ゼロトラストセキュリティでは、「誰が」アクセスしているかだけでなく、「何から」アクセスしているかも重要な検証ポイントです。正規のユーザーであっても、マルウェアに感染したデバイスや、セキュリティパッチが適用されていないデバイスからのアクセスは、組織に重大なリスクをもたらします。
本記事では、ゼロトラストにおけるデバイス信頼性の確立について以下の内容を解説します。
- デバイス信頼性評価の考え方とゼロトラストにおける位置づけ
- MDM(Mobile Device Management)とUEM(Unified Endpoint Management)の役割
- デバイス登録とコンプライアンスチェックの仕組み
- BYOD(Bring Your Own Device)環境でのセキュリティ対策
- EDR(Endpoint Detection and Response)とXDR(Extended Detection and Response)による脅威検知
この記事を読むことで、デバイス信頼性の重要性を理解し、エンドポイント管理の基本設計ができるようになります。
前提知識
本記事を理解するために、以下の知識があることを前提としています。
- ゼロトラストの基本原則を把握している
- 条件付きアクセスの概念を理解している
- 基本的なネットワークセキュリティの知識がある
ゼロトラストの基本原則についてはゼロトラストセキュリティ入門 - 基本原則と7つの柱を理解するを、条件付きアクセスについては条件付きアクセスポリシーの設計と実装を先に読むことをお勧めします。
期待される学習成果
本記事を読み終えると、以下のことができるようになります。
- デバイス信頼性がゼロトラストにおいて重要な理由を説明できる
- MDMとUEMの違いと役割を理解できる
- デバイスコンプライアンスポリシーの設計指針を策定できる
- BYOD環境でのセキュリティ対策を検討できる
- EDRとXDRの違いと脅威検知の仕組みを理解できる
なぜデバイス信頼性が重要なのか
ゼロトラストの7つの柱の中で、デバイスはアイデンティティに次いで重要な検証ポイントです。従来の境界型セキュリティでは、社内ネットワークに接続されたデバイスは暗黙的に信頼されていました。しかし、現代のIT環境では、この前提が成り立ちません。
デバイス起点の脅威
デバイスを起点とした脅威は多岐にわたります。
flowchart TB
subgraph threats["デバイス起点の脅威"]
A["マルウェア感染<br/>エンドポイントへの侵入"]
B["脆弱性の悪用<br/>未パッチのOS/アプリ"]
C["設定不備<br/>暗号化無効・弱いパスワード"]
D["紛失・盗難<br/>物理的なデバイス喪失"]
E["不正デバイス<br/>シャドーITの接続"]
end
subgraph impact["組織への影響"]
F["データ漏洩"]
G["ランサムウェア被害"]
H["横展開攻撃"]
I["コンプライアンス違反"]
end
A --> F
A --> G
B --> H
C --> F
D --> F
E --> H
E --> I特に注目すべきは、正規ユーザーの認証情報が窃取された場合、攻撃者は「正規ユーザーとして」アクセスを試みます。このとき、アクセス元のデバイスの状態を検証することで、不正アクセスを検知できる可能性が高まります。
ゼロトラストにおけるデバイス検証の位置づけ
ゼロトラストでは、すべてのアクセス要求に対して「デバイスは信頼できるか」を継続的に検証します。
flowchart LR
subgraph request["アクセス要求"]
User["ユーザー"]
Device["デバイス"]
Network["ネットワーク"]
end
subgraph pdp["ポリシー決定ポイント"]
IdVerify["アイデンティティ検証"]
DevVerify["デバイス検証"]
CtxVerify["コンテキスト検証"]
end
subgraph decision["アクセス判断"]
Allow["許可"]
Deny["拒否"]
Limited["制限付き許可"]
end
User --> IdVerify
Device --> DevVerify
Network --> CtxVerify
IdVerify --> decision
DevVerify --> decision
CtxVerify --> decisionデバイス検証では、以下の観点から信頼性を評価します。
| 検証項目 | 評価内容 | 例 |
|---|---|---|
| デバイス登録状態 | 組織で管理されているか | MDM登録済み、ドメイン参加済み |
