松岡逸樹 中小企業診断士コンサル

コンサルタント~IT(DX、モバイル・NW)、中国ビジネス~

ゼロトラスト

ゼロトラストとは

「何も信頼しない」を前提に対策を講じるセキュリティの考え方のこと。

デジタル活用の促進により、業務効率がアップした一方、これまで見過ごされがちだったセキュリティリスクが顕在化しています。それを踏まえて提唱されているのが「ゼロトラスト」というセキュリティの考え方です。

従来のセキュリティ対策は、信頼できる「内側」と信頼できない「外側」にネットワークを分け、その境界線で対策を講じるというものでした。内側は社内LANやVPNで接続されたデータセンターなどが、外側はインターネットが該当します。その境界線にファイアウォールやプロキシーIDSIPSなどのセキュリティ機器を設置し、通信の監視や制御を行うことで外部からのサイバー攻撃を遮断する考え方です。

こうした従来のセキュリティ対策は、保護すべきデータやシステムがネットワークの内側にあることを前提としています。しかし現在は、クラウドが普及したことにより、外側であるインターネット上に保護すべきものがある状況が珍しくありません。このように、守るべき対象がさまざまな場所に点在するようになったことで境界が曖昧になり、従来の考え方では十分な対策を講じることが難しくなりつつあります。

ゼロトラストセキュリティと従来の境界防御型セキュリティとの比較図

そこで広まっているのがゼロトラストの考え方です。こちらはすべての通信を信頼しないことを前提に、さまざまなセキュリティ対策を講じていきます。具体的には、ネットワークの内外に関わらない通信経路の暗号化や多要素認証の利用などによるユーザー認証の強化、ネットワークやそれに接続される各種デバイスの統合的なログ監視などが挙げられます。

ゼロトラストを実現するためのセキュリティソリューションはすでに多数登場しています。たとえば、クライアントPCの監視とログの分析によりサイバー攻撃のいち早い検知と対処を可能にするEDR(Endpoint Detection and Response)や、ワンタイムパスワード認証や端末認証などを利用した認証強化や、デバイスのセキュリティ状態などに応じてアクセス制御を行うIAM(Identity and Access Management)などがあります。

シングルサインオン

 シングル サインオンは、ユーザーが 1 セットの資格情報を使用して複数の独立したソフトウェア システムにサインインできるようにする認証方法です。 SSO を使用すると、使用するアプリケーションにいちいちサインインする必要がなくなります。 SSO を使用すれば、ユーザーは、異なる資格情報を使用して認証を行う必要なしに、必要なすべてのアプリケーションにアクセスできます。

 

Active Directoryとの連携

社内のユーザーを管理するために、Windows Serverに搭載されている認証管理システム、「Active Directory(AD)」を利用している企業は多いでしょう。

この既存の資産を活用するために、多くのSSOシステムはAD連携機能を搭載しています。連携機能を活用することで、WindowsのログオンパスワードでSSOシステムにサインオンできるようになり、利便性がさらに高まります。

ACTIVE DIRECTRY

Active Directoryを導入する理由

Active Directoryは、データアクセスへの認証を管理するために利用されます。企業や組織において誰もが内部のデータにアクセスできるのは、セキュリティ面で好ましくありません。権限がないユーザーと認証情報を共有するのは運用としても問題です。

アクセス権限があるユーザーのみを認証し、許可を出すのがActive Directory(AD)の役割です。ユーザー認証をするにあたっては、ユーザー名とパスワードが利用されます。

ユーザーは一度認証を通過するだけで、アクセスできる範囲に継続してアクセスが可能となります。効果的なリソース管理機能として役に立つのです。

ADのメリットは管理者の負担軽減

システム管理者は、アクセス制御の役割をになっています。新卒、中途の社員が入ってきた時や人事異動が起きた場合に、度々権限を割り振ることになるでしょう。

ADのメリットは、部署や役職といった属性でアクセス制御が可能なことです。これによりユーザーごとに制御の設定をする必要がなくなります。

セキュリティ管理だけではなく、グループポリシー機能によって利用端末の自動セットアップが可能です。利用端末に対して、組織のルール適用やソフトウェアのインストール、アップデートの管理もできます。

システム管理者の負担軽減が実現できる

ーー

Active Directoryではドメインと呼ばれるリソース同士の関係性を表す領域が作成されます。ドメインは、大きなフォルダのようなものだと考えても構いません。このドメインの中で、ユーザー、プリンタ、PC、共有データ、部署やプロジェクトチームといったリソースに関する情報を扱うことができます。

 誰がどのPCを利用していて、どの部署に誰が所属していて、どの部署がどの共有データにアクセスして良いのか。こういったリソース同士の関係性をドメインコントローラー(DC)」と呼ばれる管理システムを利用し、ドメインの中に記述するのです。

 それによって、ユーザーは「自分が誰であるか」をドメインコントローラーを通して証明し、DCは「この人は誰であるか」を示すチケットを渡し、ユーザーはチケットを使って自分と関わりのあるリソースに自由にアクセスすることができるようになります。Active Directoryによって、ユーザーとその他のリソースにどのような関係があるのかが分かっているので、リソースを使う度に別々のパスワードを入れる必要がありません。

 さらに、システム管理者はDCを利用してドメインを管理するだけではなく、DCでドメイン内に存在するリソースそのものを一括管理することができるようになります。これによってPCをアップデートしたり、不具合を修正したり、遠隔でサポートをすることもできるようになるため、管理者の労力は大幅に軽減されます。

