Microsoftは8月27日(米国時間)、組織のアプリケーション管理においてゼロトラストを適用するためのガイド「Microsoft Zero Trust deployment guide for your applications - Microsoft Security」を公開した。このガイドでは、Microsoft Cloud App Securityを使用して、アプリがどこにあるかに関係なく組織全体にゼロトラストの原則を展開する方法が解説されている。

「ゼロトラスト」とは、「社内外を問わず誰も信頼できない」という前提でセキュリティを構築する考え方である。昨今のITシステムは、内部不正や巧妙化するサイバー攻撃など、組織の内外のあらゆる角度からの脅威にさらされている。このような脅威に対し、ファイアウォールやVPNなどの従来の対策だけでは万全なセキュリティとは言えなくなってきた。そこで、「誰も信頼しない」という性悪説を前提に、監視や認証を強化することでセキュリティを強化するというのがゼロトラストの考え方である。

最近では、多くの組織でクラウドサービスを導入しているため、ゼロトラストを効果的に実践するには、各クラウドサービスを横断的にカバーすることを考えなければならない。また、リモートワークの導入も進んでいることから、PCの場所に依存しない対策も必要となる。

今回公開されたガイドでは、ゼロトラストの実践方法として、シャドウIT(社内システムの管理者側が把握しなうちに、従業員によって利用されているアプリやクラウドサービスなど)の排除から、認可済みのアプリにおけるユーザーのアクティビティやデータを監視、危険な動作や違反の検出およびそれに対するアクションの自動化など、それぞれのステップを適切に実施するためのポイントが解説されている。

  • 従業員が使用するアプリの監視・発見のライフサイクル - 資料: Microsoft Security Blog

    従業員が使用するアプリの監視・発見のライフサイクル - Microsoft Security Blog

実践の各ステップでは、具体的にMicrosoft Cloud App Securityのどの機能を活用して実現するのかが紹介されている。Microsoft Cloud App Securityの導入を支援するためのガイドではあるが、製品を限定しないゼロトラストの導入ガイドとしても参考になる内容となっている。