AWSサポートとは?サポート範囲や問い合わせ方法について徹底解説
本コラムでは、AWSのサポートプランの概要や使い方、費用をかけずに技術面の相談ができるサービスの紹介などについて、徹底解説いたします。
COLUMN
NTT東日本のゼロトラスト環境で端末を守ってみた
こんにちは!NTT東日本 セキュリティエンジニアのコーダイです。
ゼロトラストセキュリティコラムの9回目になります。
過去のコラムをまだご覧になっていない方は是非ご覧ください。
第1弾コラム:「NTT東日本で実際に導入しているゼロトラストセキュリティを徹底解説!」
第2弾コラム:「NTT東日本におけるゼロトラストセキュリティの設計と導入」
第3弾コラム:「NTT東日本でゼロトラストセキュリティの運用・監視をやってみた」
第4弾コラム:「NTT東日本でEntra ID・Intuneを活用してみた」
第5弾コラム:「NTT東日本でEntra ID・Intuneを活用してみた(モバイル編)」
第6弾コラム:「NTT東日本でMDEを活用してみた」
第7弾コラム:「多要素認証だけで十分?NTT東日本のゼロトラスト認証・認可を徹底解説」
第8弾コラム:「NTT東日本でメール制御・監視やってみた」
本コラムでは、リモートワークなど場所を問わない働き方では重要となる端末堅牢化についてスポットを当ててNTT東日本のゼロトラストセキュリティの事例を元にご紹介いたします。
最後までお付き合いいただけますと幸いです。
1. 端末堅牢化とその分類
1-1. 端末堅牢化とは
端末堅牢化とは、文字通り端末を強く頑丈にすることです。セキュリティの観点では、サイバー攻撃や情報漏えいにつながる不要な設定をなくし、権限等をあらかじめ最小化し、セキュリティ機能を強制的に有効化すること等を行い、攻撃者の侵入や内部不正者の情報持ち出し等の機会を制限することを意味します。
なお、端末堅牢化はハードニングと呼ばれることもあります。
端末堅牢化を行うことで情報漏えい対策を強固にすることが可能です。しかし、あまりに強固な設定を行うと、通常利用に影響を及ぼすことがあります。例えば、下記のようなケースが考えられます。
- USBの利用
USBはマウス、カメラ等多種多様なデバイスの接続に利用されています。
一方、USBメモリなどの外部記録媒体は情報漏えい手段としてよく利用され、時には大量の情報漏えい事件となることもあります。だからと言ってUSBの利用自体を禁止すると、大きく利便性を下げることになります。
- Bluetoothの利用
Bluetoothは情報の転送に利用される場合もあり情報漏えい手段となりえます。一方、無線キーボード・マウス・ヘッドセットなどでも利用されており、Bluetoothの利用を禁止するとこれらのデバイスが利用できなくなります。
端末堅牢化は、セキュリティと利便性のバランスをとることが大切です。
1-2. 端末堅牢化の分類
端末堅牢化の観点は3つに分類されます。
1つ目は入口対策、2つ目は端末内部の対策、3つ目は出口対策です。
端末堅牢化の分類
(1) 入口対策
端末への不正アクセスを防ぐための対策です。サイバー攻撃による脅威はもちろん、離席中の覗き見など物理的な手段も含めて対策を行います。
(2) 端末内部の対策
仮に、端末に不正アクセスされてしまった場合に、その影響を最小限に抑える対策です。あらかじめ端末からアクセスできる領域を必要最低限にする、不正な挙動を監視・ブロックするなどの対策を行います。
(3) 出口対策
情報漏えいを防ぐための対策です。情報漏えいとなりうる設定や機能を制限することで情報の不正な持ち出しを防ぎます。
2. ゼロトラスト移行前の端末堅牢化の状況と課題
NTT東日本のゼロトラストセキュリティ環境の端末堅牢化の話に移る前に、以前利用していた社内環境の状況についてご紹介いたします。
2-1. ゼロトラスト移行前の端末堅牢化の状況
NTT東日本の社内環境がゼロトラストセキュリティに移行する以前は、仮想デスクトップ環境によるシンクライアント端末の利用が主体となっていました。
シンクライアントとは、端末には必要最低限の機能のみを持たせアプリの実行、データの処理などはサーバ側で行う仕組みのことです。