 特にそれぞれのリソースのセキュリティポリシーを管理者側で管理できるようになるため、端末が更新されていなかったり、設定ミスによって脆弱(ぜいじゃく)性を持った端末から情報漏えいを許してしまったりといった初歩的なトラブルを防止することができます。
画像

シングルサインオン」「フェデレーション」

 「ドメインツリー」や「フォレスト」では、ユーザー自身が所属するドメインに一度ログインするだけで信頼関係を結んだドメインのリソースにアクセスできるようになります。このような1度のログインでさまざまなリソースにアクセスできるようになる仕組みをシングルサインオンと呼びます。

 こんな話を聞くと、GoogleTwitterのアカウントでさまざまなサービスにログインできるような仕組みをイメージするかもしれませんが、それもまたシングルサインオンの一種です。

 先ほどのドメインツリーとフォレストの関係をGoogleサービスで例えると、GmailアカウントでGoogle Driveを使えるようになるのがドメインツリーの関係で、GmailアカウントでGoogle以外のサービスにもログインできるのがフォレストと言えるでしょう。

 ただ、フォレストはWindows Server内でActive Directoryを使った信頼関係を指しますので、外部のクラウドサービスやウェブサービスにおいてシングルサインオンができる関係性は「フェデレーション」と呼びます。

 Active Directoryでは、こうしたウェブ上のクラウドサービスなどにシングルサインオンで接続するための「Active Directoryフェデレーションサービス」なども提供しており、ドメインに参加するだけで別にIDとパスワードを入力することなしに「Office 365」や「Microsoft Azure」に接続できるようになっています

NTTコミュニケーションサービス FIC

 

1つの物理ポートからさまざまなクラウドサービスやデータセンターと接続。

ポータルサイトから、接続先やネットワーク帯域、セキュリティ設定などを一元管理。

ファイヤーウォールやNATなどをソフトウェアコンポーネントとして提供(オプション)。

「 SDPF クラウド/サーバー ネットワーク 」や「Amazon Web Services (AWS)」「Microsoft Azure」「Google Cloud Platform™ (GCP)」などのクラウドサービスや「Nexcenter」および本サービス対応のお客さまデータセンターを閉域でセキュアに接続します。

 

Flexible InterConnectサービス

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

/

NTTコミュニケーションサービス FRA

外出先や自宅などあらゆる場所からセキュアにアクセスを可能とするリモートアクセス&セキュリティ基盤。
Flexible InterConnectと接続することで、データセンター、各種クラウドサービス、各拠点など社内同等の環境にアクセス可能。
セキュリティ脅威やクラウド移行に伴うトラフィックの増大などの課題を解決する安全かつ快適なICT環境を実現

リモートアクセス&セキュリティ基盤のイメージ図

パソコンなどの業務用デバイスに専用のエージェントをインストール

FICポータルの設定一つで簡単に接続。閉域網内の社内業務システムやクラウドサービスにも、リモートからアクセス可能。

トラフィック容量の大きいWeb会議や動画系アプリなどを直接インターネット経由で通信可能。

証明書認証や端末認証など、多要素認証を標準的に提供。

ファイヤウォール、IPS/IDS(不正侵入検知・防御サービス)、URLフィルター、アンチウィルスなどのUTM機能を標準提供.

ログ機能により、「誰がいつ、どこへアクセスしているか」を把握。

お客さま環境のAzure Active Directory、ID FederationなどとのSAML連携やLDAP連携にも対応。

 

 

 

 

 

 

 

/

 

 

 

 

 

 

 

 

固定電話のIP網移行(ISDNサービス・INSネット「ディジタル通信モード」、マイライン終了)

・2024年1月ISDNサービス・INSネット「ディジタル通信モード」が終了

 

1988年にNTTグループが「INSネット64」「INSネット1500」の名称でサービスを開始

固定電話網(PSTN)の交換機などの設備は、老朽化によって2025年ごろには維持が困難になると予測→ IPに置き換え

 

マイラインは、固定電話のIP網移行に合わせて、2024年1月から地域ごとに段階的に提供を終了

 

マイラインとは・・・「市内・県内市外・県間・国際」の4つの通話区分ごとに、あらかじめご利用になる電話会社を登録していただくことにより、通話の際に電話会社の識別番号(00XY)をダイヤルせずにご利用いただけるサービスです。なお、登録を頂いていないお客さまについては、「市内・県内市外」はNTT東日本が、「県間」はNTTコミュニケーションズが登録されています。

インボイス制度 2023年10月開始 ドコモの対応

インボイス制度が2023年10月より開始されます。

各社制度に向けた準備を開始しています。

 

ドコモの場合:

2023年3月1日

平素はNTTドコモのサービス・商品をご利用いただき、誠にありがとうございます。

ドコモは、2023年10月導入の適格請求書等保存方式(インボイス制度)につきまして、適格請求書発行事業者登録番号が発行されましたのでお知らせいたします。
また、2023年10月から発行を予定しております適格請求書の対応状況についてお知らせいたします。

  1. 適格請求書発行事業者登録番号
    株式会社NTTドコモ:T1010001067912
    国税庁インボイス制度適格請求書発行事業者公表サイトからご確認いただけます。
    (https://www.invoice-kohyo.nta.go.jp/regno-search/detail?selRegNo=1010001067912)
  2. 提供する適格請求書について
    ドコモが役務提供を行うサービスについて適格請求書をご提供できるよう準備を進めております。
  3. 適格請求書の提供時期について
    2023年10月ご利用分より適格請求書をご提供できるよう準備を進めております。
  4. 提供方法
    正式な提供方法が決まり次第、改めてお知らせいたします。