Contents
条件付きアクセスの基本概念とゼロトラストモデルとの関係性
IT管理者にとってセキュリティ体制を強化する上で、Entra IDの条件付きアクセスポリシーは不可欠な技術です。従来の「一度認証すれば何でもOK」のモデルでは対応できない現代の脅威に対し、ゼロトラストアーキテクチャが注目されています。
ゼロトラストアーキテクチャの概要
ゼロトラストは、「誰も信頼しない」という原則に基づくセキュリティモデルです。ネットワーク内にあるユーザー・デバイス・アプリケーションすべてを外部と同様に厳格に制御します。これにより、内部不正アクセスやランサムウェアの拡散リスクが大幅に抑止できます。コンプライアンスとは、「セキュリティ基準や法律に従っているか」を確認するプロセスであり、デバイスやアプリケーションの安全性を保証するために重要です。
条件付きアクセスポリシーの役割
条件付きアクセスポリシーは、ユーザーの認証方法・デバイス状態・ネットワーク位置などに基づきリアルタイムでアクセスを許可またはブロックする仕組みです。例えば「オフィス内ネットワーク以外からのアクセスはMFA必須」といったルールが適用されます。
以下に、ゼロトラストと条件付きアクセスポリシーの関係性を比較します。
| 項目 | 従来モデル | ゼロトラストモデル |
|---|---|---|
| 認証方法 | 一回限りのログイン | 状況に応じた多重認証(MFA) |
| デバイスチェック | 不要 | 必須(コンプライアンス確認) |
| アクセス範囲 | 全ネットワーク内許可 | ゾーンごとに制限設定 |
Microsoft Entra admin centerでのポリシー作成フロー
Entra IDの管理画面からポリシーを作成する際は、手順を誤ると期待通りの動作にならないため注意が必要です。特に「条件」や「行動」の指定ミスがよくある問題です。
管理画面へのアクセス方法
Microsoft Entra admin centerにアクセスし、「Conditional Access > New policy」を選択します。ログインユーザーは、少なくとも条件付きアクセス管理者のロールを持つ必要があります。
新しいポリシーの作成手順
- 名前と説明を入力: シナリオ(例:「リモートワーク対応」)を記載し、後で管理しやすくする
- ユーザーとグループの選択: 対象とするユーザー/グループを選定(例:全社員or特定部署)
- 条件設定: 「ネットワーク位置」「デバイス状態」など、アクセス制御に使う基準を指定
- 行動の選択: 認証強化(MFA)、ブロック、リダイレクト先などを定義
⚠️ 注意点: 「全ての条件を満たす場合」と「いずれかの条件を満たす場合」の違いに気を付けてください。誤った条件指定でポリシーが意図せず適用される可能性があります。
ユーザー認証強化とデバイスコンプライアンスの設定方法
リモートワーク環境では、MFA(多要素認証)を導入するだけでなく、使用しているデバイスがセキュリティ基準に合っているかの確認も重要です。
MFA導入時のベストプラクティス
- 強制適用対象の設定: 「オフィス外ネットワーク」や「特定のアプリケーション」を指定
- 認証方法の選択: パスワード+スマートフォン認証、またはFIDO2対応デバイスなど、社内ポリシーに合う方式を選定
- 例外ルールの設定: 担当者や管理者はMFAをスキップできるようにし、業務効率とセキュリティを両立
コンプライアンスチェックの要件定義
- デバイスが最新OSにアップグレードされているか
- セキュリティソフトのインストール状況
- 暗号化設定の有無
🔍 実務例: 「非コンプライアンスデバイスからのアクセスはブロック」というポリシーを設定し、自社で管理していないノートPCからの接続を防止します。
ネットワーク位置ベースのアクセス制御設定
オフィス内ネットワークとリモート環境の区別ができないと、不正アクセスのリスクが高まります。IPアドレス範囲指定や「ネットワークゾーン」の定義が重要です。
IPアドレス範囲指定の注意点
- オフィスLANに所属するIPだけを許可し、外部接続時にはMFA強制
- パブリックIP範囲(例:203.0.113.0/24)はリスクがあるため、例外として明示的に設定しない
ネットワークゾーンの定義方法
Entra IDでは「ネットワーク位置」を以下のように分類できます。
| ゾーン名 | 定義 | 用途例 |
|---|---|---|
| オフィスネットワーク | 自社LAN内IP | 内部システムへのアクセス許可 |
| 信頼できるクラウドプロバイダー | AzureやAWSのプライベートネットワーク | クラウドリソースへの接続 |
| 不明なネットワーク | パブリックIPなど | MFA必須設定 |
⚠️ 誤った分類リスク: IPアドレス範囲を間違えると、社員の業務に支障が出るため、定期的な更新が必要です。
実務でのポリシー構築例:リモートワーク対応
以下は、リモートワーク環境でよく利用される2つのシナリオとその設定例です。ポリシーの優先順位(Priority order)にも注意が必要です。
シナリオ1: オフィス外からのアクセス制限
- 条件: ネットワーク位置が「オフィスネットワーク」以外
- 行動: MFAを強制、アプリケーションに「Microsoft 365」を限定
|
1 2 3 4 5 6 |
Name: リモート接続時のMFA強制 Users and groups: 全社員 Conditions: ネットワーク位置 = "オフィスネットワーク"以外 Access controls: 必須 - 多要素認証が必要 Grant access: 应用限定 - Microsoft 365 |
シナリオ2: マネージドデバイス限定
- 条件: デバイスが「コンプライアンスに合格している」状態
- 行動: 非コンプライアンスデバイスからのアクセスをブロック
|
1 2 3 4 5 6 |
Name: マネージドデバイス制限 Users and groups: 全社員 Conditions: デバイス状態 = "未管理" or "非対応" Access controls: 阻止 - アクセスを許可しない Grant access: なし |
⚠️ 優先順位設定: 同じユーザーに複数ポリシーが適用される場合、「Priority」の高い方が優先されます。業務フローに合わせて調整してください。
ポリシー実装後の監視とログ確認手順
ポリシーを導入した後は、リアルタイムでのモニタリングと定期的な見直しが不可欠です。監査ログの活用が効果的です。
Microsoft Entra IDの監査ログ活用
- 管理センターから「Audit logs」を開く: アクセス履歴やポリシー適用状況を確認
- フィルタリング機能を使う: 日時・ユーザー名・アプリケーションなどで検索可能
- 異常アクセスの特定: 「MFA未実施」「非コンプライアンスデバイス」などのキーワードで絞り込み
アラート設定と対応フロー
- 重要な異常行為(例:オフィス外からの高頻度アクセス)に対してアラートを自動送信させる設定
- 違法アクセスの際は、緊急時の対応手順(例:即時アカウントロック)を明確に定義
📌 チェックリスト: 毎月1回、ポリシーの有効性と条件の正確性を確認し、業務変更に合わせて修正することを習慣化してください。