“つながる” 組織の保護と活性化 Microsoft Enterprise Mobility + Security 利用

"つながる" 組織の保護と活性化 | 2

目次

要旨

今後の動向: クラウドを制する

モバイルファースト、クラウドファーストの世界の課題への取り組み

ID 管理

クラウドでの ID 主体のセキュリティ

オンプレミスの ID 主体のセキュリティ

デバイス管理

情報保護

管理上の取り組み

お客様の EMS 使用法

ID 主体のセキュリティ

モバイルでの⽣産性の管理

エンド ツー エンド情報保護

簡素化された展開と管理

まとめ

1

2

3

4

"つながる" 組織の保護と活性化 | 3

要旨 企業がモビリティとクラウドへのデジタル変換の必要性に直面しているのと同様、IT にも大きな変化が訪れています。これは、IT

セキュリティの考え方に大きな影響を与えています。

かつてセキュリティの対象の大部分はオンプレミスの領域に限られていたものが、現在ではクラウドや膨大な数のモバイル デバイスにまでその範囲が広がっています。従業員の、他のユーザー、デバイス、アプリ、データとのかかわりはますます複雑化し、IT にとっての新たな死角を⽣み出しています。攻撃媒体の巧妙さは増し続けています。加えて、多くの企業は、従来のシングルポイント ソリューションを維持するのに苦心しています。限られた予算は、課題への取り組みにのみ投入されます。

このような今どきの状況に、ID 管理、デバイス管理、情報保護のためのオンプレミスの既存ソリューションで効率的に対処するには、どうすればよいのでしょうか?答えは簡単です。それは不可能です。このため、これらすべてのサービスに関するコントロール プレーンを、時間をかけて独自のデータ センターからクラウドへ移⾏することが必要です。これにより、ユーザーが慣れ親しんだモバイルとデスクトップのエクスペリエンスを損なわずに、ビジネルに必要なコントロールと保護が可能になります。

これは、モバイル ファースト、クラウド ファーストの環境においてユーザー、デバイス、アプリ、データを管理して保護できるように設計された唯⼀の包括的なモビリティ ソリューションである Microsoft

Enterprise Mobility + Security (EMS) の背景にある考え方です。

EMS では、保護された 1 つの共通 ID を使って、すべての企業リソースに安全にアクセスできます。データはその後も、サイバー攻撃の変化や新種のサイバー攻撃からデータを保護する強⼒な機械学習などの革新的なセキュリティ技術を使って保護されます。EMS はクラウドベース ソリューションのため、拡張と更新においても短時間で簡単にセットアップでき、将来に向けた投資を確実に⽣かせます。

EMS は、オンプレミスでこれまで投資してきたものとの連動も優れています。Azure Active Directory

Premium は、既存の Active Directory と接続します。たとえば、Microsoft Intune から System Center

Configuration Manager と接続して、クライアント デバイスのすべてと連動します。クラウドとオンプレミスの 2 つのテクノロジを統合してその両方を活用することにより、どんな場所においても、あらゆるデバイス上の ID やデータを保護し、管理することができます。

IT 界はまたもや変化しており、IT リーダーも例外なくそれに付いていかなければなりません。Microsoft

EMS には、この変化に追随するのを支援するという重要な役割があります。

"つながる" 組織の保護と活性化 | 4

今後の動向: クラウドを制する IT リーダーにとっての大きな課題の 1 つは、テクノロジ上の主要な変化を認識した上で、それらの変化から利益が⽣み出されるように組織のあり方を調整することです。今⽇、そのような変化の多くは、従業員、パートナー、顧客が、自分の愛用するデバイスとクラウドのパワーを活用したいという需要から⽣じています。

その 1 つの重要な例は、ID、デバイス、データの管理や保護の方法に関する変化です。クラウド以前にその目的で使用していたテクノロジは、もっぱらオンプレミス環境でのみ実⾏されていました (図 1)。いったい他のどんな場所で実⾏できたというのでしょうか? クラウド コンピューティング登場の前には、実質的にそれしかありませんでした。

図 1: 以前は、ID 管理、デバイス管理、情報保護が組織のオンプレミス環境内で完結していた。

実に単純でした。当時は、境界ネットワークを監視してさえいれば、それ以外に心配するべきことは特になく、ほとんどは自分の制御下にありました。

そのような時代はもう遠い過去になりました。今⽇あらゆる IT リーダーが直面している状況は、はるかに複雑です。従来のクライアントとサーバーに加えて、モバイル デバイス、クラウド プラットフォーム、SaaS アプリケーションが含まれており、場合によってはさらに多くのことが関係します (図 2)。

"つながる" 組織の保護と活性化 | 5

図 2: 今⽇のエンタープライズ コンピューティングには、SaaS アプリケーション、クラウド プラットフォーム、モバイル デバイス、そしておそらくはそれ以上のことが含まれる。

ID 確認の必要性は、ますます大きくなっています。管理の対象となるデバイスの種類はますます多くなり、多くの場合、境界ネットワークの外にあります。保護しなければならない情報は、ファイアウォール内だけではなく、さまざまなデバイスやクラウドにも存在します。

⼀方、インフラストラクチャ全体を脅かすサイバー攻撃はますます精巧になっているだけでなく⽇々変化しているため、より⾼度なセキュリティ ツールと戦略の必要性が増しています。

オンプレミス テクノロジだけを頼りにそれらすべてを管理するのが従来のアプローチでした。もはや、そのようなやり方は通用しません。組織として、より柔軟なクラウド ベースのソリューションに移⾏しなければなりません (図 3)。