NTT東日本では、オンプレミスのサーバ側で仮想デスクトップ環境を持ち、社員はシンクライアント端末に転送されるデスクトップ画面を操作するという方式を採用していました。
シンクライアント環境の構成
シンクライアントを利用する環境では下記の端末堅牢化対策を実施していました。
- 仮想デスクトップ環境のマシンイメージはサーバ側で一括管理し、セキュリティの確保されたOSバージョンを利用(入口対策)
- 社員の各仮想デスクトップマシンに対してウイルス対策ソフト・EDRを導入(入口・端末内部の対策)
- ADサーバから情報漏えい対策やセキュリティを向上する設定をGPOで配信(入口・出口対策)
- 会社情報はサーバ側の仮想デスクトップ環境に保存し、端末側には情報を格納させないことで情報持ち出しを防止(出口対策)
2-2. ゼロトラスト移行前の端末堅牢化の課題
2-1.節で記載した通り、シンクライアントを利用した環境でも端末堅牢化は実施していましたが、課題がありました。
仮想デスクトップ環境における管理者権限の一般利用者への付与
管理者権限とは、端末のシステム設定・アプリのインストールなど、なんでもできる権限を意味します。最小特権の原則に従えば、原則一般利用者には管理者権限を付与することは望ましくありません。しかし、業務で利用するアプリには管理者権限が必要なものも少なくなく、個別の要望に応じるための対応や業務アプリが利用できないことに対する社員の不満を考えると管理者権限を付与せざるを得ませんでした。また、各部署の業務アプリ利用状況を調査し、ケースごとにマシンイメージ内にアプリを適用しておくことも可能ですが、個別のケースに応じてマシンイメージ数が増えることになり、管理の負担からこちらの採用は見送られました。
3. NTT東日本ゼロトラストセキュリティの端末堅牢化実装と運用
ここからはNTT東日本で現在実際に利用しているゼロトラストセキュリティに話を戻し、その実装と運用についてご紹介いたします。
3-1. NTT東日本ゼロトラストセキュリティの端末利用
2020年に発生したコロナ渦をきっかけとして、NTT東日本ではリモートワークをはじめ、いつでもどこからでも快適に働ける環境(リモートワールド)を作り出すという方針を定めました。
その中でシンクライアント端末やオンプレミスの環境からの脱却を行うという具体的対応が示され、社員1人1人にノートPCが貸与され、利用することになりました。
3-2. NTT東日本ゼロトラストセキュリティの端末堅牢化実装
端末の利用方法に大きな変更が発生したため、シンクライアント環境で実装していた端末堅牢化設定をそのままゼロトラストセキュリティ環境の端末に実装はできません。そこで、双方の方式の差異を考慮しつつゼロトラストセキュリティ環境の端末には下図の端末堅牢化を実装することとしました。
ゼロトラストセキュリティ環境の端末堅牢化実施事項
実装にはMicrosoft Intune(以下、Intune)を利用しました。Intuneは端末管理を行えるクラウド製品です。Intuneでは端末に対してさまざまな設定を行うことが可能です。ここでは端末堅牢化で使用した機能についてご説明いたします。
端末堅牢化で使用したIntune機能
| 機能名 | 説明 |
|---|---|
| Autopilot | 端末の初期セットアップを自動化する機能です。 通常、初期セットアップ時に使用したユーザーには、端末の管理者権限が付与されますが、Autopilotの設定により管理者権限を付与することなく初期セットアップが可能です。これにより、社員の方には、標準ユーザーの権限を付与することに変更しています。 |
| 構成プロファイル | 端末に設定を配信する機能です。 端末パスワード要件、ファイアーウォール設定などセキュリティ機能を強制的に有効化させる設定を配信しています。 |
| アプリ配信 | 端末にアプリケーションを配信する機能です。 未許可クラウドサービスへのアップロードをブロックするため、SWG(Secure Web Gateway)というクラウドプロキシのクライアントソフトを強制インストールさせています。 |
| Autopatch | 端末のOS更新を自動で実施・管理する機能です。 |
端末堅牢化の内容については、シンクライアント環境で実施していた対策を引き継ぎつつも下記を追加しています。
