ゼロトラストで目指すセキュリティと利便性の両立 -
Microsoft×Box連携が支持される理由

SaaSアプリケーションにパスワードレスでサインオンを実現する仕組みとは？ ゼロトラストセキュリティの重要性が叫ばれる今、MicrosoftとBoxの連携から、SaaSセキュリティの今、今後を見直す。

新型コロナウイルス感染拡大に端を発し、「ゼロトラスト」、つまり“すべてを信頼しない”考え方に基づくセキュリティ対策の重要性が叫ばれている。ユーザーもデバイスもネットワークも信頼できないものと捉え、常にアクセスの妥当性を検証し、脅威を防ぐ概念だ。

これにMicrosoftが出したひとつの答えが、クラウド型ID基盤「Azure Active Directory（アジュール アクティブ ディレクトリ、以後Azure AD）」。世界最大のクラウドIDサービスであり、一日あたり300億回を超える認証要求を処理し、月間アクティブユーザーは3億人を超える。またAzure ADと連携するSaaSアプリケーションは数千に及ぶ。

Microsoftがパートナー企業と拡大するゼロトラストの世界では、何が起きているのだろうか。Azure AD連携で国内上位のBox Japanをゲストに招き、話を伺った。

【話者プロフィール】
佐藤沙理那氏
Microsoft Corporation Identity Division
Strategic alliance team Program Manager
2016年、日本マイクロソフト株式会社に入社。法人営業部にて営業業務を担当。現在は「Azure Active Directory」のパートナーアライアンスを行っている。

【話者プロフィール】
竹内 裕治氏
株式会社Box Japan
シニア プロダクトマーケティング マネジャー
米国ソフトウェアベンダーで日本向け製品マーケティング、製品管理を担当したのち、2019年株式会社Box Japanに入社。パートナーマーケティングを経て、現在プロダクトマーケティングとして製品の市場投入、メッセージング、価値訴求をリードしている。

テレワーク普及によるセキュリティ環境の変化

ーーまずはそれぞれのサービスをご紹介ください。

佐藤氏：
Azure ADは、Microsoftが提供しているクラウドのID基盤です。SSO機能を備えており、Microsoft のIDを介してさまざまなSaaSアプリケーションにログインできます。Microsoft 365やOffice 365を利用されている方はSSOを含む基本機能は無料で、利用契約がない場合もAzure ADだけを認証基盤として利用いただけます。

竹内氏：
Boxは単純なクラウドストレージではなく「コンテンツクラウド」です。コンテンツを業務の基盤と考え、コンテンツが分散してサイロ化する状況を集約することで改善し、効率的に活用できる機能を提供しています。

Boxのポジション / 提供：Box

Microsoftとは、Azure ADだけでなく、Teamsとの連携に2020年から取り組んでいます。Teamsにアップしたファイルを自動でBoxに格納したり、Teamsから直接Boxのファイルを編集したりできます。Teamsを利用したままアプリの切り替えなくBoxが利用でき、また逆にBox上からTeamsセッションを起動したり、相互に利便性を高めています。

ーーこの2年でゼロトラストの重要性が格段に増しました。在宅勤務拡大の影響が大きいと思うのですが、現場ではどのような変化が起きているのでしょうか。

佐藤氏：
ID管理の観点からは、3つの大きな流れがあると思っています。

1つ目はテレワークの拡大。2つ目はBYOD（私用端末の業務利用）です。スマートウォッチやIoT機器など新しいデバイスが登場し、企業の管理対象になる機器の種類が増えました。3つ目は、SaaS利用の著しい増加です。

働き方が大きく変化し、みなさんの危機意識も変わってきているのではないでしょうか。一つひとつのIDをしっかりと自社の認証基盤に連携させ検証する、ゼロトラストの環境を構築することが求められる時代になってきました。

自宅からはアクセスさせない、そんなルールを持っていた企業が、いざコロナ対策でテレワークにしたら仕事が進まなくなるなど、従来の考え方が通用しなくなる状況が生じています。

竹内氏：
Boxのお客様からも同様に、コンテンツへのアクセスに関する課題をよく聞きます。ただこれはファイルサーバー依存が強く、もともとコンテンツ管理の明確なルールや仕組みがなかったからではないかと思います。