"つながる" 組織の保護と活性化 | 6

図 3: 今では、ID 管理 (IM)、デバイス管理 (DM)、情報保護 (IP) のためのコア テクノロジはクラウドで実⾏する必要がある。

ID、デバイス、および情報を処理するための既存のオンプレミス テクノロジも引き続き重要であり、しばらくは存続することでしょう。しかし、クラウド ソリューションなしでは、現在の状況の問題に対処することは不可能です。そのため、あらゆる分野で、いまだ現役の可能性があるオンプレミス アプローチから、クラウドの新しいハブへ移⾏していくという流れにしっかりと焦点を合わせていかなければなりません。

このような変化に対応するため、Microsoft は Enterprise Mobility + Security (EMS) を作成しました。EMS

の個々のコンポーネントは、ID 管理、デバイス管理、情報保護、さらに他の分野を対象としたクラウド

ソリューションを提供します。これらのテクノロジは、⼀緒に使うことによってこれまで以上に強⼒になり、ID 主導のセキュリティなど、現代の新しい攻撃の状況において⾼度な課題に対処する総合的なアプローチのメリットが得られます。これらのテクノロジは従業員が⽇々使用する Office や Office 365 などの⽣産性向上ツールと綿密に統合されるため、プロセスを複雑にしたり人々の働き方を変えたりせずに、実際に厳密なコントロールを実現してセキュリティを向上できます。

ID および管理ソリューションをいかに速くクラウド移⾏するかは、あなたしだいです。今大切なのは、この変化がなぜ⽣じているのかを認識し、この変化を利用するために何をすればよいのかを理解することです。その点を以下に説明します。Microsoft EMS がそのような移⾏をどうサポートしているかについて紹介します。

"つながる" 組織の保護と活性化 | 7

モバイルファースト、クラウドファーストの世界の課題への取り組み ID とデバイスの管理、情報保護、新しい攻撃の状況への対処、そのいずれも決して単純ではありません。現代のモバイル ファースト、クラウド ファーストの環境や、制限された予算とリソースを考慮すると、課題はさらに複雑になります。これらの問題をより正確に把握してはねのけ、クラウドとオンプレミスのソリューションを組み合わせことの重要性を理解するには、すべての問題を 1 つずつ分析する必要があります。また、EMS の各コンポーネントが問題のそれぞれの分野にどう対処しているかも⾒る必要があります。

ID 管理

複数アプリケーションへのシングル サインオン (SSO) は、どんなユーザーにとってもありがたい機能です。いくつもの異なるサインオン名とパスワードを覚えることには、だれもがもううんざりしています。これまで、Microsoft Active Directory など、オンプレミスの ID 管理テクノロジを⻑期にわたり使用してきたのはそのためです。

しかし、SaaS アプリケーションがますます⼀般的になり、オンプレミスの ID 管理だけに頼るのではもはや不⼗分です。その理由は簡単です。SSO を提供するため、Active Directory などのオンプレミス テクノロジが、ユーザーがアクセスするアプリケーションのそれぞれに接続しなければならないからです。それらのアプリケーションのすべてが自分のデータ センター内にあるのなら、話は簡単です。各アプリケーションが Active Directory のローカル インスタンスに接続するだけでよいのです。クラウドに移⾏するアプリケーションが多くなるにつれて、問題が発⽣しています。あらゆる SaaS アプリケーションのそれぞれが企業のオンプレミス ID 管理テクノロジに直接接続することになり、結果はカオスになってしまいます (図 4)。これは、まさに今多くの組織が陥っている状況です。

図 4: あらゆる組織の ID 管理ソリューションとあらゆる SaaS アプリケーションの間で直接接続を作成すると、すぐに複雑になりすぎて管理が難しくなる。

ID 管理のクラウド ソリューション、つまり Azure Active Directory (AD) Premium を使う方が、簡単なアプローチです。オンプレミスのディレクトリ サービスも引き続き重要ではありますが、それは Azure AD に接続するだけになります。そうすると、Azure AD は各 SaaS アプリケーションに直接接続できます (図 5)。

"つながる" 組織の保護と活性化 | 8

80% を超える従業員が、承認を受けていない SaaS アプリケーションを仕事に利用していると認めている

– Stratecast、2013 年 12 月

図 5: Azure Active Directory によるクラウド ベースの ID 管理なら、SaaS アプリケーションへのシングル サインオンの管理が非常にシンプルになる。

これにより、シンプルな SSO が実現します。ユーザーの ID は引き続き独自のディレクトリ サービスから取得します。その点は引き続き制御下にありますが、クラウドのパワーを利用することにより、ユーザーはローカル アプリケーションと SaaS アプリケーションの両方に、シングル サインオンで簡単にアクセスできるようになります。ユーザーにとってはさらに快適になり、IT 管理者にとってもさらに簡単になります。

Azure AD は現在 2,000 を超えるクラウド アプリケーションに対して SSO

を提供しています。それには、Office 365、Salesforce.com、Dropbox、Workday、Box、ServiceNow が含まれます。このサービスは、シングル

サインオンだけでなく、さらに次のような機能も提供します。

• リスク ベースの条件付きアクセス – 許可されないアクセスのリスクを解消できます。条件付きアクセスは、アクセスの許可やブロックのインテリジェントな評価を実現し、グループ メンバーシップ、アプリケーションの機密性、デバイスの状態、場所、サインイン リスクなどの要因に基づいて、MFA

を適用します。

• 組み込み多要素認証 (MFA) – 保護された認証用の追加のセキュリティ レイヤーです。MFA では、サインオンのためにパスワードに加えて別の何か、たとえば携帯電話に送られたコードなどを入⼒する必要があります。

• 特権 ID 管理 – 検出機能、制限、ID 監視など、特権アクセスを必要とするユーザー ID に対する追加のコントロールを可能にします。

• セキュアなリモート アクセス – 仮想プライベート ネットワーク (VPN) を使用せずに Azure AD に公開されたオンプレミスのアプリケーションに確実に安全にアクセスできるよう、Azure Active Directory

