クラウド サービスの利用が広がったことで、特権 ID (管理者権限)やアクセス権限の管理が課題になってきました。特権 ID やアクセス権が不正に利用されると、クラウドの設定が不正に書き換えられたり、クラウドからの情報漏洩につながったりします。こうしたリスクを懸念し、クラウド上のID やリソースのアクセス許可を管理するソリューション「 Microsoft Entra Permissions Management (以下、Entra Permissions Management )」の利用を開始したのが栗田工業です。同社ではDX(Digital Transformation)を推進するために Microsoft Azure をフル活用していますが、Azure サブスクリプションの管理が利用部門やバートナーに任されていることもあり、リスク監視やガバナンスの確保が難しくなっていました。本稿では Entra Permissions Management 採用の狙い、効果、活用のポイントを伺いました。

製紙工場の紙製品製造工程における予兆診断サービスや基幹システムなど DX システムをすべて Azure で構築

企業理念である「“水”を究め、自然と人間が調和した豊かな環境を創造する」のもと、水処理薬品、水処理装置、メンテナンス・サービスの 3 つの事業領域でさまざまな技術やソリューションを展開する栗田工業。2023 年 4 月から 5 カ年の中期経営計画「Pioneering Shared Value 2027(PSV-27)では、「持続可能な社会の実現に貢献する『水の新たな価値の開拓者』」を企業ビジョンとして掲げ、水や環境に関するお客様や社会の課題解決に取り組んでいます。

その一貫として強力に推進しているのが DXに向けたデジタル戦略です。長きにわたるマイクロソフトとのパートナーシップのもと、Microsoft 365 E5 や Power BI、Power Apps、Microsoft Dynamics 365 Sales、Microsoft Azure (以下、Azure )などのクラウド サービスを活用して、DX を加速させています。特に Azure は、DX を推進する柱の 1 つとして、基幹システムから顧客向けサービスなど幅広い領域で採用されています。栗田工業株式会社 デジタル戦略本部 ネットワーク・セキュリティ統括部 ネットワーク二課 木下和彦氏はこう話します。

「栗田工業のDX 施策は、ビジネス変革を担うBX (Business Transformation )と社内オペレーション変革を担うOX ( Operational Transformation )に分かれます。BXには、お客様に提供しているメンテナンス・サービスや製紙工場での予兆診断システムなどがあります。OX は、財務会計や生産管理などの基幹システムとその周辺システムが中心です。このほか、ファイル サーバーやデータ連携基盤などもあります」(木下氏)。

  • 栗田工業株式会社 デジタル戦略本部 ネットワーク・セキュリティ統括部 ネットワーク二課 木下和彦氏

    栗田工業株式会社 デジタル戦略本部 ネットワーク・セキュリティ統括部 ネットワーク二課 木下和彦氏

これら DX 関連システムはすべて Azure 上で構築されています。栗田工業は、国内外約50 社でグループを構成していて、DX 関連システムは、国内拠点だけでなく、海外拠点でも利用されています。このクラウド基盤の特徴は、システムやプロジェクトごとに Azure のサブスクリプションを割り当て、利用部門が中心となって開発、運用、管理していることです。

「サブスクリプションを分けることで、現場のニーズに即したシステムを素早く開発し、必要に応じて変更・改善していくことができます。Azure のサブスクリプションは BX で約 10 個、OX で約 10 個、その他テストやシステム連携のハブとなるサブスクリプションを含めると計 26 個存在しています( 2024/9 時点)」(木下氏)。

ただ、サブスクリプションが増加したことで、リスク管理やガバナンス、コンプライアンスの確保が課題になりはじめていたといいます。そこで採用したのが「 Microsoft Entra Permissions Management (以下、Entra Permissions Management )」です。

