Microsoft 365・Azureで利用できる統合ID管理サービス(IDaaS, IAM)です。各クラウドサービスと認証連携でき、「条件付きアクセス」は各アクセスを様々な条件に応じて検証・判定することができる、ゼロトラスト実現の中核となる機能です。
❶ Microsoft 365シリーズで実現するゼロトラスト
TeamsやExchange Onlineで導入が進む「Microsoft 365」ライセンスで利用できるサービスを中心に、ゼロトラストを実現する機能の導入をお手伝いします。
ゼロトラスト・セキュリティ 導入支援
クラウド時代に適合したネットワーク・セキュリティを構築
「ゼロトラスト・セキュリティ」は「すべてのアクセスを危険なものとみなし、常に検証しセキュリティを確保する」考え方をとる最新のセキュリティ・フレームワークです。一見わかりづらい「ゼロトラスト・セキュリティ」の実現・移行を「Microsoft 365」シリーズや幅広い製品を組み合わせてロードマップ作成からお手伝いします。
TeamsやExchange Onlineで導入が進む「Microsoft 365」ライセンスで利用できるサービスを中心に、ゼロトラストを実現する機能の導入をお手伝いします。
「ゼロトラスト」は企業ネットワークの大きな変革であり、実現には中長期のロードマップが必要です。スモールスタートから大規模な移行作業まで、段階的な移行を継続的にお手伝いします。
Microsoft製品に限らず、幅広い取り扱い製品の組合せでお客様環境に合わせた機能実現が可能です。オンプレミス社内システムとのハイブリッド構成もご相談ください。
クラウド利用拡大やテレワーク、サイバー攻撃の激化など、セキュリティの悩みは尽きない時代です。企業のシステム管理者は、社内システムとクラウドサービス、社内PCとテレワークPC/BYOD PC、モバイルデバイスが混在する環境で、サイバー攻撃や情報流出のリスクに対処し、セキュリティ確保とコンプライアンス準拠を求められています。
クラウドの利用拡大により、オンプレミス環境を含めた権限やデータの分散、ポリシーの不統一が起こりやすくなり、情報管理上のリスクが増大します。また、利用者によるシャドーITが見えないところで進んでいる可能性もあります。
標的型攻撃の高度化やマルウェア、ランサムウェアの進化など、サイバー攻撃による脅威は増大し続けています。サイバー攻撃によって世界経済が被った想定損失額は100兆円を超え、2018年と比べ1.5倍超の増加と試算されています。(McAfee・CSIS「The Hidden Costs of Cybercrime」)
2020年春以降、新型コロナウィルスによって企業は急拵えのテレワーク開始を余儀なくされ、準備が不充分な中でのデバイスの多様化やBYOD、脆弱性を抱えたままのVPN装置の利用などがセキュリティ上の課題になっています。
これらリスクに対応するために近年企業で志向されているのが「ゼロトラスト・セキュリティ(アーキテクチャ, ネットワーク 等とも)」です。
ゼロトラストはその名前の通り「すべてのアクセスを信頼せず危険なものとみなし、常に検証しセキュリティを確保する」考え方を意味しています。具体的には、社内からのアクセスであっても社外からのアクセスであっても、等しくクラウドの認証システムがその正当性やセキュリティ・コンプライアンス・リスクの検証を行い、そのアクセスに必要な最低限の許可にもとづいてデータ・アプリにアクセスさせる設計を取ります。
すべてのクラウドサービス利用を可視化・制御し、社内アプリも合わせて統一されたポリシーで管理します。
ゼロトラストの認証は常にそのアクセスが不正なものでないかをチェックします。侵害された場合も早期に発見し、被害を最小化します。
すべてのデータ・アプリを認証の向こう側の安全な領域に配置することで、ネットワーク環境や利用デバイスを問わないアクセスで新しい働き方を可能にします。
「ゼロトラスト・セキュリティ」は守るべき「データ」を中心に、それにアクセスする「ユーザー」「デバイス」「ネットワーク」「アプリ・サービス」それぞれのセキュリティを確保し、検証可能なよう連携することで実現されます。
QESでは下記のようなソリューションを構成要素として組み合わせて「ゼロトラスト・セキュリティ」の実現を支援します。
【ID統合管理】
Microsoft 365・Azureで利用できる統合ID管理サービス(IDaaS, IAM)です。各クラウドサービスと認証連携でき、「条件付きアクセス」は各アクセスを様々な条件に応じて検証・判定することができる、ゼロトラスト実現の中核となる機能です。
【デバイス管理】