Premium 機能を使ってデバイスのヘルス状態、ユーザーの場所、ID、総合的なセキュリティ レポート、監査、アラートに基づくアクセス コントロールなどを管理します。

• 組織間をまたいだ共同作業 – ベンダー、業務請負業者、契約者、パートナーに社内リソースへのリスクのないアクセスを簡単に付与できるようにします。

"つながる" 組織の保護と活性化 | 9

クラウドでの ID 主体のセキュリティ

従来のセキュリティ ソリューションは、クラウド アプリケーションに効率的なアクセスを提供する機能が⼗分ではなく、それらのアプリケーション内のデータを保護する目的では設計されていませんでした。

その理由はいくつかあります。ファイアウォールや IPS などの従来のネットワーク セキュリティ

ソリューションでは、データの使用法や保管方法を含め、各アプリケーションに固有なトランザクションを把握できませんでした。旧来のコントロールもクラウド トラフィックの小さなサブセットだけは監視しますが、アプリレベルの処理を把握するには限界があります。

では、どのようにすればクラウドのデータの可視性、制御、保護を維持できるでしょうか。EMS では、Microsoft Cloud

App Security (CAS) を使用できます。CAS ではクラウド アプリケーションのコントロールを深くまで把握でき、包括的なコントロールが可能になるだけでなく、保護を強化できます。CAS は、クラウド アプリケーションに対するオンプレミスでの可視性、監査、コントロールを拡張することを目的として設計されています。

図 6: Cloud App Security を使用すれば、継続的なリスクを検出したり細分化したレベルでコントロールしたりしながら、従業員によるクラウド アプリの使用状況やシャドウ IT の完全な可視性を実現できます。

CAS は 13,000 を越えるクラウド アプリを識別できます。エージェントは不要です。ファイアウォールとプロキシから収集された情報により、クラウドの使用状況とシャドウ IT を完全に把握でき、前後関係までも理解できます。アプリ、デバイス、データ アクティビティの可視性が⾼まれば、疑わしいアクティビティ、ユーザーの誤操作、潜在的な脅威を、それが実際に発⽣する前に検知できます。また、⾏動分析、機械学習、Microsft 独自のセキュリティ インテリジェンスにより、従業員が外出先で自由に仕事をしても、企業のファイルとデータを安全に保てます。

80% を超える従業員が、承認を受けていない SaaS アプリを業務に使用していると認めている。

– Stratecast、2013 年 12 月

"つながる" 組織の保護と活性化 | 10

オンプレミスの ID 主体のセキュリティ

EMS により、クラウド アプリとデータに強⼒なセキュリティ機能が備わりますが、それによってオンプレミス環境のセキュリティ確保が重要でなくなるわけではありません。Microsoft もその点を認識しています。EMS に Advanced Threat Analytics (ATA) も組み込まれているのはそのためです。

ATA はクラウド上でなく、完全に組織内で実⾏されます。その目的は、疑わしいアクティビティが危害を及ぼす前に、それを検出することです。それを実現するため、ユーザーがどのアプリケーションに頻繁にアクセスしているかを示すマップを作成します。ユーザーが通常使用するデバイスおよびアクセスの回数も記録します。ユーザーが、通常とは異なる時刻に、通常とは異なるデバイスから、通常とは異なるアプリケーションにアクセスした場合、このユーザーはハッキングされたと考えた方がよいでしょう。攻撃者がユーザー名とパスワードを盗み、本来のユーザーを装って⾏動していた可能性もあります。

ATA ではこの種の脅威を検出できます。疑わしい事態が発⽣すると、ATA は警告を発します。セキュリティ スタッフはこの警告によって問題に迅速に対処できます。ATA は、攻撃者が組織にダメージを与える前の早い段階で攻撃を検出し、阻⽌するのに役⽴ちます。ATA はオンプレミスで実⾏されますが、EMS の⼀部としてライセンスを受けられます (図 7)。

図 7: Microsoft Advanced Threat Analytics (ATA) は、自動で分析を実施し、学習して、ユーザー、デバイス、リソースなど、正常なエンティティと疑わしいエンティティを区別することで、標的型攻撃から企業を守ります。

Advanced Threat Analytics にはさらに別のメリットもあります。その中には次のことが含まれます。

• 変化するサイバー セキュリティ脅威の性質に適応する。ATA は組織内のエンティティ (ユーザー、デバイス、その他のリソース) の⾏動を継続的に学習し、企業内の急速な変化を反映し、自⼰調整する。攻撃者の戦略はいっそう⾼度なものとなっているため、ATA は、継続的な学習と⾏動分析により、企業がサイバー セキュリティ脅威の変化する性質に適応するのを手助けします。

• シンプルな攻撃タイムラインで、重要事項に焦点を合わせる。以前から使用しているセキュリティ

ツールを使用して定期的にレポートを作成し、それらのツールを使って重要で関連性の⾼いアラートを特定するのはたいへんな作業です。攻撃タイムラインはタイムライン上の的確な物事を明らかにする、明確かつ効率的で、便利なフィードです。攻撃タイムラインにより、だれが、何を、いつ、どのように、という視点を得ることができます。また、ATA は、疑わしいアクティビティの調査と対処について推奨事項を提供します。

"つながる" 組織の保護と活性化 | 11

よく使用されるデバイス上位 10 機種の 70% に、重大な脆弱性がある (HP 2014)

– HP

• 誤検知を削減する。従来の IT セキュリティ ツールは、多くの場合、大量のデータを処理するようには作られていません。不要な警告も多く、ユーザーは真の脅威を⾒逃してしまうこともあります。ATA では、疑わしいアクティビティをコンテキストからそれ自⾝の⾏動に集約すると共に、相互作用パスに含まれるその他のエンティティに対しても集約した上で、これらのアラートが出されます。また、検出エンジンは、簡単な質問をたずねて、入⼒された回答で検出プロセスを調整し、自動でプロセスを進めます。

