クラウドがよく分かる！お役立ちコラム

Azureでのゼロトラストとは？仕組み・6つの構成要素・段階的導入手順を解説

約13分で読めます

• #Microsoft Entra ID
• #Microsoft Intune
• #Microsoft Sentinel

Microsoft Azureとは

Microsoft Azureとは、Microsoftが提供するクラウドコンピューティングプラットフォームです。2010年にサービスを開始し、現在は仮想マシンやストレージといったインフラ基盤からAI・データ分析・セキュリティまで200以上の製品とサービスを提供しています。

70を超えるリージョンに400以上の高度なセキュリティを備えたデータセンターをグローバルに展開しており、スタートアップから大企業・官公庁まで幅広い組織が活用しています。サービスの提供形態はIaaS（インフラストラクチャ）・PaaS（プラットフォーム）・SaaSの3層で構成されています。

• IaaS：仮想マシンやネットワーク
• PaaS：アプリケーション開発基盤
• SaaS：Microsoft 365などの業務アプリ

これらの基盤の上に、セキュリティサービス群が統合されており、ゼロトラストの実装もAzure上で完結できます。

ゼロトラストとは

近年、クラウド活用やリモートワークの広がりによって、従来の境界型セキュリティでは対応しきれない脅威が増加しています。Microsoftはこの課題に対応するセキュリティ思想としてゼロトラストをAzureの中核戦略として採用し、企業への導入を積極的に推進しています。

ゼロトラストの定義

ゼロトラストとは、すべてのアクセスを信頼しない（Never Trust, Always Verify）を原則とするセキュリティモデルです。

場所やデバイス、ユーザーを問わず、すべてのアクセスリクエストを毎回検証します。2020年に米国国立標準技術研究所（NIST）がSP 800-207として公式定義し、現在では政府機関や大企業を中心に広く採用されています。

なぜ今ゼロトラストが必要か

テレワークの普及により、社員は社内外を問わずさまざまな端末や場所からシステムにアクセスします。その結果、社内ネットワークを境界とした従来の防御モデルは実態に合わなくなりました。

警察庁の報告では、ランサムウェア感染経路の約6割がVPN機器経由とされており、VPNさえあれば安全という前提はすでに崩れています。加えて、正規の認証情報を使った侵害は境界型では検知が難しく、被害が内部に広がりやすい点も課題です。

MicrosoftのゼロトラストアーキテクチャとAzureの役割

MicrosoftはAzureをゼロトラスト実現のための統合プラットフォームとして設計しています。

IDやデバイス、ネットワーク、アプリ、データ、インフラという6つの領域を網羅するサービス群を提供しており、これらが連携することで包括的なゼロトラスト環境を構築できます。

従来の境界型セキュリティとの違い——VPNだけでは守れない理由

ゼロトラストを正しく理解するには、従来の境界型セキュリティと何が異なるのかを把握することが重要です。ここでは2つのアプローチを比較し、なぜVPNやファイアウォールだけでは不十分なのかを解説します。

境界型セキュリティとの比較

ゼロトラストの理解を深めるために、従来の境界型セキュリティとの比較をしてみましょう。

比較項目	境界型セキュリティ	Azureゼロトラスト
前提	社内＝安全、社外＝危険	すべてのアクセスを疑う
アクセス制御	境界（VPN・FW）で一括判断	アクセスごとに都度検証
テレワーク対応	VPN集中で遅延・障害リスク	クラウドネイティブで分散
内部不正対応	検知が困難	条件付きアクセスで検知・遮断
ログ可視性	社内トラフィック中心	全アクセスを集中管理

VPNとファイアウォールだけでは不十分な理由

境界型セキュリティの根本的な問題は、一度境界を越えたアクセスを信頼し続ける点にあります。

VPNに接続したデバイスが侵害されていても、それを検知する仕組みがありません。攻撃者は正規ユーザーのIDやデバイスを悪用して社内を横断し、機密データに到達します。これをラテラルムーブメントと呼びます。