  • 図版

クラウド上のID やリソースのアクセス許可を管理できるソリューション

Entra Permissions Management は、2022 年に一般提供が開始された、Azure はもちろん、 AWS、GCP 等のクラウド上の ID やリソースのアクセス許可を集約的に管理するソリューションです。クラウド サービスの利用が広がったことで、特権 ID (最上位の管理者権限)の管理やアクセス権限の管理が課題になってきました。例えば、特権 ID の不正利用によって、クラウドの設定が書き換えられたり、データを破壊させられたりといった事故が起こっています。また、リソースへのアクセス許可が不適切なため、クラウド ストレージから重要情報が漏洩したり、Web サービスが第三者から不正アクセスを受けたりといった事故も急増しています。

こうしたクラウド環境の特権 ID 管理やアクセス権限、アクセス許可を包括的に管理するソリューションとして注目を集めているのがクラウド インフラストラクチャー エンタイトルメント管理( CIEM )であり、Entra Permissions Management は、マイクロソフトが提供する CIEM ソリューションとなります。

Entra Permissions Management を利用すれば、Microsoft Entra (旧 Azure AD )による ID 管理機能と連携して、クラウド サービスの ID やリソースへのアクセス許可を包括的に可視化し制御することが可能です。例えば、クラウド サービスにどのようなリスクがあるか把握できなくなっている環境でのリスクの可視化や、それらリスクがどのような脅威につながるかを評価できます。また、ID やリソースを必要最小限の権限で管理したうえで必要に応じた上位権限の付与や、マルチ クラウド環境でのアクセス ポリシーを 1 つの管理画面から統合的に管理できます。

グループ全体で 26 個の Azure サブスクリプションが存在、リスク管理やガバナンスが課題に

木下氏は、Entra Permissions Management を採用するにあたって栗田工業が抱えていた課題をこう説明します。

「プロジェクトごとにサブスクリプションを割り当てる構成だったため、利用部門はそれぞれの Azure 環境のリソースに対して管理者権限を持ち、自由に管理することができたため、セキュリティリスクを十分に確認できないまま、新たなプロジェクトが次々と立ち上がっていくような状況でした。クラウド サービスのなかにどんなリスクが存在しているかきちんと可視化できていなかったのです。また、サブスクリプションを割り当てるということは、それぞれの Azure 環境において最上位の権限(特権)を利用部門に与えているのと同じです。どこかで何か間違いがあれば情報漏洩やデータ侵害などさまざまなリスクにさらされる懸念がありました」(木下氏)。

サブスクリプションの管理者権限は、構築・運用を支援しているパートナー企業が管理するケースもあったといいます。ネットワーク設定やセキュリティ設定もパートナーが個別に実装することが多く、プロジェクトが増えていくなかで、統一的なポリシーで管理することも難しくなっていきました。

「情報システム部門としてガバナンスを確保するためには、許可されていない ID やリソースがないかをサブスクリプションごとに精査しなければならず大きな負担になっていました。例えば、Azure Firewall もサブスクリプションごとに異なる設定になっていたため、 1 つ 1 つ確認していく必要がありました。限られた人員で、これらすべてのサブスクリプションのすべてのリソースを精査し、リスクを可視化し、実際に問題がないかをリアルタイムに継続的にチェックしていく作業は現実的に実施が不可能な状況でした」(木下氏)。

「リスクの見つけやすさ」「自動運転」に注目し、Microsoft Entra Permissions Management を選定

栗田工業が Azure を本格的に利用し始めたのは 2020 年からですが、2022 年頃にはサブスクリプションの増加にともなって、上述したような「 ID 管理やアクセス権管理の不徹底」「管理できない ID やリソースの増加」「ガバナンスやセキュリティ ポリシーの不徹底」「監視を中心にした運用管理負荷の増大」といった課題が徐々に顕在化していったといいます。

そこで 2023 年から、特権 ID 管理やアクセス権管理を行うソリューションを本格的に導入するための調査検討に入りました。ソリューションの選定にあたっては、大きく 3 つの要件があったといいます。