デバイス管理

モビリティは新しい標準です。そのため、携帯電話やタブレットなどのモバイル デバイスの管理は、多くの組織で不可⽋なものとなっています。デバイスを自分で管理すること (⼀般に「モバイル デバイス管理 (MDM)」と呼ばれます) は重要です。それらのデバイスにあるアプリケーションの管理 (モバイル アプリケーション管理 (MAM)) もまた重要です。

モバイル デバイスはクラウド コンピューティングの登場よりも前から普及しており、従来の MDM および MAM ソリューションは、オンプレミスで実⾏されます。ユーザーがアクセスするリモート アプリケーションがそれらのモバイル デバイスからオンプレミスで実⾏されているうちは、意味のあることでした。しかし現在は、それらのリモート アプリケーションがクラウドで実⾏されていることが⼗分に考えられます。それでも、デバイス管理ソリューションがオンプレミスで実⾏されているのであれば、デバイスとアプリケーションの間の通信は、通常オンプレミス サーバーを通じてルーティングすることが必要になります (図 8)。

図 8: MDM と MAM の従来のソリューションでは、モバイル デバイスとクラウド アプリケーションの間の通信がオンプレミスのボトルネックを通過しなければならない場合が多い。

図に示されているように、多くの場合、デバイス管理ソリューションは、管理ポリシーを管理対象デバイスに展開します (ステップ 1)。それらのポリシーが配置されたなら、管理対象デバイス上にあるアプリは、オンプレミス アプリケーションと SaaS アプリケーションにアクセスできるようになります。その通信のすべては、SaaS アプリケーションに対するものも含め、オンプレミス デバイス管理ソリューションを通じてルーティングされるのが普通です。

"つながる" 組織の保護と活性化 | 12

このアプローチでは、パフォーマンスやスケーラビリティなど、明確な問題点がいくつかあります。なぜデバイスとクラウド アプリケーションの間の通信速度を、オンプレミス デバイス管理ソリューションの処理能⼒に合わせて制限するのでしょうか?社内の IT 組織がそのためのスケール調整について心配しなければならないのでしょうか?デバイス管理 (MDM と MAM の両方) をクラウド移⾏する方が、はるかに優れています (図 9)。

図 9: Microsoft Intune は MDM と MAM をクラウド サービスとして提供することで、かなりシンプルですっきりしたアプローチを実現している。

Microsoft Intune を例として示したこのアプローチでも、モバイル デバイスは、デバイス管理ソリューションによって展開されるポリシーを受け取ります (ステップ 1)。しかし、それらのポリシーが配置されたなら、デバイス上にあるアプリは、オンプレミス アプリケーションとクラウド アプリケーションの両方と直接に通信できるようになります (ステップ 2)。オンプレミス ボトルネックはなくなりました。

デバイス管理をクラウドに移⾏することには、別のメリットもあります。たとえば、デバイス管理のための独自のサーバーやソフトウェアを実⾏したり管理したりする必要はなく、Microsoft Intune に任せることができます。デバイス管理ソフトウェアを更新する際の困難について想像してみてください。iOS、Android、そして Windows 10 はいずれも頻繁に更新されています。それはデバイスの管理方法に影響することがほとんどです。そのため、それらの新機能を利用するデバイス管理ソフトウェアを更新することが必要になります。オンプレミスのデバイス管理の場合、MDM および MAM ベンダーは顧客の 1 人 1 人に新しいパッチを送付しなければならず、時間がかかります。顧客 (あなたも含め) は全員、それらのパッチをインストールし、テストしなければなりません。これらは、さらに多くの時間がかかります。これに、サポートするモバイル オペレーティング システムの数を乗算した時間がかかるので、結果は明らかです。いつまでたっても最新の状態にはなりません。

クラウドでのデバイス管理なら、このような問題は発⽣しません。たとえば、iOS の新しいバージョンが提供された場合、Microsoft 自体が Intune を更新して、その更新の変更内容をサポートします。こうして常に最新の状態に保たれ、パッチのインストールのことを心配する必要はありません。

Microsoft Intune にはさらに、次のような別の機能やメリットもあります。

• 登録しないモバイル アプリケーション管理 – ユーザーの iOS、Android、Windows の各デバイス上の

Office モバイルとその他のアプリケーションを、Intune 上でデバイスに登録せずに管理できます (後で詳しく説明します)。

"つながる" 組織の保護と活性化 | 13

• 多要素認証管理 – ユーザーは、同じ Office モバイル アプリケーションを使用して、個人用と仕事用のアカウントの両方にアクセスできますが、MAM ポリシーは仕事用のアカウントにのみ適用されます。これにより、従業員は外出先でも、シームレスに作業できます。

• 企業データの選択的ワイプ – 個人のデータは保持しながら、アプリ、メール、データ、管理ポリシー、ネットワーキング プロファイルをユーザーのデバイスからリモートで削除します。

• 統合エンドポイント管理ソリューション – 組織のモバイル デバイスとデスクトップ PC を同じ管理環境から管理できます。これは、Microsoft が構築した Intune と System Center Configuration Manager

の緊密な統合機能により、可能になりました。

• セルフサービス機能 – ユーザー自⾝がパスワードの更新や、グループの統合、管理といったタスクを、単⼀のポータルからできるようになり、IT ヘルプデスクの時間とコストを削減することができます。これは、モバイル エコシステム内のすべての iOS、Android、Windows デバイスに適用されます。

情報保護

特定の文書へのアクセスをだれに許可すればよいでしょうか? 許可するアクセスの種類は、読み取りですか、書き込みですか、それともさらに別のものですか? データがその誕⽣時から保護され、その後どこに移動してもずっと保護されるようにするには、どうすればよいのでしょうか?それらを制御することは、モバイル デバイスやクラウド コンピューティングの登場前から重要なことでした。ユーザーとアプリケーションがあらゆる場所に広く分散しているモバイル ファースト、クラウド ファーストの世界において、これはさらに重要になります。