- 端末の盗難・紛失時に備えた端末データの暗号化
- 管理者権限を無効化(必要時に一時的に管理者権限を付与)
- 端末自体にデータが格納されるようになったことを考慮して、USBやBluetoothなど情報持ち出しの出口となるような機能を制限
上記のいくつかの内容については、もう少し詳しく説明いたします。
3-2-1. Bluetoothの利用制限
Bluetoothはヘッドセット、マウス、ファイル転送など各種利用用途に応じたプロファイル・サービスがUUID(Universal Unique IDentifier)として定義されています。Intuneでは構成プロファイルという機能で許可するBluetoothサービスを指定することが可能です。弊社ではこれを利用して下記のサービスのみを許可しています。
- オーディオヘッドセット、スピーカー
- キーボードとマウス
3-2-2. USB利用の制限
弊社では情報漏えいにつながる外部記録媒体とプリンターの利用についてIntuneの構成プロファイルを利用して制限を実施しています。
外部記録媒体については、CD・DVD・フロッピー・テープ・WPD(Windowsポータブルデバイス、スマートフォン等)などの書き込みのみを制限しています。
プリンターについてはもう少し込み入った制御を行っています。
プリンターは利用する前提としてドライバーが必要です。Windowsでは機器の種類に応じてドライバークラスが定義されており、このクラスを指定してドライバーのインストール制限を実施しています。プリンターを利用する準備の段階で規制を実施しているわけです。
3-2-3. 管理者権限付与の最小化
シンクライアント環境では実現に至らなかった管理者権限の無効化については、管理者権限が必要なアプリを配信する仕組み(ポータルサイト)の実装と管理者権限を一時的に付与する運用を組み合わせることでそのデメリットを解消しました。
最小権限の原則に基づく管理者権限の付与運用
管理者権限が必要なアプリを配信する仕組みは、Intuneのアプリ配信という機能を使用しています。Intune側であらかじめ配信するアプリや対象ユーザーを指定することで、利用者が専用サイト(ポータルサイト)から自由にアプリをインストールすることが可能です。
一時的な管理者権限付与については、認証及び認可機能を担うMicrosoft Entraにて実装しています。具体的には、オペレータがユーザーに対して端末の管理者権限を付与し、一定期間経過後に自動的に権限を削除する設定とし、これを実現しました。
詳細については、下記コラムでご説明しておりますのでご確認ください。
第7弾コラム:「多要素認証だけで十分?NTT東日本のゼロトラスト認証・認可を徹底解説」
4. まとめ
今回のコラムではNTT東日本ゼロトラストセキュリティの端末堅牢化についてご紹介いたしました。
オンプレミスのシステムを利用していた際の課題を解決しつつ、リモートワークなどの新しい働き方を実現する端末堅牢化を実現できたことがご理解いただけたかと思います。
NTT東日本では上記のような実案件に基づくノウハウを生かした制御ポリシー設計の支援もご提供しております。気になる方は是非ともご相談ください。
これからゼロトラストセキュリティの導入を考えているが、自分たちではやりきれない、何をしたらいいかわからないという皆さま、是非、NTT東日本へご相談ください!私たちのノウハウで皆さまの新しい働き方を全力サポートいたします!
次回は、Microsoft Defender for Cloud Apps、Zscaler Internet Accessを活用したクラウドアプリ制御についてのコラムを予定しております。
クラウドアプリ利用に関するセキュリティ対策に興味のある方は、ぜひご覧いただきたいと思います。
今後の掲載予定コラム
- 経緯、要求定義について
- 設計、導入について
- 運用、監視について
- EntraID・Intune運用①
- EntraID・Intune運用②
- MDE運用
- アカウント認証・認可 (IDaaS)
- メール制御監視 前回
- 端末の堅牢化(ハードニング) 今回
- CASB運用 次回
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。