Column

IDaaSとUEMがゼロトラストの第一歩にお勧めの理由

はじめに

近年、セキュリティの考え方「ゼロトラスト」が注目されています。しかし、ゼロトラストを構成する機能要素はさまざまあり、またこれらの組み合わせには統一解がないため、なにから手を付けてよいか悩まれている企業が多いことでしょう。今回は、そんなゼロトラスト導入の第一歩としてお勧めしたいIDaaSとUEMの機能と、その理由について説明いたします。

ゼロトラストの考え方

今までは、大事な情報もアクセスする人も、社内にあることを前提に、社内を安全に保つため外部との境界を守る境界防衛型のセキュリティ対策が行われていました。しかし昨今のクラウド利用やテレワークの増加で情報資産はクラウド上にも、テレワークで利用している端末上にも存在するようになり、社内のみを守っていればよい状況ではなくなってきています。
その中で提唱されるようになったゼロトラストとは「情報資産へのアクセス」「エンドポイント」がセキュリティの境界になるという考え方です。

ゼロトラストセキュリティが求められている理由とは(関連コラム)>

ゼロトラストの考え方

ゼロトラストでは、適切なユーザーが適切なエンドポイントから情報資産へアクセスすることを管理・制御することが重要です。これらの観点から、重要な働きをするのがIDaaS(Identity as a Service)とUEM(Unified Endpoint Management)です。以降は、それぞれの機能と初期段階での導入をお勧めする理由をご説明します。

適切なユーザーからのアクセスを管理するIDaaSをはじめに取り組むべき理由

IDaaSとは、アカウント統合認証基盤サービスです。主な機能としては、以下のようなものがあり、アカウントを管理し、情報資産へのアクセスする際の門番のような役割を担います。

■IDaaSの主な機能
・ADや他のID管理システムからアカウント情報を集約し統合管理する
・ID発行から抹消までのライフサイクル管理を適切に行えるため、退職者のIDが残らない
・SSO/多要素認証により認証を強制できる
 IDaaSの詳しい機能はこちら >

■IDaaSをはじめにやるべき理由
クラウドサービスの利用拡大や、後付けのセキュリティ対策の導入などで、アカウント管理は煩雑になる一方です。ゼロトラストの構成を実現していくにあたり、セキュリティ機能の変更が発生したり、利用するクラウドサービスが増えるため、利用アカウントが増える前に統一化を行わないと、手戻りの多発など不要な業務が発生する恐れがあります。また、アカウント管理の抜け漏れにより、新たなセキュリティホールを生んでしまう可能性があります。そのため、IDaaSのようなアカウント管理を一元的に行える機能を早い段階で導入しておくことは有効です。

適切なエンドポイントの管理ができるUEMをはじめに取り組むべき理由

UEMはエンドポイントの統合管理基盤サービスです。主な機能としては、以下のようなものがあり、特にインターネット経由で、社内外問わずどこのエンドポイントにも対応できるため、社内環境に限らずエンドポイントを管理することができます。

■UEMの主な機能
・エンドポイントのOSやアプリ、設定を統合管理し、エンドポイントを自動で「堅牢化」「企業端末」にする
・エンドポイントの配布時に、自動で企業端末にするゼロタッチデプロイ機能
 ゼロタッチデプロイ機能についてのコラムはこちら >
・エンドポイントの配布後でも、インターネット経由で設定やアプリの配布ができる
 UEMの詳しい機能はこちら >

■UEMをはじめにやるべき理由
社内外のエンドポイントに対して、後からの設定変更や、アプリの配布作業は大変な労力がかかります。ゼロトラストに取り組む際に、最初に一部の機能を取り入れ、徐々に機能や設定の追加・変更を行っていくことになる場合には、その反映に抜け漏れが生じれば、そこがセキュリティホールとなってしまいます。そのため早めの段階で、UEMによるエンドポイントの一元管理を整備し、機能追加や設定変更の抜け漏れをなくし効率良い運用を行うことをお勧めします。

適切なエンドポイントの管理ができるUEMとは

IDaaSとUEMを同時に最初にやることによる効果とは

IDaaSだけの管理の場合は、許可していない端末からアクセスされる懸念が残ります。利用を許可していない私物端末から業務利用のクラウドサービスへのアクセスが行われた場合、情報漏洩のリスクや、最新のセキュリティパッチが当てられていない端末に万一マルウェアが潜んでいた場合、その端末経由で社内環境に感染拡大してしまう恐れがあります。

あるいはUEMだけの管理の場合には、許可していないユーザーからアクセスされる懸念が残ります。業務利用の端末が、紛失や窃盗で他人の手元にわたった際に、アカウント管理が適切にできていなければ、自由に社内環境にアクセスできる状態になってしまいます。UEMの機能にリモートワイプがありますが、紛失に気づいてからリモートワイプを行うまでの時間にアクセスされてしまうと、情報漏洩やマルウェア感染の恐れがあります。

どちらかだけで管理する場合、上記の懸念が残るため、併せて整備していくことがお勧めです。

まとめ

ゼロトラストの検討を進めるにあたり、どの機能から導入すればよいかわからなくなっている場合には、IDaaSとUEMを用いて情報資産にアクセスする環境整備から始めることがお勧めです。

資料ダウンロード
お問い合わせ
メールマガジン登録