これまで、このような情報保護はオンプレミス ソリューションによって提供されてきました。たとえば

Microsoft は、今では Active Directory Rights Management と呼ばれているサービス (RMS) を、⻑年にわたり提供してきました。

しかし、オンプレミス ソリューションでこの保護を提供することには限界があります (図 10)。

図 10: オンプレミス テクノロジを利用した情報保護では、組織間の ID 管理のために、ポイント ツー ポイント接続を手動で構成する必要がある

たとえば、会社 A と会社 B が 1 つの保護文書を共有し、それぞれの会社のうちの限られたグループの人だけにその文書を読むことが許可されているとします。その場合、その文書を開く操作は情報保護サービスによって検証される必要があります。オンプレミス情報保護テクノロジでもこの問題を解決することは可能ですが、そのためには、情報保護テクノロジが利用する両者の ID 管理ソリューションの間でポイント ツー ポイントの関係を設定することが必要になります。

"つながる" 組織の保護と活性化 | 14

多くの場合、保護文書の共有のためにそれほどの手間をかけるのは実用的ではないと考えられたため、組織の壁を超えた文書の共有では、本来必要なセキュリティ保護が⾏われていませんでした。しかし、クラウドから実⾏される新しい Azure Information Protection ソリューションでは、よりシンプルにこれを実⾏できます (図 11)。

図 11: ID 管理と情報保護のために共有クラウド ソリューションを利用することにより、文書へのアクセスの制御が大幅にシンプルになる。

図に示されているように、2 つの組織が相互に直接接続を設定する必要はもはやありません。それぞれがクラウド サービス (Azure AD および Information Protection) に⼀度だけ接続すればよいのです。共有相手の組織の数がどれだけ増えても、それぞれクラウド サービスに接続する必要があるのは⼀度だけです。このモデルにより、組織間での保護文書の共有という難しい問題は解消します。

Azure Information Protection には、次の機能を含むメリットが他にもあります。

• データの分類、ラベル付け、保護する – 作成時または修正時。ポリシーを適用して、データのソース、コンテキスト、コンテンツに基づいて、直感的な方法でデータを分類し、ラベル付けします。分類は完全に自動化することも、ユーザー主導で⾏うことも、レコメンドに基づいて⾏うこともできます。データが分類、ラベル付けされたら、その分類に基づいて自動で保護が適用されます。

• ユーザーによるシンプルで直感的な管理を可能にする – ⽣産性を維持しながらデータを保護します。データの分類と保護の管理は、Office および⼀般的なアプリケーションに統合されます。これらにより、シンプルなワンクリック オプションで、ユーザーが作業しているデータを保護できます。製品内の通知により、ユーザーが適切な判断を下す助けとなるレコメンドが提供されます。

• 共有データにおける可視性と管理を確保する – ドキュメントの所有者は共有データのアクティビティを追跡し、必要に応じてアクセスを無効にできます。IT はログ記録およびレポートを使用して、共有データをモニタリング、分析、理由付けを⾏うことができます。

• データがクラウドに保存されていてもオンプレミスでも保護する – Bring Your Own Key オプションを使用した、暗号化キーの管理方法を選択します。

"つながる" 組織の保護と活性化 | 15

管理上の取り組み

企業は、モバイル ファースト、クラウド ファーストの環境に追いつくことに苦戦しており、多くの企業が管理に使用できる⼗分なリソースを持てず、ポイント ソリューションが増えるばかりとなっています。製品の設定、統合、保持は難しいことが多く、絶えず進化する攻撃のランドスケープにより、保護の方法はすぐに古くなります。これらの課題を悪化させているのは、限られた IT 予算です。これらの予算を優先的に、新しいセキュリティ課題に対する取り組みに費やすことは、多くの顧客にとって簡単ではありません。

EMS は、各ポイント機能を通じてコストがかかる複雑な統合を実施する必要性をなくし、オンプレミスでこれまで投資してきたものとの連携するよう設計された、⼀連の統合ソリューションを提供します。展開をより簡単なものにするため、EMS には FastTrack が付属しています。FastTrack は Microsoft のサービスで、EMS の操作を成功裏に納めるためのベスト プラクティス、ツール、リソース、エキスパートが含まれています。EMS はクラウド ソリューションであるため、拡張、保持、更新の心配もありません。

シナリオ: EMS の機能

個別に考えた場合でも、ID 管理、デバイス管理、情報保護をクラウドで実現することには、大きなメリットがあります。しかし、EMS のように、それらのクラウド サービスを併用する場合、そのメリットはさらに強⼒なものとなります。なぜそう⾔えるかを理解するため、4 つのシナリオを考えてみましょう。

1. ID 主体のセキュリティ

2. エンド ツー エンド情報保護

3. モバイルでの⽣産性の管理

4. 簡素化された展開と管理

ID 主体のセキュリティ

これまで⾒てきたように、ID は、EMS のあらゆる動作の中心となっています。しかし、攻撃者が Anna

の ID の入手に成功したらどうなるでしょうか? 彼⼥の選んだパスワードが他人に推測されやすいものだったか、またはだれかが彼⼥を騙して彼⼥から資格情報を聞き出したとしましょう。これは、まさに最近注目されたいくつかのセキュリティ侵害で実際に使用された攻撃方法です。現実に脅威となっている手法です。

この種の脅威を検出するには、ID 主体のセキュリティが必要です。これは、EMS がさまざまな方法で提供する機能です。まず、ID が脅威の侵入を防ぐ方法の例を⾒てみましょう。たとえば、Azure AD は潜在的な無効サインオンを検出し、それらのリスクについてセキュリティ担当者に警告することが可能です