PPAP^*1が度々問題になっていますが、ファイル共有のプロセスは全体の一部に過ぎません。コンテンツを作成する、検索する、保存する、最終的には破棄する、といった流れの考慮も必要です。ライフサイクルとして捉えて、文書の取り扱い規定にもきちんと対応できるかという視点ですね。これを意識し、整備していくとガバナンスを考え直すきっかけにもなると考えます。

^{※1 ファイルをメールに添付しパスワードを別送する手法。多用されているがセキュリティリスクが高く、危険性が指摘されている}

佐藤氏：
リスクかどうかを判断する“境界線”が変わりましたよね。

これまでは、執務スペースの中は安全だけどその外は安全じゃない、社内のLANは安全だけど外部ネットワークは危険といったように、内と外という境界線を引いてリスクを判断していました。ところが、その境界線が通用しなくなっています。

私も今は自宅で仕事をしていますが、実際、家から自社のリソースにアクセスすることそれ自体は危険ではありません。

ただ、アクセス元のデバイスが実はウイルスに感染しているとか、いち従業員が人事データなど権限のないファイルにアクセスできてしまった、というのはリスクです。企業は、仕事のやり方やルールを含め、管理に対する考え方を大きく変えなければいけません。

そこでゼロトラストです。しっかりと検証しながらアクセス可否をコントロールし、ユーザーを守ることが大事になってきます。

ーーセキュリティ環境の変化を受け、両製品で強化した機能はあるのでしょうか？

佐藤氏：
Azure ADでは「パスワードレス認証機能」を3月にリリースしました。顔や指紋などの生体認証、ワンタイムパスワード入力といったパスワードを使わない多要素認証で、認証方式では急速にスタンダードになってきている手法です。

攻撃が複雑化しているのでどれだけ複雑なパスワードでもすぐ破られますし、隣の人にパスワードを盗み見られてしまうなど、パスワード入力そのものがリスクになる時代です。

ゼロトラストの中でも認証は非常に大事な部分なので、そこをまずパスワードレスにしましょう、とお客様にお伝えしています。

竹内氏：
マルウェア等がコンテンツそのものを人質に取る時代、Boxではコンテンツセキュリティの「Box Shield」に力を入れています。脅威検知とスマートアクセスによる操作制御を備え、ヒューマンエラーによる事故すら防ぐ製品で、ユーザーは意識しなくてもシステムで事故を防げるガードレールのような仕組みです。

セキュリティ事故は内部犯行やうっかりミスが多いのです。退職者が重要データを持ち出したり、間違った人にデータを共有してしまったり。Box Shieldでは、間違った共有をしようとしてもできないよう、コンテンツを分類しシステムでガードをかけ保護しています。

ヒューマンエラーのパターン / 提供：Box

この仕組みは、Microsoft 365で提供しているデータ保護の仕組み「Microsoft Information Protection（MIP）」とも連携でき、より安心してコンテンツを守れます。Microsoftとはそういった仕組みを一緒にきれいに作れるのです。

Azure ADと連携するメリット

ーーAzure ADとSaaSアプリケーションを連携すると、セキュリティ上どのようなメリットが得られるのでしょうか。

佐藤氏：
Azure ADに「条件付きアクセス」という機能があります。部門や職位、デバイスといった条件をAzure ADでしっかりと評価したうえで、各アプリケーションへのアクセス権限を振り分けるものです。

特定のアプリケーションにアクセスさせてよいのか、アクセスさせるにしても認証を再度要求するのか、といった細かい設定ができます。これまでIT管理部門の人が一つひとつ判断していたものをAzure ADにお任せできるようなイメージです。現場の負担軽減にもつながります。

また、たとえば、東京にいるはずの私がシアトルからアクセスしていたら、明らかにおかしいと判断して即座にブロックする、クラウドならではのよさを備えています。

Azure AD条件付きアクセス機能イメージ / 提供：Microsoft

この条件付きアクセスが正しく機能するためには、企業が保有する資産、ユーザー、デバイス、アプリ、ファイル、データ、すべてのIDを認証基盤にもれなく連携していただく必要があります。Azure ADでは、Microsoft アカウントにログインした先のSaaSアプリケーションにも適用されるので、ゼロトラスト環境を構築していただく下支えとなるソリューションだと考えています。

竹内氏：
BoxはAzure ADとプロビジョニング連携をしているので、Azure ADで入退社や人事異動の際に行うユーザー、グループの変更がBoxのアカウントにも自動的に迅速に反映されます。SaaSアプリケーション提供側としては、個別に設定変更する手間がかからないし、二重のセキュリティ確保につながるので、心理的な安全性にも配慮できているのではないでしょうか。

