個人的に今年一番力を入れていきたいと思っているのは Microsoft 365 の認証周りに関する強化策ですが、この強化策をゼロトラスト展開プランのスタート段階としてまとめた資料が公開されていました。
この docs の中でも特にみていただきたいのが以下の図です。(この図は英語サイトからとってきました。日本語版の翻訳はなかなかの機械翻訳だったので、、、汗)
この図の中でも Identity に関する部分(青色表記)については、まさに Microsoft 365 を利用されている方には全員利用してほしいような内容となっています。
というわけでどんなことをやるべきと書かれているのか ID の観点で見てみましょう。
まず最初に挙げられているのはクラウドに ID を持つこと。
これは Microsoft 365 を利用する際に必要なことなので特段述べておくところはありません。社内 AD を持っている場合はパスワードを含めた同期かフェデレーションを推奨していますね。フェデレーションは証明書が流出すると全 ID が危険になるというシングルポイントを持っているので、推奨から外れそうな気もしていたのですが、外部にパスワードを出したくないというケースへの唯一の連携方法というところから需要はまだあるのでしょう。
続いて MFA の設定が来ています。やはり MFA は ID 保護の一丁目一番地に扱われていますね!
ここでは SaaS アプリをこの MFA が効いた Azure AD に紐づけておくことと各種ポリシーを定義し、条件付きアクセスを有効にしてユーザーとしてアクセス可能な条件を定義しておくというところですね。この段になると Office 365 単独では賄えず、 Azure AD Premium や Microsoft 365 E3 以上のライセンスが必要となってきます。
その上にはデバイス関連の設定が入っていますね。デバイスの同期と条件に沿ったデバイス状態(パッチ最新化など)を示しています。デバイスの登録には AD 同期か Intune を使った方法が必要となります。
ID 関連の最後にあるのは Enterprise ( recommended ) とあります。これはおそらく以下 docs に書かれている保護の範囲でしょう。
大企業となっている列を見ていくと、準拠デバイス、 MFA は通常は聞かれないものの、初期設定時や環境変化時など、リスクがありそうな場合にチェックされる内容として定義されています。
もう考えておきたいこと全般が記されていますね笑
ぜひ組織内のセキュリティを検討する立場にある方は一読しておくことをお薦めします。
昨今増えている外部からの攻撃に対する防御策が見ええてくるかもしれません。
音楽:The Target