(図 12)。

"つながる" 組織の保護と活性化 | 16

図 12: Azure AD は攻撃者によるさまざまな種類のサインオンについて警告できる

攻撃者が Anna のサインオン名とパスワードとハッカー サイトから購入し、それらを使用して Anna の組織にサインオンしたとします (ステップ 1)。それらのサイトは Microsoft によって監視されているため、Azure AD は、Anna の資格情報が闇市場で入手可能になっていることを察知します。このサインオンが実⾏されると、Azure AD はセキュリティ担当者にこの状況について警告することが可能です (ステップ 2)。または、別の攻撃者が Anna の資格情報でサインオンしたが、サインオンで使用されたクライアント デバイスがマルウェアに感染しているとします (ステップ 3)。Azure AD はこの状況についてもセキュリティ担当者に対して警告を発⾏することが可能です (ステップ 4)。

これらのサインオン脅威を検出する機能は、Azure AD に固有の機能であり、それは Microsoft の幅広いクラウド リソースによるものです。Microsoft がそのクラウド オファリング (Office 365、Azure、Xbox など)

に対する攻撃から情報を入手すると、企業のセキュリティ向上を支援する目的でその情報が Azure AD に提供されます。この種の問題が検出された場合に、アクションを実⾏することも可能です。たとえば、Anna

の資格情報が盗まれたことをセキュリティ スタッフが認識すると、Anna はパスワードを変更しなければならず、その後、すべてのサインオンに多要素認証を使わなければならなくなる可能性があります。

他のさまざまな異例な振る舞いについても、Azure AD により報告されます。Anna がカリフォルニア州ロサンゼルスから自分のアカウントにサインオンした 5 分後にペルーのリマからサインオンしたとすると、これは明らかにおかしいので、Azure AD はそのことを報告します。また、普段 iPad を使用している Anna が Android タブレットを初めて使用した場合など、その他の異例な振る舞いがあった場合も、それについて合図が送られます。そしてもちろん、サインオン試⾏回数が設定回数を超えた場合など、通常の懸念事項についても Azure AD は報告します。

では、攻撃者がこれらの防壁をすべて突破して侵入してきたとしましょう。サインオンがなされた後に、この種の攻撃を検出することは、どうすれば可能でしょうか? その答えは、盗んだ ID を使う攻撃者の振る舞いが、その ID の正当な所有者とは異なっていることを認識できるかどうかに依存しています。ATA はそのような違いを検出し、セキュリティ担当者にその問題について警告します (図 13)。

確認されたデータ侵害の

63% は、パスワードが弱い、既定値のまま、または盗まれたために発⽣している。

– Verizon 社のデータ侵害レポート

(2016 年)

"つながる" 組織の保護と活性化 | 17

図 13: ATA により、EMS は疑わしいアクティビティを検出してフラグを設定し、アカウントが侵害された可能性がある場合にセキュリティ担当者に警告することができる

Anna は、Azure Active Directory にサインオン (ステップ 1) した後、通常の⽇中のスケジュールに従って仕事をするとします。Anna は会社の人事部に所属しているため、主にアクセスするのは会社の HR アプリケーションとそのデータです (ステップ 2)。ここで、攻撃者が盗んだ資格情報を使用し、Anna を装ってサインオンしたとします (ステップ 3)。彼も Anna と同じように通常の仕事⽇のスケジュールに従って、大半は HR のリソースにアクセスするでしょうか? そんなことはまずないでしょう。むしろ、攻撃者は他のアプリケーションや別の種類のデータにアクセスします。また、地球の裏側のタイム ゾーンからの仕業だとすれば、アクセスする時間帯も異なっていることが考えられます (ステップ 4)。

このような振る舞いのぶれも、ATA によって検出されます。オンプレミスの Active Directory を出入りするトラフィックを監視し、機械学習テクノロジを駆使してそのトラフィックを分析することにより、ATA はユーザーの普段のアクセス パターンを短期間のうちに学習することができます。先の例の Anna

のように、ユーザーがそれらのパターンから外れた場合、ATA はセキュリティ侵害の可能性についてセキュリティ担当者に警告を出すことが可能です (ステップ 5)。

攻撃者が組織に侵入しても、多くの場合は、数か月にわたって潜伏し、機会が来るのを待っています。そのような機会を実際に利用するまで (おそらくは利用した後も)、発⾒されないままでいることが少なくありません。ATA を、Azure AD に付属のレポート サービスと共に使用するなら、そのような攻撃が業務にダメージを与える前にそれを検出し、やめさせることができます。クラウドの Azure AD およびオンプレミスの ATA により、EMS は ID 主体のセキュリティのための総合的ソリューションを提供します。

もちろん他にも、悪意によるものではなく、内部ユーザーが意図せずセキュリティ侵害をしてしまったというようなシナリオもあります。この場合、Cloud App Security などの EMS 技術がデータを保護します。たとえば、CAS を使用すると、クレジット カード番号や医療記録などの機密事項にユーザーがアクセスするクラウド アプリを、自動的にスキャンするポリシーを設定できます。CAS がこのデータを⾒つけると、データをアップロードした人、アクセスした人を特定して、アクセス許可の削除や、ユーザーのブロックといった措置をとるツールを提供します。

次のセクションでは、意図せずにデータが無許可のユーザーやアプリケーションに分散される前でも、EMS がデータを保護する他の方法を⾒ていきます。

"つながる" 組織の保護と活性化 | 18

ユーザーによる侵害の 33%

は、ユーザーのミスが原因で発⽣する。

–VansonBourne (2014 年 2 月)

