Microsoft の Global Secure Access による VPN の変革

※本ブログは、米国時間 9 月 25 日に公開された “Transforming our VPN with Global Secure Access at Microsoft” の抄訳を基に掲載しています。

Leon Yen
Share on Facebook Share on X Share on LinkedIn

エンタープライズのリソースへの安全で確実なアクセスを確保することは、常に微妙なバランスが求められます。企業資産を不正アクセスや悪用から保護することは最重要事項です。しかしながら、従業員の利便性を欠いたシステムは、不満や非効率性を招くことになります。

Microsoft では、企業リソースへのアクセス管理方法において、大きな変革の真っ只中にあります。この変革の土台となるのが、Microsoft Global Secure Access (GSA) です。GSA は、モダンで ID 中心のモデルに置き換えるセキュリティ サービス エッジ (SSE) ソリューションです。GSA は、統合されたフレームワーク内で 3 つのコアサービスを提供します: それらは、Microsoft 365 Access、Internet Access、および Private Access です。このアプローチは、エンタープライズのセキュリティ体制を強化するだけでなく、ユーザーと管理者の双方にとって接続性をシンプルにします。

すでに 158,000 名以上の従業員が GSA クライアントと Microsoft 365 を利用しており、今後数か月でプライベート アクセスおよびインターネット アクセスの全面展開を予定しています。ここでは、Microsoft のエコシステム全体で、より安全でシームレス、そして将来に備えたアクセス体験をどのように構築しているかをご紹介します。

VPN を超えて: セキュア アクセスの未来

社内ネットワークがオープンなインターネットよりも本質的に安全であるという考え方は常にリスクを伴うものであり、現代の脅威によってその前提は危険なものになっています。これが、私たちが Zero Trust モデルを採用し、包括的なアクセスから最小権限アクセスへと移行した理由です。これにより、ユーザーは必要な時に必要なものだけを取得し、それ以上のアクセス権限は一切与えられないことを保証しています。

エンタープライズ全体で Zero Trust アプローチを採用することは、従来の VPN を超えることが不可欠です。長年にわたり、社内リソースへのアクセスには Microsoft VPN および Azure VPN に依存してきました。これらの従来型モデルは効果的ではありますが、「すべてかゼロか」の原則で動作します: 一度接続されると、従業員は役割やセキュリティ コンテキストに関係なく、広範なアクセス権限を取得することになります。

「数年前まで、VPN の概念はシンプルでした: 単一の仮想プライベート ネットワークにより、従業員は会社の内部ネットワーク全体にアクセスできました」と、Microsoft の IT 部門である Microsoft Digital のプリンシパル クラウド ネットワーク エンジニア、Pete Apple 氏は述べています。「しかし今日では、このモデルは深刻なリスクをもたらします。ユーザーの ID やデバイスが侵害された場合、あるいは中間者攻撃が発生した場合、攻撃者は VPN 経由で接続し、機密データ、脆弱なターゲット、重要システムへの広範なアクセスを得ることができるのです。」

これは、私たちの組織やお客様の組織にとって課題を生み出します。

そこで役立つのが GSA です。

GSA は、きめ細かい ID ベースの制御を導入することでパラダイムを転換します。Microsoft Entra に深く組み込まれていることにより、管理者はポリシーをリアルタイムで適用し、適切なユーザー、デバイス、条件にのみ機密リソースにアクセスできるようにします。

「この GSA への移行の主な理由の一つは、この ID ベースのセキュリティ ソリューションで、非常に細かいレベルでアクセスを制御できるきめ細かさを得られることです。」と、Microsoft Digital のプリンシパル ネットワーク エンジニアである Gary Triv 氏は述べています。

GSA セキュリティの四つの柱

セキュリティへの取り組みは、私たちのすべての活動に組み込まれています。

「条件付きアクセス、ID 中心の制御、およびその他の Zero Trust の中核要素が、本ソリューションに直接組み込まれています」と、Global Secure Access のグローバル テクニカル プログラム マネージャーである Lalitha Mahajan 氏は述べています。

GSA の中核には、4 つの基本的なセキュリティ機能があります:

1. 条件付きアクセス (Conditional Access: CA): VPN のように包括的なアクセスを提供するのではなく、条件付きアクセス はコンテキストに基づくルールを適用し、常に役割に応じた適切なアクセスを保証します。例えば、エンジニアにはセキュリティ ポータルへのアクセスが許可される一方で、別のユーザーは Power BI ダッシュボードのみを閲覧できます。
2. Continuous Access Evaluation (CAE): アクセス制御は、ログイン時のみに留まりません。CAE は、ユーザー コンテキスト状況をリアルタイムで評価します。従業員の役割が変更された場合、資格情報が失効した場合、または退職した場合、そのユーザーのアクティブなセッションは直ちに終了されます。
3. Network Filtering: GSA により、管理者はユーザーがインターネット上や企業ネットワーク内でアクセス可能な場所を正確に定義できます。これにより、従業員は承認された宛先にのみアクセスでき、脅威にさらされるリスクを減らします。
4. 準拠しているネットワーク (Compliant Network: CN): アクセスは、ソース ネットワークに紐付けられます。例えば、Redmond にあるデバイスは許可される場合がありますが、同じデバイスが信頼されていない地域にある場合は自動的にブロックされる可能性があります。

これらの柱が一体となって、GSA は Zero Trust の原則に完全に沿った、安全かつ適応性の高いソリューションを実現しています。

「Zero Trust モデルでは、最小権限アクセスを徹底することが目標です。つまり、社内リソースをロックダウンし、セグメンテーションを改善し、ファイアウォールやその他の制御を使用して、ユーザーがデフォルトであらゆるものにアクセスできないようにするということです。」と Apple 氏は述べています。「包括的な VPN ネットワークに依存するのではなく、ネットワークと ID を組み合わせた Entra Global Secure Access モデルへ移行しています。社内ネットワーク全体への広範な可視性を付与するのではなく、アクセス権限をユーザーの ID に紐づけて範囲を限定します。これにより、従業員は自身に定義されたリソースのみに接続できるようになります。」