1 つめは、システム構築や運用の際に、利用部門やパートナーに対して管理者権限(特権)を委譲しつつも、情報システム部門として必要なときにその権限を管理できること。2 つめは、管理すべきリソースが増えていくなかで限られた人員で多くの権限を効率よく管理できること。3 つめは、ID の管理やアクセス権の付与(認証・認可)など、目視や手作業では難しい作業を自動化し、日々変化するリソースに割り当てられている特権に対するリスク状況をリアルタイムに可視化・監視できる仕組みを作ることです。

「これらの要件を満たすため、利用部門に最小権限を与えて、特権を利用するときに許可したり、そのときの許可の状態を監視したりできるような仕組みを検討しました。それを実現するために、計 4 つの製品・サービスを検討し、最終的に採用したのが Entra Permissions Management です。決め手となったポイントは 2 つあります。1 つめは、リスクを見つけやすいかどうか。2 つめは、自動運転が可能かどうかです」(木下氏)。

特権 ID 管理やアクセス権管理のソリューションでは、リスクを可視化するダッシュボード機能を持っています。ただ、リスクを一覧表示するだけだったり、次のアクションにつなげるための指標がわかりにくかったりしたといいます。

「これらに対し Entra Permissions Management は、PCI ( Permission Creep Index )というリスク スコアを用いて、すべての ID、アクセス許可、リソースの状態を統合的に監視できることがポイントでした。ダッシュボード上に円グラフでリスクの状態がわかりやすく表示されます。全体の状況を PCI で把握して、PCI を改善するように取り組みを進めることで、クラウドのリスクを減らしていくことができるのです。また、自動運転も簡単に行うことができました。例えば、付与した特権が利用されていない状態が90日間続けば、特権を自動的に取り消すといったルールを作ることで、確認作業を自動化できます。これにより、利用されていない特権の不正利用によるセキュリティインシデントの発生リスクを低減できるようになります。情報が漏洩するといった事態も確実に防ぐことも可能ですし、今後クラウドの利用が拡大し、さらにサブスクリプションが増加したときも、限られた人数で全体を管理できると考えています。」(木下氏)。

  • 図版

導入後の運用設計や運用体制を踏まえた提案をしてくれたことを高く評価

Entra Permissions Management の採用にあたっては、マイクロソフトの技術サポートも大きな力になったといいます。栗田工業では、マイクロソフト ユニファイド サポートを活用しており、技術チームやサポート チームと定期的にミーティングを行い、日々の困り事を相談できる体制でした。

「定例ミーティングで、クラウド環境の特権 ID 管理やアクセス権管理をどう行えばよいか相談するなかで、Entra Permissions Management をご提案いただきました。その際、単にソリューションを紹介するだけにとどまらず、これまでの導入事例や、失敗しやすいユース ケース、導入にあたって気をつけるべきこと、現在は対応していない機能など、良い点も悪い点も包み隠さずに教えていただきました。当社の状況を見て的確なアドバイスをしてくれるため、信頼感はますます高まりました」(木下氏)。

特に印象的だったのは、Entra Permissions Management の不明点について疑問点がでたときに、すぐに本国の開発メンバーを呼び、すばやく的確な回答を返してくれたことだといいます。

「 Microsoft Teams で Web 会議を行なっているときに、その場で US の開発エンジニア本人を Web 会議に呼んでくれました。ここまで速いレスポンスは、日本を含めて開発チームがグローバルに分散し連携しているからこそ実現できることなのだと思います」(木下氏)。