エンド ツー エンド情報保護

Anna が Exchange Online にアクセスできるようになると、それ以降、仕事メールを受信するようになります。Anna は自分の iPad を使って、空港のラウンジなどの公の場所からそれを実⾏しているわけですが、彼⼥のメールには、組織として保護することが必要な情報が含まれています。電⼦メールにより、または承認されていないアプリケーションにコピーして、彼⼥がその情報を (誤ってまたは意図的に) 部外者に送ることがないように予防策を講じる必要があります。ここで必要なのは、エンド ツー エンド情報保護です。EMS は、Azure AD、Intune、および Azure Information Protection のすべてが連携することにより、この機能を実現しています (図 14)。

図 14: EMS では、企業の情報を管理環境内でのみ使用とコピーができるようにし、アクセス制御を暗号化ファイルに直接埋め込むことによって、企業の情報を保護する。

Anna が、Excel スプレッドシートが添付された仕事メールを受

け取ったとします (ステップ 1)。彼⼥は、自分の iPad 上で Excel モバイル アプリを使ってこの添付ファイルを開き、次にそれを、スプレッドシートから iPad 組み込みのメモ アプリにコピーして貼り付けようとします。EMS が機能しているため、その操作は失敗します (ステップ 2)。

失敗の理由は、Intune により、彼⼥の iPad 上の管理対象アプリが個人用アプリから区別されているためです。図に示されているように、Anna の Office モバイル アプリはすべて管理対象としてマークが付けられており、それらのアプリのデータを管理対象外アプリにコピーできないようになっています。この例の場合、彼⼥が Excel スプレッドシートから iOS のメモ アプリに移そうとしても、貼り付けオプションは表示されません。Excel スプレッドシートから Word 文書になど、管理対象アプリ間で情報を移すことは自由にできますが、それ以外のことはできません。また、図には示されていませんが、管理対象アプリとしては、他のソフトウェア ベンダーから入手したものや組織で独自に作成したものも可能です。Microsoft アプリを使うように限定されているわけではありません。

"つながる" 組織の保護と活性化 | 19

iPad や Android のデバイス上で Office モバイル アプリにこのような情報保護機能を提供できるのは

Microsoft だけです。他の MAM ベンダーでそれをすることはできません。Anna が仕事とプライベートの両方で Office モバイル アプリを使いたい場合、それは可能です。別の ID を使ってサインオンするだけです。Intune は、個人用データは制限せずに、企業データに企業ポリシーが適用されていることを確認します。

Intune がモバイル デバイス用に提供する情報保護には、最も重要な機能が含まれてはいますが、⼗分とは⾔えません。Anna が、社内の機密データを含む別のファイルが添付されたメールを受け取ったとしましょう (ステップ 3)。彼⼥がそれを iPad で開くことはないかもしれませんが、うっかり部外者に転送してしまったとしたら、どうなるでしょうか? あるいは、Anna に送られた添付ファイルは誤って送られたものであり、彼⼥はそれにアクセスできるユーザーとされてはいないとしたら、どうでしょうか?エンド

ツー エンド情報保護を提供するためには、このような問題に対処する必要があります。

Azure Information Protection は、こうした問題を解決するために作成されました。Anna が受け取った添付ファイルが Azure Information Protection によって保護されている場合、それは暗号化されており、まずそのクラウド サービスに接続しない限り、どんなソフトウェアでもそれを開くことはできません (ステップ 4)。Azure Information Protection は、Azure AD により提供される Anna の ID、および保護文書自体の情報を使用することにより、彼⼥にどんなアクセス権があるのかを判別します。たとえば、文書の作成者が何を許可しているかに応じて、できるのは文書を読むことだけの場合もあり、読み取りと変更の両方が許可されることもあり、その他の操作ができることもあります。

Anna がアクセスできるものをコントロールすると共に、Anna が転送できるものも Azure Information

Protection でコントロールでき、データ漏えいを防ぐための別の強⼒なツールを提供します。たとえば管理者は、クレジット カード情報などの機密データを自動的に検出できるポリシーを作成し、自動的に「転送不可」などの保護を適用できます。同時に Azure Information Protection は、ユーザーが Office のリボンに直接組み込まれたコントロールを使って簡単に独自の保護を適用できるようにします。

Azure Information Protection は、文書がどこにあっても、データの安全を確保します。Intune は、文書がモバイル デバイス上でアクセスされた場合に情報を保護します。それらの 2 つのコンポーネント、および Azure AD による ID 情報により、EMS は正真正銘のエンド ツー エンド情報保護機能を提供します。

モバイルでの⽣産性の管理

従業員は仕事とプライベートの両方でモバイル デバイスを使用します。従業員の⽣産性を確実に⾼めながら、故意であろうがなかろうが、データ損失を避ける必要があります。加えて、あなたが管理していない場合でも、デバイスを使用してアクセスされる企業データを保護する機能が必要になります。

Intune モバイル アプリ管理 (MAM) ポリシーを使用すれば、企業データを保護できます。Intune MAM ポリシーは任意のモバイル デバイス管理 (MDM) ソリューションとは無関係に使用できるため、そのソリューションを使って企業データを保護できます。デバイス管理ソリューションへのデバイスの登録はあってもなくてもかまいません。この方法なら、EMS によってデバイスまたはアプリ、またはその両方の組み合わせを、柔軟に管理できます。

Microsoft EMS がどのようにこれを実現するか、管理対象デバイスのシナリオを⾒てみましょう。このケースでは、現⾏ユーザーが新しい iPad を社内ネットワークに追加するという例から始めましょう (図

15)。そのユーザーの名前は Anna とします。

"つながる" 組織の保護と活性化 | 20

図 15: EMS では、自動でデバイスを登録し、アプリケーションへのアクセス ポリシーを適用できる。

ID が他のあらゆることの基礎となっているため、プロセスは Anna が Azure AD にサインオンすることから始まります (ステップ 1)。Anna が使用している iPad は個人所有のものである可能性も、組織から支給されたものである可能性もあります。いずれにしても、サインオン後に彼⼥が最初にすることは、SaaS