その絶好の例が Microsoft の開発者です。これは Microsoft で最も一般的な従業員の役割の一つです。

開発者は、特定のソース コード、特定のラボ環境、および指定されたファイル共有システムへのアクセスを必要とする場合があります。GSA を使用することで、これらのリソースのみにアクセス権を付与することが可能となり、それ以外のリソースへのアクセスは一切許可されません。従来の「接続すれば全て閲覧可能」という包括的なアプローチから、厳密に定義された ID ベースのモデルへの移行は、セキュリティ面の大幅な改善であり、本製品を導入する上で最も魅力的な理由の一つです。

GSA の大きな差別化要因であり、Zero Trust を実現するための重要な要素となるのが、豊富なテレメトリです。これにより、ユーザー アクティビティ、デバイスの健全性、ネットワーク トラフィックをリアルタイムで可視化できます。この継続的なデータ ストリームにより、脅威の早期検出、異常検知、ポリシーの正確な適用が可能になり、Zero Trust を実践レベルで強化します。

「従来の VPN とは異なり、GSA はクライアント側とサーバー側両方のインサイトを提供します。これらはすべて Microsoft が管理しています。」と Mahajan 氏は述べています。「これにより、より深い可視性が得られ、ユースケースに応じてデータを実用的なものにすることができます。」

GSA の主要な構成要素

Private Access は、GSA を構成する 3 つの提供サービスのうちの 1 つにすぎません。これらのサービスは、管理者がルーティングとポリシー ルールを一元的に定義できる単一のクライアントに統合され、各サービス専用の 3 つのトンネルを作成します。GSA は次の要素で構成されています:

• Microsoft 365 Access: Office アプリおよびサービス向けに最適化された、ポリシー制御による接続性。
• Internet Access: TLS 検査、URL フィルタリング、およびコンテンツ制御を備えた安全なブラウジング。
• Private Access: 内部リソースへのきめ細かいアクセスを可能にする、レガシ VPN に代わる最新の代替手段。

Internet Access に関して、GSA は 2 つのデプロイメント モデルをサポートしています: ブランチ接続 (リモートネットワーク) では、IPSec トンネルがクライアントを持たないデバイス (プリンタなど) からのトラフィックを保護し、クライアント接続では、GSA クライアントがノート PC やデスクトップのトラフィックを直接 GSA Edge へルートします。どちらのアプローチも一貫したポリシーを強制しますが、トラフィックがフレームワークへ到達する方法のみが異なります。

高度な機能と監視

断片化した VPN やファイアウォールのログとは異なり、GSA は統合ログを通じて一貫した可視性を提供します。統合ログでは、ユーザー ID、デバイス、送信元、宛先、適用されたポリシーを含むセッションデータを 1 つのビューに集約します。これにより、セキュリティ機能が意図どおりに動作しているかを簡単に検証できるようになり、ログを Microsoft Sentinel に転送して監視を拡張することもできます。

この包括的なビューにより、サイバー脅威に対して大きな優位性が得られ、迅速な調査を可能にして、ユーザー行動やネットワーク活動との相関関係をより明確に把握できるようになります。

Microsoft 社内における GSA の展開は順調に進んでいます。既に 158,000 以上の GSA クライアントおよび Microsoft 365 ユーザーが導入済みであり、次の段階では社内全体へのプライベート アクセスの拡大を行い、その後にインターネット アクセスのより広範な採用を進めます。初期のパイロットでは、使いやすさや独自のアクセス課題を解決する能力といった両面で好意的なフィードバックが寄せられており、大きな成果が示されています。

Microsoft は、Microsoft 365、インターネット、そしてプライベート接続にわたる、完全な ID ベースのセキュア アクセス ソリューションを提供することで、クラウドファースト時代におけるエンタープライズ アクセスの概念を再定義しています。その結果、接続性がシームレスであるだけでなく、安全性、適応性を備え、ユーザー ID とコンテキストに緊密に連動する未来が実現します。

GSA Private Access への移行を通じて得られた経験から、他の企業がリモート アクセスの最新化に向けた取り組みに活用できる、いくつかの重要なインサイトがあります:

• 最小権限アクセスの採用: 従業員が必要なリソースのみにアクセスできるようにするために、包括的なネットワークアクセスから脱却しましょう。
• 侵害されたアカウントによるリスクを低減: アクセス権限を分割して限定することによって、ID やデバイスの侵害による影響範囲を、最小限に抑えましょう。
• 信頼性を継続的に評価: アクセスを動的なものと捉え、ユーザーの役割、デバイスの健全性、ネットワーク状況の変化に対して、リアルタイムに適応しましょう。
• テレメトリを通じた可視性の向上: 異常を早期に検知し、セキュリティ判断を強化するために、詳細なアクティビティおよびトラフィックデータを活用しましょう。
• セキュリティとアクセス制御の統合: ID とコンテキストに応じてアクセスを調整し、強力な保護とシームレスなユーザー エクスペリエンスのバランスを実現しましょう。

Microsoft Entra Private Access の無料トライアルにサインアップしましょう。

• Global Secure Access について詳しく知る。
• Microsoft Entra Private Access について学ぶ。
• Microsoft Security Service Edge を試す。
• Microsoft Entra Private Access を確認する。
• Microsoft Global Secure Access Deployment Guide を読む。

• さらに詳しい情報をご希望ですか? こちらの記事へのリンクを添えてメールをお送りください。折り返しご連絡します。