コラボレーションツールの「Microsoft Teams」などテレワークで新たに利用したいツール導入などに関する問い合わせが多かった。一方、大手企業はすでにある程度テレワーク環境を構築しているケースが多く、相談内容はその適用範囲の拡大に伴う課題の解決方法に関するものが多かったという。

　「中にはオンプレミスベースのシステムをこの際『Microsoft Azure』に移行したい、VPNを使わないゼロトラストネットワークを実現したい、といった相談もあった」と、日本マイクロソフトの藤本浩司・Microsoft 365ビジネス部Securityビジネス開発部部長は説明する。このレベルの対処となればそれなりの手間とコストがかかり、すぐに対応できるものではない。

　今回のコロナ禍のように急きょテレワークに対応しなければならない場合は、まずはVPN経由で社内LANにアクセスする際のセキュリティ強化を考えるべきだろう。その方法として、「最低限、多要素認証にすることで認証を強化したほうがいい」と藤本部長は話す。一度VPN経由で社内LANに入ってしまえば、ファイアウォールの内側で守られているはずの情報にもリモート端末からアクセスできてしまう。そのため、VPN経由で接続してきた人が本当に正しいユーザーかを確実に判別する必要があるということだ。

　より安全なテレワーク環境のためには、VPNを排してゼロトラストネットワークを構築するのも一つの手だろう。ゼロトラストネットワークは、全てが信頼できないことを前提に、全てのデバイスのトラフィック検査やログ取得などを行うことで、安全性を確保するものだ。「ゼロトラストを入れればVPNを張る必要もなくなる。基本的にはゼロトラストの考え方でやっていただくのが、最善の策になりつつあると考えている」と藤本部長は説明する。

　日本マイクロソフトでは、高度な脅威を防ぐ「Advanced Threat Protection」や各種セキュリティ機能を含む「Microsoft 365 E5ライセンス」を提供している。「E5でマイクロソフトにセキュリティ部分を任せることで、特別意識せずにゼロトラストネットワークを実現できる。すでに国内でもE5を活用してゼロトラストネットワークを実現した企業がある」と藤本部長。Microsoft 365 E5のセキュリティ関連機能を活用すれば、自ずとゼロトラストネットワークに近づくとしている。

　そのため、Microsoft 365 E5を導入している企業では、今回の急な全社規模のテレワーク移行を比較的スムースに実現しているという。NTTコミュニケーションズは、Microsoft 365 E5を活用してゼロトラストネットワークを実現した国内事例の一つだ。新たなVPNを張ることなく、負荷の問題も発生させずに全社規模のテレワーク環境が実現できており、どのようにゼロトラストネットワークを構築したかに関する問い合わせが同社には増えているとのことだ。

Azure ADを活用した
安全な認証管理

　多くの企業では、社内に「Microsoft Active Directory」のサーバーを立てて認証管理を行っている。「Salesforce」などのパブリッククラウドを利用する際も、社内の認証サーバーで認証してからアクセスしている企業は多い。

　もともとオフィス内で作業しているならば、こうした運用で特に問題はない。しかしそのままテレワークに移行すると、パブリッククラウドを利用する際もまずはVPNで社内の認証サーバーにアクセスしなければならない。結局はVPNのキャパシティ問題が発生する可能性があり、これを回避するために暫定的にセキュリティポリシーを緩和してクラウドサービスに直接アクセスできるようにする例もあるが、これでは新たなリスクを生みかねない。

　この問題の解決に向けては、クラウドベースの認証管理サービスである「Azure Active Directory（Azure AD）」が活用できる。例えばテレワーク環境下におけるコミュニケーションツールとしてMicrosoft Teamsを導入すれば、自ずとAzure ADを利用することになる。そのためMicrosoft Teamsの導入を機に、ローカルのActive DirectoryをAzure ADに移行して、その上でAzure ADを社内の既存システムと連携、社内システムとSaaSのシングルサインオン環境を構築するのだ。そのためのサポートを求める声が、マイクロソフトにも届いていると藤本部長は言う。

　Azure ADでシングルサインオンを実現し、さらに認証やデバイス管理を強化するなら、Windows Helloも活用できる。指紋認証、顔認証、パスワードレス認証や多要素認証などが実現でき、ID・パスワードを使った認証よりも安全にWindows 10デバイスからアクセスできる。Azure ADは2020年3月以降、標準で多要素認証が採用されている。Windows Helloではスマートフォンを利用することで、クライアント側に専用機器などがなくてもパスワードレスや多要素認証を実現できる。これがテレワーク環境の安全性を高めることにつながる。

　藤本部長は「Microsoft 365 E5を活用すれば、1000人、1万人規模のユーザー環境でシングルサインオン、さらにゼロトラストネットワークが大きな手間なく実現できる」と強調する。とはいえこの規模になると、ゼロトラストネットワーク環境の日常的な管理は、CSIRTなどの専門のセキュリティ組織があっても人手で行うのは現実的ではない。こうした課題へのソリューションとしては、「Microsoft 365 SOC Service」がある。AIを使って不正の疑いがあるアクセスを自動的に止め、管理者に何をチェックすべきかをアドバイスする。管理コンソールはどこからでもアクセスできるため、テレワークでも問題なく対応できるという。

　「Azure ADは世界中で最も利用されている認証管理だ。世界中のインテリジェンスが集まっており、それを活用できるところが他の認証管理との大きな違いになる」と藤本部長。このAzure ADを活用してテレワークを前提とした認証管理の環境を構築し、将来的にはゼロトラストネットワークの環境に進化させていくべきだと説く。

[次のページ]NTTテクノクロス　セキュリティと利便性のバランスが重要