| コンプライアンス | セキュリティポリシーに準拠しているか | OSバージョン、暗号化、パスワードポリシー |
| 健全性 | マルウェアに感染していないか | EDRによる脅威スコア |
| 構成 | セキュアな設定が適用されているか | ファイアウォール有効、セキュアブート |
MDMとUEMによるデバイス管理
デバイス信頼性を確立するためには、組織がデバイスを適切に管理する仕組みが必要です。この役割を担うのがMDMとUEMです。
MDM(Mobile Device Management)とは
MDMは、モバイルデバイス(スマートフォン、タブレット)を組織が一元管理するためのソリューションです。主に以下の機能を提供します。
- デバイスの登録と棚卸し
- セキュリティポリシーの配布と適用
- アプリケーションの配布と管理
- リモートワイプ(遠隔データ消去)
- 位置情報の追跡
flowchart TB
subgraph org["組織"]
Admin["IT管理者"]
MDMServer["MDMサーバー"]
Policy["セキュリティポリシー"]
end
subgraph devices["管理対象デバイス"]
iOS["iPhone/iPad"]
Android["Androidデバイス"]
end
Admin --> MDMServer
Policy --> MDMServer
MDMServer -->|"ポリシー配布<br/>アプリ配布<br/>構成プロファイル"| iOS
MDMServer -->|"ポリシー配布<br/>アプリ配布<br/>構成プロファイル"| Android
iOS -->|"コンプライアンス状態<br/>デバイス情報"| MDMServer
Android -->|"コンプライアンス状態<br/>デバイス情報"| MDMServerUEM(Unified Endpoint Management)とは
UEMは、MDMの概念を拡張し、モバイルデバイスだけでなく、PC、Mac、さらにはIoTデバイスまで含めたすべてのエンドポイントを統合管理するソリューションです。
Microsoft Intuneは代表的なUEMソリューションであり、以下のような機能を提供します。
ユーザーとデバイスの管理
- Android、iOS/iPadOS、Linux、macOS、Windowsデバイスの管理
- 組織所有デバイスと個人所有デバイス(BYOD)の両方に対応
- デバイス登録とコンプライアンスチェック
アプリケーション管理
- アプリの展開、更新、削除
- Microsoft 365アプリの配布
- Win32アプリとLOB(Line of Business)アプリの管理
- アプリ保護ポリシーによるデータ保護
ポリシーの自動展開
- セキュリティポリシー、デバイス構成、コンプライアンスポリシーの作成
- 条件付きアクセスとの連携
- ユーザーグループ・デバイスグループへの自動適用
脅威防御との統合
- Microsoft Defender for Endpointとの統合
- サードパーティMTD(Mobile Threat Defense)との連携
- リアルタイムのリスク分析と自動修復
MDMとUEMの使い分け
MDMとUEMは排他的な関係ではなく、UEMはMDMの上位概念として捉えることができます。
| 観点 | MDM | UEM |
|---|---|---|
| 管理対象 | モバイルデバイス中心 | すべてのエンドポイント |
| 適用シーン | モバイルワーカー対応 | 全社統合管理 |
| 機能範囲 | デバイス管理に特化 | デバイス+アプリ+ID連携 |
| 代表製品 | Jamf(Apple特化) | Microsoft Intune、VMware Workspace ONE |
現代のゼロトラスト環境では、UEMを採用し、すべてのエンドポイントを統一的なポリシーで管理することが推奨されます。
デバイス登録とコンプライアンスチェック
UEMを活用したデバイス信頼性の確立において、中核となるのがデバイス登録とコンプライアンスチェックです。
デバイス登録の方式
組織がデバイスを管理下に置く方法は、デバイスの所有形態によって異なります。
flowchart TB
subgraph corporate["組織所有デバイス"]
AutoPilot["Windows Autopilot<br/>ゼロタッチ展開"]
DEP["Apple DEP/ABM<br/>自動登録"]
AndroidZT["Android Zero-touch<br/>自動登録"]
end