佐藤氏：
Azure ADで連携しているSaaSは数千にのぼります。プロビジョニングをはじめ、連携機能はあらかじめしっかりと検証し、Azure マーケットプレイスで情報を公開しているので、安心してご利用いただけるかと思います。

ーーBox自体もゼロトラストの概念に沿ったセキュリティを実装されていますが、そのうえで、Azure ADと連携するメリットは何でしょうか。

竹内氏：
まずはAzure ADの強靭な認証基盤を使い、BoxへもSSOで楽にログインいただけることです。IT管理者にとってはIDをAzure ADから一括操作できるので便利です。

ID管理はあらゆるシステムの根幹だと考えていて、ここがいい加減だと適切な運用ができません。Microsoftを信頼しお任せできるからこそ、Boxは別のポイント、コンテンツに関してすべきことをやっていこうとしています。ID基盤がAzure ADでコンテンツ基盤がBox、そしてコミュニケーション基盤がTeamsというと分かりやすいかも知れませんね。

ID管理をバックエンドと考えると、コラボレーションのところがBoxだと捉えています。共有やコラボレーションがしにくい状況だと、どうしてもシャドーITが発生しがちで、またPPAPのような問題も起きてしまいます。

新しい働き方という環境を考えても、ID管理のきちんとしたベースのうえに我々のサービスを組み立て利用するとことを考えて、セキュリティ強度をあげながら、使いやすさと業務効率の両立を突き詰めていく。そのために両社の連携は重要だと思います。Azure ADに認証部分をお任せすることで、我々はエンドユーザーの利便性向上に注力できるので、よい連携ができています。

Boxは、Azure ADとの連携実績が国内でも上位であり、ユーザー様からしても組み合わせの重要さを認識いただいているのではないでしょうか。

新時代のセキュリティに求められるもの

ーー最後に、パートナーとして、両社がこれから目指すセキュリティの世界観をお聞かせください。

佐藤氏：
ゼロトラストというワードは以前からあり、みなさんも勉強や準備をされてきたと思います。特にコロナ禍になってからは、自社にどう取り入れていくか、Boxや弊社のセミナー、イベントなどで学ばれてきたのではないでしょうか。

そうはいっても、選定、準備、導入、運用とトータルで完成させるのに3年かかってしまうような状況では、今のセキュリティの複雑さやスピード感の中では後手後手の対策になってしまいます。そこでMicrosoftは、「ビルトインセキュリティ」を推奨しています。

私たちは、みなさまが普段使われているサービスがベストプラクティスのセキュリティをしっかり備えている状態が理想的だと考えています。あらかじめ必要なセキュリティが実装された状態でサービスを導入し、働く環境、ポリシー、業務課題に応じて使いこなしていく。これが重要になっていくと考えています。

Boxのように、自社製品の環境をしっかりと構築しながらもセキュリティはある程度お任せいただき、共にユーザー企業様の事業成長に寄与できる、そんなパートナーシップを拡大していきたいと思っています。

竹内氏：
業務の中心にはコンテンツがあります。ゼロトラスト環境の中、Boxだけでもコンテンツを保護し脅威を排除した運用ができる状況を作る。そのうえで、パートナーシップを活用して利便性、生産性を向上しつつさらにセキュリティを上げる。それにより、ユーザーはよりいっそう業務に集中でき、成果があがると思っています。

ニューノーマルでもあり、効果を最大化するためにはやはり業務はクラウドで展開していくべきだと思います。ためらいなくすべてをクラウドにシフトして、より効果あるものにしていきたい。その点ではMicrosoftと同じ方向を向いていると思いますし、これからも協業していくポイントがもっと出てくると期待しています。

日常のあらゆるところがリスクをはらむ時代に

セキュリティと利便性の両立は一見困難に思えるものだ。セキュリティを強固にすると経由ステップが増え、手間がかかる。それを避けたいがため、現場判断でリスクを無視した方法を選んでしまう。読者のみなさんも身に覚えがあるのではないだろうか。

このジレンマを解消する好例が、MicrosoftとBoxの取り組みといえるだろう。

いくつものSaaSを組み合わせた運用が当たり前となったいま、各サービスの強固なセキュリティだけではいずれ綻びが生じかねない。社内の業務全般を見渡したセキュリティ対策として、今一度、ゼロトラストを考え直したい。