Microsoft 365と連携するデバイス管理サービス(MDM)です。MDMとしてデバイス管理を行えることに加え、「Azure AD 条件付きアクセス」と連動させることで、デバイスのセキュリティ・コンプライアンスの適合状況をアプリの認証条件に含めることができるようになります。
【クラウドサービス制御】
NetskopeはCASB(クラウドサービス制御)を中心としたネットワークセキュリティ製品です。クラウドサービスへのアクセスを一元的に制御・制限し、シャドーITの検出、データ流出防止を実現します。Microsoft 365を導入されていないお客様にもお勧めします。
【アプリケーションアクセス】
Microsoft 365で利用できる、社内Webアプリへの中継サービスです。社内アプリをAzureと接続し、1つのクラウドサービスのように社内ユーザに安全に公開することが可能です。
【仮想デスクトップ】
Azure上で利用できる仮想デスクトップサービスです。Azureを社内と接続することで、厳しい認証を行ったうえで画面転送により安全に社内リソースやアプリにアクセスさせることができます。
【デバイス操作ログ】
SKYSEA Client Viewはクライアント・サーバからモバイル端末も管理・監視が可能な資産管理製品です。デバイスの詳細な操作ログを取得し、監視することが可能です。
【デバイスセキュリティ】
エンドポイントセキュリティはウィルス・マルウェア対策の基本であり中核です。QESではMicrosoft 365に含まれるWindows Defenderの他、お客様環境に合わせて多様なEPP・EDRのご提供が可能です。
【クラウドサービス制御】
Microsoft 365(E5以上)で使用できるクラウドサービス制御(CASB)機能です。クラウドサービスへのアクセス管理やポリシー制御、監査ログ取得を行い、分析により不審なアクセスを検知することも可能です。
【Webセキュリティ】
実績ある国内メーカーによるSWG(Secure Web Gateway)です。クラウドプロキシとしてWebアクセスを制御しながら、セキュリティ確保やWebサービスへのアクセスをコントロールすることができます。
企業ネットワークの「ゼロトラスト・アーキテクチャ」への移行は大きな変更を伴い、一朝一夕に行えるものではありません。中長期の段階を踏んだロードマップの作成からお手伝いします。まずクラウドに安全な領域を確保し、そこへアプリ・データを移行して利用範囲を拡大しながら、セキュリティやコンプライアンスの強化を行う流れをお勧めします。
QES は長年にわたり Microsoft 製品を活用したインテグレーション・開発に携わり、その実績と専門知識から多くのカテゴリでゴールドパートナー認定を取得しています。 また、マイクロソフト社とは営業面での協力や教育プログラムでの登壇など、様々な面で深く協業を進めています。
| 顧客 | 製造業 500~1000名企業様 |
|---|---|
| 課題 | クラウド認証の強度を強め、テレワークPCの管理・認証も統合したい |
| 解決 | オンプレミスADとAzureADを同期・連携するよう構成し(Hybrid AD Join)、テレワークPCをIntuneで管理することで、 クラウドサービスの認証条件としてPCがADまたはIntuneで管理されていること、 管理ポリシーに適合していることを追加しました。 |
| 構成 | AzureAD(AADC, 条件付きアクセス), Intune, Azure App Proxy |
| 顧客 | 金融系 300~500名企業様 |
|---|---|
| 課題 | 持ち出しで使う社外PCを管理し、安全に社内アプリ(事務、ファイル閲覧)に接続させたい |
| 解決 | 社外デバイスをIntuneで管理し、Azure App Proxyを構成して社内アプリをAzureに接続、多要素認証を経由した 安全なアクセスだけ社内アプリに接続できるよう設計しました。 App Proxyは内部からAzureにセッションを張るため、社内ネットワークを直接公開する 必要がなく、ネットワーク設計の変更が発生しない点も大きなメリットです。 |
| 構成 | AzureAD(AADC, 条件付きアクセス), Intune, Azure App Proxy |
Azure、Microsoft 365 シリーズの各製品名称は、Microsoft Corporationの米国及びその他の国における登録商標または商標です。
SKYSEA、SKYSEA Client Viewは、Sky株式会社の登録商標または商標です。
i-FILTER@Cloudは、デジタルアーツ株式会社の登録商標または商標です。
Netskope は、Netskope, Inc. の登録商標または商標です。