subgraph personal["個人所有デバイス(BYOD)"]
UserEnroll["ユーザー登録<br/>Company Portal経由"]
MAM["MAMのみ<br/>デバイス登録なし"]
end
subgraph result["管理レベル"]
Full["フルデバイス管理<br/>MDM"]
App["アプリ管理のみ<br/>MAM"]
end
AutoPilot --> Full
DEP --> Full
AndroidZT --> Full
UserEnroll --> Full
MAM --> App組織所有デバイスの登録
組織が購入・支給するデバイスは、ゼロタッチ展開(Zero-touch Deployment)により、ユーザーの手を介さずに自動的にUEMに登録されます。
- Windows Autopilot: 新しいWindowsデバイスを開封してインターネットに接続するだけで、自動的にMicrosoft Entra IDに参加し、Intuneに登録されます
- Apple DEP/ABM: Apple Business Managerと連携し、iPhoneやMacを自動登録します
- Android Zero-touch: Android Enterprise対応デバイスを自動登録します
個人所有デバイス(BYOD)の登録
従業員が私物デバイスを業務に使用する場合、以下の選択肢があります。
- デバイス登録(MDM): Company Portalアプリ経由でデバイスを登録し、組織のポリシーを適用
- アプリ保護のみ(MAM): デバイス登録なしで、業務アプリ内のデータのみを保護
コンプライアンスポリシーの設計
デバイスが組織のセキュリティ要件を満たしているかを評価するのがコンプライアンスポリシーです。以下は、一般的なコンプライアンス要件の例です。
Windowsデバイスのコンプライアンス要件
|
|
iOS/iPadOSデバイスのコンプライアンス要件
|
|
コンプライアンス状態と条件付きアクセスの連携
コンプライアンスチェックの真価は、条件付きアクセスと連携したときに発揮されます。デバイスがコンプライアンスに準拠していない場合、リソースへのアクセスを制限できます。
sequenceDiagram
participant User as ユーザー
participant Device as デバイス
participant Intune as Microsoft Intune
participant EntraID as Microsoft Entra ID
participant App as 業務アプリ
User->>Device: アプリにアクセス
Device->>EntraID: 認証要求
EntraID->>EntraID: ユーザー認証
EntraID->>Intune: デバイスコンプライアンス確認
alt コンプライアンス準拠
Intune-->>EntraID: 準拠
EntraID-->>Device: アクセストークン発行
Device->>App: アクセス許可
else コンプライアンス非準拠
Intune-->>EntraID: 非準拠
EntraID-->>Device: アクセス拒否
Device->>User: 修復手順を表示
end非準拠デバイスに対しては、以下のようなアクションを設定できます。
- アクセス拒否: 企業リソースへのアクセスを完全にブロック
- 制限付きアクセス: 一部のリソースのみアクセス許可
- 通知: ユーザーに修復を促すメール送信
- 猶予期間: 一定期間内に修復すればアクセス継続
BYOD環境でのセキュリティ対策
BYOD(Bring Your Own Device)は、従業員の利便性と生産性を高める一方で、セキュリティ上の課題をもたらします。ゼロトラストの観点からBYODセキュリティを設計する方法を解説します。
BYODのリスクと対策
flowchart LR
subgraph risks["BYODのリスク"]
R1["データ漏洩<br/>個人アプリへのコピー"]
R2["マルウェア感染<br/>管理外アプリ経由"]
R3["デバイス紛失<br/>業務データ流出"]
R4["可視性の欠如<br/>シャドーIT化"]
end
subgraph controls["対策"]
C1["MAMポリシー<br/>アプリ間データ分離"]
C2["MTD連携<br/>脅威検知"]
C3["選択的ワイプ<br/>業務データのみ削除"]
C4["条件付きアクセス<br/>登録デバイスのみ許可"]
end
R1 --> C1
R2 --> C2
R3 --> C3
