ブログ

Microsoft Entra ID でゼロ トラスト アクセス セキュリティを検討する理由

ティム・ドーシュト サムネイル
ティム・ドルシュト
2024年9月12日公開

ハイブリッド クラウド モデルが標準になったため、環境間で一貫したアクセス セキュリティを維持することが難しくなりました。 脅威と攻撃者はより巧妙化しており、従来のネットワーク境界がなければ、多くのレガシー セキュリティ ツールはもはや効果を発揮しません。 従来の認証プロトコルもリスクをもたらし、一般的な攻撃ベクトルになります。 追いつくためには大きな変化が必要です。

世界中の組織が、今日の最新の分散環境を保護するためにゼロ トラストの原則を採用しています。 あなたのもそうすべきでしょうか? このブログ記事では、F5 と Microsoft Entra ID (旧 Azure Active Directory) を使用してゼロ トラストを実装することを検討する必要がある理由と方法について説明します。

ゼロトラスト セキュリティの需要の高まり

ゼロトラストはここ数年で大きな注目を集めています。 組織の 61% がこれまでに戦略的なゼロ トラスト イニシアチブを実装したと回答していますが、ほぼすべての組織が近いうちに実装する予定です。1

ネットワーク内のすべてのものが信頼できると想定する従来のセキュリティ概念とは異なり、ゼロ トラストは「決して信頼せず、常に検証する」という原則に基づいて動作します。 このアプローチでは、脅威がネットワークの外部と内部の両方に存在することを前提としており、リソースにアクセスしようとするすべてのユーザー、デバイス、アプリケーションの継続的な検証が求められます。

リモート アクセスを保護する方法

リモートワークは、ミッションクリティカルな場合が多い最新のアプリと従来のアプリの両方への、よりきめ細かな安全なアクセスの必要性から、ゼロトラスト導入の主な推進力となっています。 オフィス復帰の取り組みがあっても、2024 年 5 月時点で、リモート勤務が可能な仕事に就く米国の労働者の 79% がハイブリッドまたは完全なリモート勤務となっています。2 この現実により、組織の攻撃対象領域が大幅に拡大し、アクセス要求の認証が困難になります。

ゼロ トラスト アプリ アクセスの大きな利点の 1 つは、資格情報だけでなくコンテキストを使用してアプリごとにリクエストを評価できることです。

F5 BIG-IP アクセス ポリシー マネージャ (APM) は、アイデンティティ認識プロキシとして機能し、ユーザー アイデンティティとコンテキストに基づいて各アクセス要求を個別に検証するための中央制御ポイントを提供します。 これにより、ユーザーはネットワーク全体ではなく、特定の承認されたアプリケーションとリソースにのみアクセスできるようになるため、ユーザーによる水平方向の移動が排除され、攻撃対象領域が制限されます。

コンテキストは、盗まれた資格情報やブルート フォース攻撃を使用したログイン試行を識別し、追加の保護層を提供するのにも役立ちます。 BIG-IP APM は、追加のコンテキストのために、アクセス決定においてサードパーティの動作分析を考慮することもできます。

Microsoft Entra ID 統合により、安全なアクセスを簡素化

クラウド アプリケーションとオンプレミス アプリケーションが混在する環境へのアクセスを管理するのは難しい場合があります。 Microsoft Entra ID は、何千もの SaaS アプリケーションにシングル サインオン (SSO) および多要素認証 (MFA) 機能を提供し、ゼロ トラスト ポリシー エンジンである Microsoft Entra Conditional Access をサポートします。 BIG-IP APM と Microsoft Entra ID を組み合わせることで、最新、レガシー、カスタム アプリケーションを対象に、ハイブリッド クラウド環境全体にわたるポートフォリオ内のすべてのアプリに SSO および MFA 機能が拡張されます。

すべてのアプリが従来の SSO ソリューションと互換性があるわけではありません。レガシー アプリでは古い認証方法が使用されている場合があります。 SSO 非対応のアプリに繰り返しログインすると、ユーザーはイライラし、注意を払わなくなることが多く、攻撃者の餌食になる可能性があります。 また、ユーザーはアプリごとにパスワードを作成する必要があるため、パスワードの再利用につながり、攻撃者がユーザーの認証情報を盗み、より広範なアプリにアクセスできるようになる可能性があります。

この問題を防ぐために、F5 BIG-IP APM はトランスレータとして機能し、ほぼすべてのアプリへの SSO アクセスを可能にします。

アプリが Azure、オンプレミス、または別のクラウド プロバイダーでホストされているかどうかに関係なく、F5 はアクセスの集中フロントエンドとして機能し、一貫したユーザー エクスペリエンスを提供します。 環境全体にわたる集中管理により、セキュリティ チームの継続的な作業も少なくなります。

アプリケーションをエクスプロイトから保護する

安全なアクセスはゼロ トラスト セキュリティ モデルの中心ですが、アプリケーション セキュリティも戦略の一部にする必要があります。 ゼロ トラストの原則に従うと、アプリは Web アプリケーションや API 攻撃に対して脆弱な信頼できないネットワーク上にあると想定されます。 したがって、ネットワークだけでなく、各アプリケーションと API エンドポイントを保護する必要があります。

F5 は、すべてのアプリケーションとアプリの展開を保護するWeb アプリケーション ファイアウォール (WAF)と、Microsoft Azure と連携して OWASP Web App Top 10 および API Top 10 の脅威から保護する包括的なAPI セキュリティを提供します。

F5 ゼロ トラスト セキュリティを Azure に導入する

F5 の包括的なセキュリティ ソリューションは、Azure やその他のハイブリッドまたはマルチクラウド環境とのシームレスな統合を提供し、厳格なセキュリティ ポリシーを適用し、アクセス管理を合理化し、場所に関係なくすべてのアプリケーションにわたって機密データを保護します。

詳細については、 f5.com/azure をご覧ください。

出典

1. Okta、 「ゼロトラスト セキュリティの現状 2023」 、2023 年 10 月

2. ギャラップ、ハイブリッドワーク、2024年5月