はじめに

近年、セキュリティの考え方「ゼロトラスト」が注目されています。しかし、これまでネットワークに境界を設けてセキュリティを確保する考え方から、境界をなくす考え方となるゼロトラストへの転換は、思考も仕組みも大きく変わることとなります。ゼロトラストへの方向性は見えていても現状を変えることになるため、なにから手を付けてよいか悩まれている企業が多いことでしょう。
今回は、そんなゼロトラスト導入の第一歩としてお勧めしたいIDaaSとUEMの機能と、その理由について説明いたします。

ゼロトラストの考え方

今までは、大事な情報もアクセスする人も会社の中にいたため、会社の中だけ守ることで、重要な情報資産を守っていました。しかし、昨今のクラウド利用増加やテレワークの増加で情報資産はクラウド上にも、テレワークで利用している端末上にも存在するようになり、社内のみを守っていればよいという状態でもなくなってきています。
その中で提唱されるようになったゼロトラストとは「情報資産へのアクセス」「エンドポイント」がセキュリティの境界になるという考え方です。インターネットやクラウドの構成でも、テレワークをして端末を持ちだしていても、問題のない構成を目指しています。

ゼロトラストセキュリティが求められている理由とは(関連コラム)>

ゼロトラストの考え方

ゼロトラストにおいては、適切なユーザーが適切なエンドポイントから情報資産へアクセスすることを管理・制御することが重要となります。この観点を踏まえた際に、重要な働きをするのがIDaaSやUEMです。以降は、それぞれの機能のご紹介と、初期段階で入れることをすすめる理由をご紹介します。

適切なユーザーからのアクセスを管理するIDaaSとは

IDaaSとは、アカウント統合認証基盤サービスです。主な機能としては、以下のようなものがあり、アカウントを管理し、情報資産へのアクセスする際の門番のような役割を担います。

■IDaaSの主な機能
・ADや他のID管理システムからアカウント情報を集約し統合管理する
・ID発行から抹消までのライフサイクル管理を適切に行えるため、退職者のIDが残らない
・SSOによりIDaaSによる認証を強制できる
 IDaaSの詳しい機能はこちら >

■IDaaSをはじめにやるべき理由
今後ゼロトラストを目指す企業は、セキュリティ機能追加やクラウドサービスの利用拡大する時など、アカウント管理が煩雑になることが想定されます。利用アカウントが増える前に統一化を行わないと、手戻りが多発による不要な業務が発生と、アカウント管理の抜け漏れにより、新たなセキュリティホールを生んでしまう可能性があります。
そのため、IDaaSのようなアカウント管理を一元的に行える機能を早い段階で導入しておくことは有効です。

適切なユーザーからのアクセスを管理するIDaaSとは

適切なエンドポイントの管理ができるUEMとは

UEMはエンドポイントの統合管理基盤サービスです。主な機能としては、以下のようなものがあり、特にインターネット経由で、社内外問わずどこのエンドポイントにも対応できるため、閉域環境に限らずにエンドポイントを守ることができます。

■UEMの主な機能
・エンドポイントのOSやアプリ、設定を統合管理し、エンドポイントを自動で「堅牢化」「企業端末」にする
・エンドポイントの配布時に、自動で企業端末にするゼロタッチデプロイ機能
 ゼロタッチデプロイ機能についてのコラムはこちら >
・エンドポイントの配布後でも、後からインターネット経由で設定やアプリの配布ができる
 UEMの詳しい機能はこちら >

■UEMをはじめにやるべき理由
社内外のエンドポイントに対して後から設定の変更やアプリの配布作業には大変な労力がかかります。ゼロトラストに取り組む場合、徐々に機能や設定の追加・変更を行っていくことになりますが、その反映に抜け漏れが生じれば、そこがセキュリティホールとなってしまいます。そのため早めの段階で、UEMによるエンドポイントの一元管理を整備し、機能追加や設定変更の抜け漏れをなくし効率良い運用を行うことをお勧めします。

適切なユーザーからのアクセスを管理するIDaaSとは

IDaaSとUEMを組み合わせる効果とは

IDaaSだけの管理の場合は、許可していない端末からアクセスされてしまう懸念が残ります。利用を許可していない私物端末から業務利用のクラウドサービスのアクセスが行われ情報漏洩してしまう懸念や、セキュリティパッチの最新化ができていない端末に万が一マルウェアが潜んでおり、そのアカウント経由で社内環境に感染拡大してしまう懸念などが想定されます。

逆に、UEMだけの管理の場合、許可していないユーザーからアクセスされてしまう懸念が残ります。業務用端末が紛失や窃盗で他の人の手元にわたった際に、アカウント管理が適切にできていなければ、自由に社内環境にアクセスできる状態になってしまいます。UEMの機能でリモートワイプなどができるとはいえ、紛失に気づいてからリモートワイプの動作を行うまでの時間に、アクセスができる状態になってしまっていると、そこからの情報漏洩やマルウェア感染の恐れがあります。

片方だけの管理だと、上記のような懸念が残るため、併せて整備していくことがお勧めです。また、この2つの機能については、上記のようなセキュリティ面のメリットだけではなく、一元管理することによって、社外にあるエンドポイントの管理コスト低減にも繋がります。今後、ゼロトラストに近づけていく過程においては、新たなSaaSやアプリの配布や設定の変更が行われる可能性が高いため、それらの作業を考慮し、早い段階で一元的に配布や変更ができるIDaaSとUEMを整備しておくと、今後の導入が楽になります。

ゼロタッチデプロイの流れ1

まとめ

ゼロトラストの検討を進めるにあたり、どの機能から導入すればよいかわからなくなっている場合には、適切なユーザー(IDaaS)が、適切なエンドポイント(UEM)から情報資産にアクセスする環境整備から始めることがお勧めです。

お客様の環境によって、進め方の最適解は異なりますので、具体的な相談をしたい場合はBXO社外営業窓口まで、よろず相談会(無料)をお申し込みください。

資料ダウンロード
お問い合わせ
メールマガジン登録