R4 --> C4MAM(Mobile Application Management)によるアプリレベル保護
BYODデバイスでは、デバイス全体を管理するMDMではなく、業務アプリのみを保護するMAMが有効です。Microsoft Intuneのアプリ保護ポリシーでは、以下のような制御が可能です。
データ保護の設定例
| 設定項目 | 推奨値 | 説明 |
|---|---|---|
| 組織データを他のアプリに送信 | ポリシー管理アプリのみ | 業務アプリ間のみデータ共有可 |
| 他のアプリからデータを受信 | ポリシー管理アプリのみ | 個人アプリからのデータ取込禁止 |
| 「名前を付けて保存」を禁止 | はい | ローカルストレージへの保存禁止 |
| 切り取り、コピー、貼り付けの制限 | ポリシー管理アプリ間のみ | クリップボード経由の漏洩防止 |
| スクリーンキャプチャ | ブロック | 画面キャプチャによる漏洩防止 |
アクセス要件の設定例
| 設定項目 | 推奨値 | 説明 |
|---|---|---|
| アクセスにPINを要求 | はい | アプリ起動時にPIN認証 |
| PIN試行回数 | 5回 | 超過時はデータワイプ |
| オフラインの猶予期間 | 720分 | オフライン時のアクセス許可時間 |
| 脱獄/Root化デバイスをブロック | はい | 改ざんデバイスからのアクセス禁止 |
| 最小OSバージョン | 設定あり | 古いOSからのアクセス禁止 |
組織所有とBYODの統合管理戦略
組織所有デバイスとBYODを統合的に管理するには、デバイスの所有形態に応じた段階的なアクセスレベルを設計します。
flowchart TB
subgraph tier1["Tier 1: フルアクセス"]
Corp["組織所有デバイス<br/>MDM登録・コンプライアンス準拠"]
end
subgraph tier2["Tier 2: 標準アクセス"]
BYOD_MDM["BYODデバイス<br/>MDM登録・コンプライアンス準拠"]
end
subgraph tier3["Tier 3: 制限付きアクセス"]
BYOD_MAM["BYODデバイス<br/>MAMのみ"]
end
subgraph tier4["Tier 4: Webのみ"]
Unmanaged["未管理デバイス<br/>ブラウザアクセスのみ"]
end
subgraph resources["アクセス可能リソース"]
All["すべての業務リソース"]
Standard["一般業務リソース"]
Limited["メール・カレンダー"]
WebOnly["Web版Office・ポータル"]
end
Corp --> All
BYOD_MDM --> Standard
BYOD_MAM --> Limited
Unmanaged --> WebOnlyこの段階的アプローチにより、デバイスの信頼性レベルに応じた適切なアクセス制御を実現できます。
EDRとXDRによる脅威検知と対応
デバイスコンプライアンスだけでは、高度な脅威からの保護は十分ではありません。EDR(Endpoint Detection and Response)とXDR(Extended Detection and Response)により、エンドポイントにおける脅威を検知・対応する仕組みが必要です。
EDR(Endpoint Detection and Response)とは
EDRは、エンドポイントを継続的に監視し、脅威の兆候を検知して自動的に対応するセキュリティ技術です。従来のアンチウイルスが既知のマルウェアをシグネチャベースで検知するのに対し、EDRは行動分析により未知の脅威も検知できます。
EDRの主要機能
flowchart LR
subgraph monitor["継続的監視"]
A["プロセス実行"]
B["ファイル操作"]
C["ネットワーク接続"]
D["レジストリ変更"]
end
subgraph analyze["分析・検知"]
E["行動分析<br/>AI/ML"]
F["IoC照合<br/>脅威インテリジェンス"]
G["相関分析"]
end
subgraph respond["対応"]
H["アラート生成"]
I["自動隔離"]
J["プロセス停止"]
K["フォレンジックデータ保存"]
end
A --> E
B --> E
C --> E
D --> E
E --> F
F --> G
G --> H
G --> I
G --> J
G --> KEDRが検知する脅威の例
- ランサムウェアによる大量ファイル暗号化
- 不審なPowerShellスクリプトの実行