アプリケーションにアクセスすることです。この例の場合、アプリケーションは Exchange Online であり、それは Office 365 に含まれています。Anna は、自分の仕事メールにアクセスしようとしています。しかし、Anna の新しい iPad はその時点で管理対象になっていないため、その要求は Intune にリダイレクトされます (ステップ 2)。

そこで Intune は、Anna の iPad との管理関係を (当然ながら彼⼥が許可した上で) 確⽴し、このデバイスが管理対象になるようにします。iPad について定義されているポリシーがすべて適用されることになります (ステップ 3)。たとえば、社内環境の⼀部として登録するための条件として、iPad のアンロック パスワードがセットされていること、そこに保存する社内データを暗号化すること、そしてメールを管理対象としなければならないということが、管理者によって求められている場合があります。それらのポリシーの定義と適用には、Azure AD と Intune の両方が必要です。

Anna のデバイスが管理対象となったため、仕事メールに無事にアクセスできるようになりました (ステップ 4)。それができるようになる前に、Azure AD および Intune が連携して、この特定のアプリケーションについて定義されている別のポリシーを彼⼥が遵守していることを確認します。たとえば、Exchange

Online ポリシーは、要求送信元である Intune 管理下のデバイスで、利用可能なすべての更新が適用済みになっていることを求めている場合があります。これは、条件アクセスの⼀例です。つまり、ユーザーは、いくつかの条件を満たしている場合にのみ、何かを実⾏することが許可されるということです。条件としては、適切な ID、適切な種類かつ適切な特性のデバイス、などがあります。条件アクセスは強⼒な機能であり、EMS の場合のように複数のサービスが連携することによってのみ可能です。この相乗効果は、統⼀クラウド ソリューションの重要な側面であり、明白なメリットでもあります。

"つながる" 組織の保護と活性化 | 21

図 16: EMS はまた、登録が不要で、モバイル アプリケーション管理の柔軟性が実現します。

多くの組織が、従業員が使用するすべてのデバイスを管理したいと考えていますが、従業員は、企業のアプリケーションを利用しながら、独自の、管理対象外のデバイスを使用したいと思っています。このような場合、EMS は Office アプリをどのように保護するのでしょうか。登録機能を使わずに Intune

MDM を使用すると、組織は Office モバイルやその他のアプリがインストールされているデバイス上のデータを保護できます。これらのデバイスを Intune MAM に登録する必要はありません (図 16)。

つまり、既に MDM ベンダーを持っている顧客、または MDM を通じてユーザーのデバイスを管理する必要はないと考えている顧客は、引き続き Office や企業のデータへのアクセスを保護できます。これには、切り取り/コピー/貼り付けの制限、「名前を付けて保存」の防⽌、改造の検出、PIN の必要性、MAM で保護されたデータをリモートでワイプする機能が含まれます。

簡素化された展開と管理

ここでは、最も複雑なモビリティ セキュリティのシナリオにおいて、EMS のクラウドベースのアーキテクチャがどのようにソリューションをセットアップし、管理するかを⾒てきました。しかし、FastTrack

と呼ばれるサービスを追加して、管理はさらに簡単になります。

FastTrack は Microsoft のエンジニアたちによって配信され、EMS の展開を短時間で開始できるメリットがあります。たとえば、これらのエンジニアは、ユーザー アカウントを作成し、ID をクラウドに移動し、テスト アプリを MyApps サイトでセルフサービスを設定できます。エンジニアたちは、ユーザー グループをセットアップし、テスト テンプレートなどを含め、ユーザーの権限管理をアクティブ化します。エンジニアたちは、PC とモバイル デバイスの両方を総合的にコントロールするため、オンプレミス

System Center Configuration Manager を Intune と統合することもできます。

すばやい展開と同時に、FastTrack により Microsoft パートナーは、カスタマイズ、修復、全社的なデバイスのセットアップ、ユーザーの成⻑、管理、全体的なソリューションの強化など関連する、他の⾼価値サービスに注⼒する時間を得ることができます。

"つながる" 組織の保護と活性化 | 22

包括的なソリューションを提供する機能により、EMS は、他にはない価値ともなります。他のベンダーから入手できるポイント ソリューションとは異なり、EMS は、1 つのアカウント チームと簡素化された

1 つのライセンス構造など、必要なものがすべて統合された 1 つのパッケージになっています。EMS はクラウドで実⾏されるため、購入や管理が必要なオンプレミス ハードウェアは少なく、より大きなコスト削減にもなります。

まとめ

Microsoft Enterprise Mobility + Security は、企業のアセットを保護しながら、ユーザーが好みのデバイスで⽣産性を⾼めることができるようにします。EMS は、オンプレミス サービスのデータや機能をクラウドに移⾏することで、現代のモバイル ファースト、クラウド ファーストの世界で企業の⽣産性を⾼め、管理体制を改善し、セキュリティを向上させるのに役⽴ちます。それらのサービスを相互に統合し、さらにオンプレミスの従兄弟とも⾔えるサービスを統合することにより、現在の業界で他に類のない完結したソリューションが提供されます。EMS を展開することにより、従業員にとっても、ビジネス パートナーにとっても、さらには顧客にとってもメリットがあるのです。

©2016 Microsoft Corporation.All rights reserved.このドキュメントは現状有姿のままで提供されます。このドキュメントに記載されている情報や⾒解 (URL 等のインターネット

Web サイトに関する情報を含む) は、将来予告なしに変更されることがあります。その使用責任はお客様自⾝にあります。このドキュメントは、あらゆるマイクロソフト製品に対するなんらかの知的財産権をお客様に付与するものではありません。このドキュメントは、内部的な参照目的にのみコピーおよび使用することができます。このドキュメントは、内部的な参照目的にのみ変更することができます。