ゼロトラストはすべてのアクセスを検証することで、この横展開による被害拡大を防ぎます。

Azureゼロトラストの6つの構成要素

MicrosoftのゼロトラストフレームワークはIDやデバイスなど6つの領域で構成されており、それぞれに対応するAzureサービスを組み合わせることで包括的なゼロトラスト環境を実現できます。

各領域の役割と対応サービスを表で整理しました。

領域	役割	対応するAzureサービス
ID	ユーザーやサービスを厳格に認証	Microsoft Entra ID
デバイス	アクセス端末の状態を評価	Microsoft Intune
ネットワーク	トラフィックを暗号化してセグメント化	Azure Firewall、Azure VNet
アプリケーション	利用状況を把握して制御	Defender for Cloud Apps
データ	機密データを分類して保護	Microsoft Purview
インフラと可視性	脅威を検出して対応	Microsoft Sentinel

次の項からは、とくに重要な3つの領域（ID・デバイス・脅威検知）について解説します。

ID・アクセス管理——Microsoft Entra IDでゼロトラストの入口を守る

ゼロトラストの実装において、IDの保護が最初の取り組みとして推奨されています。

Verizon 2023年データ侵害調査レポートによると、セキュリティ侵害の74%が認証情報の盗用やフィッシングなど人的要因に起因しており、ここを強化するだけで多くの脅威を防げます。

Microsoft Entra IDはAzureにおけるID管理の中核サービスです。

条件付きアクセスポリシーとは

条件付きアクセスとは、ユーザーやデバイス、場所、リスクレベルを組み合わせてアクセスの可否を動的に判定する仕組みです。

たとえば、海外IPアドレスからのアクセスには多要素認証を要求する、コンプライアンスに未準拠のデバイスからのアクセスはブロックするといったポリシーを設定できます。

従来のVPNが接続の有無だけで判断するのに対し、条件付きアクセスはリクエストごとにリスクを評価して柔軟に制御します。

多要素認証（MFA）の必須化

パスワード単独の認証はフィッシング攻撃で突破されます。MFAを全ユーザーに適用すれば、パスワードが漏洩しても不正ログインを防げます。

実際にMicrosoftの分析では、MFAを有効にするだけでアカウント侵害リスクを99.9%削減できるとのことです。

Microsoft Authenticatorアプリを使ったプッシュ通知認証のほか、FIDOセキュリティキーを使ったパスワードレス認証も選択できます。

特権アクセス管理（PIM）

PIM（Privileged Identity Management）は、管理者権限を常時付与するのではなく、必要なときだけ一時的に付与するJust In Timeアクセスを実現する機能です。

権限の昇格時には承認フローが走り、理由の記録と監査ログが自動生成されます。万が一管理者アカウントが侵害されても、常時付与された強力な権限が悪用されるリスクを最小化する設計です。

Microsoft Entra IDについては、以下の記事で詳しく解説しております。

Microsoft Entra IDとは？企業のシステムや情報を守るセキュリティ管理サービスを解説

デバイス・エンドポイント管理——Microsoft Intuneでデバイスの信頼性を確認する

ゼロトラストでは、アクセスを要求するデバイスの状態も認証の判断材料になります。OSのバージョンが古い、暗号化されていない、ウイルス対策が無効なデバイスからのアクセスはリスクが高いためです。

Microsoft Intuneを使ったデバイス管理のポイントを解説します。

デバイスコンプライアンスポリシー

Intuneでは、デバイスが満たすべき条件としてOSバージョンやディスク暗号化の有効化、ウイルス対策ソフトの状態などをコンプライアンスポリシーとして定義できます。