- メモリ内での悪意あるコード実行(ファイルレス攻撃)
- クレデンシャルダンプの試行
- 横展開(Lateral Movement)の兆候
XDR(Extended Detection and Response)とは
XDRは、EDRの概念をエンドポイント以外にも拡張し、ネットワーク、クラウド、メール、アイデンティティなど複数のセキュリティドメインを統合的に監視・対応するプラットフォームです。
flowchart TB
subgraph sources["データソース"]
Endpoint["エンドポイント<br/>EDR"]
Network["ネットワーク<br/>NDR"]
Cloud["クラウドワークロード"]
Email["メール"]
Identity["アイデンティティ"]
end
subgraph xdr["XDRプラットフォーム"]
Ingest["データ収集・統合"]
Correlate["相関分析<br/>インシデント生成"]
Detect["AI駆動の脅威検知"]
Respond["自動対応<br/>攻撃の遮断"]
end
subgraph output["出力"]
Alert["統合アラート"]
Incident["インシデント<br/>攻撃チェーン可視化"]
Action["自動修復"]
end
Endpoint --> Ingest
Network --> Ingest
Cloud --> Ingest
Email --> Ingest
Identity --> Ingest
Ingest --> Correlate
Correlate --> Detect
Detect --> Respond
Respond --> Alert
Respond --> Incident
Respond --> ActionXDRの主な利点
| 利点 | 説明 |
|---|---|
| 統合的な可視性 | エンドポイント、ネットワーク、クラウドを横断した攻撃チェーンを可視化 |
| アラート疲れの軽減 | 関連するアラートを1つのインシデントに統合 |
| 迅速な対応 | 複数ドメインにまたがる自動対応アクションの実行 |
| 高度な脅威検知 | ドメイン横断の相関分析により単独では検知困難な攻撃を発見 |
EDRとXDRの使い分け
| 観点 | EDR | XDR |
|---|---|---|
| 監視範囲 | エンドポイントのみ | エンドポイント+ネットワーク+クラウド+メール+ID |
| 検知能力 | エンドポイントでの詳細な脅威検知 | ドメイン横断の攻撃チェーン検知 |
| 適用シーン | エンドポイントセキュリティ強化 | 統合セキュリティ運用(SecOps) |
| 運用負荷 | アラート個別対応が必要 | インシデントベースの効率的な対応 |
| 代表製品 | Microsoft Defender for Endpoint | Microsoft Defender XDR |
ゼロトラスト環境では、XDRを採用することで、デバイスだけでなくアイデンティティやネットワークを含めた包括的な脅威検知・対応が可能になります。
デバイス信頼性と脅威スコアの連携
EDR/XDRで検知された脅威情報は、デバイスの信頼性評価に反映されます。Microsoft Defender for Endpointでは、デバイスごとにリスクレベルが算出され、条件付きアクセスと連携できます。
sequenceDiagram
participant Device as デバイス
participant Defender as Microsoft Defender<br/>for Endpoint
participant Intune as Microsoft Intune
participant EntraID as Microsoft Entra ID
participant App as 業務アプリ
Device->>Defender: テレメトリデータ送信
Defender->>Defender: 脅威検知・リスク評価
Defender->>Intune: リスクレベル連携
Intune->>Intune: コンプライアンス評価に反映
Note over Device,App: ユーザーがアプリにアクセス
Device->>EntraID: 認証要求
EntraID->>Intune: コンプライアンス確認
alt リスクレベル: 低
Intune-->>EntraID: 準拠
EntraID-->>Device: アクセス許可
else リスクレベル: 中〜高
Intune-->>EntraID: 非準拠
EntraID-->>Device: アクセス拒否