さらに、マイクロソフト製品を採用する決め手になったポイントとして「運用を見据えた的確な使い方を提案してくれたこと」を挙げます。

「クラウド時代に入ってから、ソリューションの導入自体は非常に簡単になっています。管理画面でボタンをクリックしてライセンスを購入すればすぐに利用できるものがほとんどです。その一方で重要になってきたのが、適切な運用をどう行っていくかです。マイクロソフトは、そうした導入後の運用設計や運用体制のあり方まで含めてアドバイスしてくれました。具体的には、ダッシュボードの PCI 値を見て、過剰な特権をどのくらい付与しているかを確認し、状況を見ながらリスクを下げるためのアクションを取っていくという運用スタイルです。このスタイルは、我々が実現したかった目的にも合った現実的なアプローチでした。もしこの提案がなかったら、どこから手をつけてよいかわからなかったと思います。マイクロソフトがこうしたレベルの高いサポートを提供してくれていることに非常に感謝しています」(木下氏)。

セキュリティリスクを低減するとともに、運用の自動化やシフトレフトの推進も可能に

Entra Permissions Management の本格導入は 2024 年 7 月からスタートしました。Azure のサブスクリプションには「所有者」「共同作成者」「閲覧者」などの役割(ロール)があり、それぞれでリソースを作成、変更、削除などを実行できる権限が変わります。Entra Permissions Management を利用することで初期設定では「閲覧者」などの最小権限を与えておき、必要に応じて「共同作成者」などの特権に移行するといった運用が可能になります。

現在は、誰がサブスクリプションを管理するか、どの権限をどう付与するかをプロジェクトごとにプロジェクトオーナーや管理者などと相談しながら、Entra Permissions Management の適用範囲を広げているところです。また、リスクを包括的に評価するために、Entra Permissions Management とともに、クラウド セキュリティ態勢管理ソリューションである「 Microsoft Defender for Cloud 」の CSPM (クラウドセキュリティ態勢管理)機能の利用も開始しました。CSPM により、リソースの状態や脆弱性の有無、アクセス許可の状況、リスクの優先順位付けなどの継続的に監視できるようになります。

「 Entra Permissions Management で ID やアクセス許可のリスクを監視しつつ、CSPM で運用中に発生する設定ミスや脆弱性などを監視する体制です。しっかりと運用できる体制をつくり、そのうえでその運用体制を維持し続けられる仕組みを作ったのです。監視対象も監視のためのソリューションもマイクロソフト製品で統一したことで、製品間の親和性が高く、リスクの評価やガバナンス、コンプライアンスの強化がしやすい環境をつくることができました」(木下氏)。

Entra Permissions Management や CSPM の具体的な導入効果の算出はこれからですが、PoC を含めていくつか大きな効果を確認できています。

「導入効果としては大きく 3 つ挙げられます。1 つめは、セキュリティ リスクを確実に低減できていること。ID やアクセス許可、リソースのリスクを可視化して、それに対する対策を行ってきました。PCI は、PoC 時点から現在までに約 24 ポイント改善しています。2 つめは、リスクを監視する工数が大幅に削減できたこと。サブスクリプションごとにアクセス許可を確認する作業は 1 回あたり最低でも約 30 時間かかります。現在はこれら作業を自動的に継続的に実施できるようになりました。3 つめはサービス開発のスピードと品質の向上が期待できること。設計の段階から CSPM のダッシュボード上でリスクを評価することができるようになりました。セキュリティ テストやレビューをより上流で行うことで手戻りを減らし、リリース速度や品質向上につなげるシフトレフトへの道筋ができました」(木下氏)。

26 個のサブスクリプションを対象にした監視は 2024 年内に完了させる計画です。その後は、セキュリティをさらに強化するため、CSPM のさらなる活用や、クラウドのワークロードを保護するための Microsoft Defender for Cloud CWPP (クラウド ワークロード保護)機能の導入を検討していきます。さらに、Microsoft Copilot を使った AI による自動化も推進していく構えです。

「セキュリティを強化するポイントは運用設計にあると考えます。クラウドのリスクを可視化しアクションに結びつけられる Entra Permissions Management は、われわれの DX を支えるシステムの運用になくてはらない存在です」(木下氏)。

マイクロソフトは今後も栗田工業に寄り添った支援を行なっていきます。

[PR]提供:日本マイクロソフト