このポリシーに準拠していないデバイスは非準拠と判定され、Entra IDの条件付きアクセスと連携してアクセスを自動的にブロックします。

IT担当者が個別に確認しなくても、リアルタイムでデバイスの状態を評価できます。

BYOD（個人端末）のゼロトラスト対応

社員の私物端末（BYOD）をMDMで完全管理することは、プライバシーの観点から難しいケースがあります。

IntuneのMAM（モバイルアプリケーション管理）を使えば、デバイス全体を管理しなくても業務アプリとデータだけを保護できます。

たとえばOutlookやTeamsのアプリに対して、データのコピーや保存先を制限することで、端末を管理せずに企業データを守ることが可能です。

Microsoft Intuneについては、こちらの記事で詳しく解説しております。

ビジネス向けのデバイス管理サービス「Microsoft Intune」の機能やメリットを解説

脅威の検知と対応——Microsoft SentinelとDefender for Cloud

ゼロトラストは信頼しないだけでなく、継続的に監視するという考え方が前提にあります。侵害を完全には防ぎきれないという前提のもと、いかに早く検知して被害を最小化するかが重要です。

Microsoft SentinelとDefender for Cloudを使った監視体制の設計を解説します。

Microsoft Sentinel（SIEM）による統合監視

Microsoft Sentinelは、Azureネイティブのクラウド型SIEMおよびSOARサービスです。AzureやMicrosoft 365だけでなく、AWSやGCP、サードパーティのセキュリティツールのログを一元収集して分析できます。

AIと機械学習を使った異常検知で、従来のルールベースでは見逃していた攻撃の兆候を早期に可視化することが可能です。

インシデントが検知されたときに自動で対応するPlaybook（自動化シナリオ）を事前に設定すれば、セキュリティチームへの通知やアカウントの一時停止といった対応を即座に実行できます。

Defender for Cloudによるクラウド環境の保護

Defender for Cloudは、AzureやAWSとGCPを含むマルチクラウド環境のセキュリティ状態を一元的に可視化するサービスです。セキュアスコアという数値でセキュリティの全体的な強度を評価し、優先的に対処すべき設定ミスや脆弱性を提示します。

仮想マシンやコンテナ、SQLデータベースといったIaaSワークロードへの脅威保護機能も提供しており、実行中のワークロードに対する攻撃を検知してアラートを発出します。

Microsoft Defender for Cloudについては、以下記事で詳しく解説しております。

Microsoft Defender for Cloudとは？脅威から保護するセキュリティ統合サービスの特徴を解説

Azureゼロトラストの導入手順

ゼロトラストの全体像を理解したうえで、多くの担当者が悩むのが着手する順番ではないでしょうか。

全機能を一括で導入しようとすると、設計の複雑さと社内調整コストで頓挫するケースが少なくありません。

Microsoftが提唱するRaMP（Rapid Modernization Plan）をもとに、3つのステップで段階的に進める実装計画を紹介します。

STEP1（0〜30日）：ID保護の強化

最初に着手すべきはID保護です。前述のとおり侵害の多くはIDを起点としており、ここを固めることが最もROIの高い施策です。具体的な対応は次の3点です。

• Entra IDのMFAを全ユーザーに適用
• 管理者アカウントにPIMを設定し、Just In Timeアクセスを有効化
• 条件付きアクセスのベースラインポリシー（海外IPへのMFA要求やレガシー認証のブロックなど）を設定

これらは設定変更だけで対応できるため、追加のインフラ投資なしに実施できます。

STEP2（30〜90日）：デバイスとネットワークの制御

IDの保護が整ったら、アクセスするデバイスとネットワークのセキュリティを強化します。

IntuneでデバイスコンプライアンスポリシーとEntra IDの条件付きアクセスを連携させ、非準拠デバイスからのアクセスを自動でブロックする仕組みを構築します。

並行してAzure FirewallとVNetのセグメンテーション設計を見直し、不必要なアクセス経路を閉じます。

Defender for Cloudの有効化もこのフェーズで対応することで、クラウドワークロードの保護状態をスコアで把握できます。

STEP3（90日以降）：継続的な監視と自動化

最終ステップでは、侵害を前提とした監視と対応の自動化を整えます。

Microsoft Sentinelを導入し、既存のログソース（Entra IDのサインインログやDefender for Cloudのアラートなど）を接続することで、インシデントの検知と対応を一元化できます。

Playbookを設定しておけば、アラート発出から対応までの時間を大幅に短縮できます。

セキュアスコアを月次で計測し、改善すべき設定を優先順位付けするサイクルを確立することで、ゼロトラストの成熟度を継続的に高められます。