Defender->>Device: 脅威の修復を促すアラート
endこの連携により、マルウェアに感染したデバイスからのアクセスを自動的にブロックし、脅威が修復されるまでアクセスを制限できます。
デバイス信頼性確立のベストプラクティス
ゼロトラストにおけるデバイス信頼性を確立するためのベストプラクティスをまとめます。
段階的な導入アプローチ
デバイス管理の導入は、一度にすべてを実施するのではなく、段階的に進めることを推奨します。
フェーズ1: 可視化と基盤構築
- UEMソリューション(Microsoft Intuneなど)の導入
- 既存デバイスの棚卸しと登録
- 基本的なコンプライアンスポリシーの策定
フェーズ2: ポリシー適用
- コンプライアンスポリシーの展開
- 条件付きアクセスとの連携開始
- BYODポリシーの策定とMAM導入
フェーズ3: 脅威検知と対応
- EDR/XDRの導入
- リスクベースの条件付きアクセス設定
- 自動修復ワークフローの構築
フェーズ4: 継続的な改善
- コンプライアンスレポートの分析
- ポリシーの最適化
- 新たな脅威への対応
コンプライアンスポリシー設計のポイント
コンプライアンスポリシーを設計する際は、以下のポイントを考慮します。
- ビジネス要件との整合: 厳しすぎるポリシーはユーザーの生産性を低下させます。リスクとのバランスを取りましょう
- プラットフォーム間の一貫性: Windows、macOS、iOS、Androidで可能な限り同等のセキュリティレベルを維持します
- 猶予期間の設定: 非準拠時に即座にブロックするのではなく、修復のための猶予期間を設けます
- ユーザーへの通知: 非準拠の理由と修復手順を明確に伝えるメカニズムを用意します
- 例外処理の定義: 特殊なデバイスや一時的な例外に対応する手順を定めます
モニタリングと継続的改善
デバイス管理は導入して終わりではなく、継続的なモニタリングと改善が必要です。
flowchart LR
subgraph monitor["モニタリング"]
A["コンプライアンス準拠率"]
B["脅威検知件数"]
C["インシデント対応時間"]
D["登録デバイス数"]
end
subgraph analyze["分析"]
E["傾向分析"]
F["根本原因分析"]
G["ベンチマーク比較"]
end
subgraph improve["改善"]
H["ポリシー調整"]
I["ユーザー教育"]
J["プロセス最適化"]
end
A --> E
B --> E
C --> F
D --> G
E --> H
F --> I
G --> J
H --> A
I --> B
J --> Cまとめ
ゼロトラストセキュリティにおいて、デバイス信頼性の確立は、アイデンティティ検証と並ぶ重要な柱です。本記事で解説した内容を振り返ります。
デバイス信頼性の重要性
- 正規ユーザーであっても、侵害されたデバイスからのアクセスはリスクとなる
- デバイスの登録状態、コンプライアンス、健全性、構成を継続的に検証する
MDM/UEMによるデバイス管理
- UEMですべてのエンドポイントを統合管理
- デバイス登録とコンプライアンスチェックにより信頼性を確立
- 条件付きアクセスとの連携でアクセス制御を実現
BYOD対応
- MAMによるアプリレベルの保護でプライバシーとセキュリティを両立
- デバイスの所有形態に応じた段階的なアクセスレベル設計
EDR/XDRによる脅威検知
- EDRでエンドポイントの脅威を検知・対応
- XDRで複数ドメインを統合した包括的なセキュリティ運用
- 脅威スコアと条件付きアクセスの連携で動的なアクセス制御
次の記事では、ネットワークセキュリティの観点から、マイクロセグメンテーションとZTNA(ゼロトラストネットワークアクセス)について解説します。
参考リンク
- Microsoft Intune とは - Microsoft Learn
- Microsoft Intune のデバイスコンプライアンスポリシー - Microsoft Learn
- Microsoft Defender for Endpoint - Microsoft Learn
- XDR(Extended Detection and Response)とは - Microsoft Security
- EDR(Endpoint Detection and Response)とは - Microsoft Security
- NIST SP 800-207 Zero Trust Architecture
- CISA Zero Trust Maturity Model