士業事務所のゼロトラストセキュリティ——「社内だから安全」という前提を捨てる
- 4 日前
- 読了時間: 3分
「社内ネットワークに繋がっていれば安全」——これは10年前の考え方です。
現在のセキュリティの主流概念は「ゼロトラスト(Zero Trust)」です。「どんな場所・どんな端末からのアクセスも信頼しない。すべてのアクセスを確認する」という考え方です。難しそうに聞こえますが、士業事務所の規模であれば、Microsoft 365の設定を整えるだけで、ゼロトラストに近い状態を実現できます。
なぜ「社内だから安全」が通用しなくなったか
テレワークの普及——社内ネットワーク外からのアクセスが日常になりました。「社内にいるかどうか」でセキュリティレベルが変わる設計は、現実に合わなくなっています。テレワーク中の職員は「社外」にいますが、業務データへのアクセスは必要です。
クラウドへの移行——データがサーバー室にある時代は終わりました。Microsoft 365やGoogleドライブにあるデータは、インターネット経由でどこからでもアクセスできます。「社内ネットワーク」の境界に意味がなくなっています。境界型セキュリティの前提が崩れています。
内部脅威の増加——退職者・現職者による内部漏洩は、社内ネットワークに繋がっていても起きます。「社内にいる人間は信頼できる」という前提は成立しません。内部者による不正が情報漏洩の主要な原因になっているケースは多いです。
外部からの侵入後の横展開——マルウェアやフィッシングで1台の端末に侵入した攻撃者は、社内ネットワーク内で「正規の社内端末」として横展開します。「社内に入れば信頼」という設計は、1点突破で全滅するリスクを内包しています。
ゼロトラストの3つの基本原則
アクセスの都度確認——一度ログインしたら終わりではなく、アクセスのたびに「この人は、この端末で、この場所から、このデータにアクセスしてよいか」を確認します。条件付きアクセスポリシーがこれを実現します。
最小権限——必要最小限のアクセス権だけを付与します。全員に全データへのアクセスを許可するのではなく、業務上必要な範囲のみに制限します。「余分な権限を持たせない」ことが内部漏洩と外部侵入の両方への対策になります。
継続的なログ監視——すべてのアクセスを記録し、異常なアクセスを検知します。ゼロトラストは「防御」だけでなく「検知」も重要な要素です。
Microsoft 365でゼロトラストを実現する
Entra IDの条件付きアクセス——「多要素認証が完了した場合のみアクセスを許可」「Intuneに登録された端末からのみアクセスを許可」「特定の国からのアクセスをブロック」「リスクが高いサインインを検知したら追加認証を要求」などのポリシーを設定できます。
Intune(MDM)——管理下にある端末のみにアクセスを限定することで、「誰が使っているか分からない端末」からのアクセスを排除できます。個人PCや管理外のスマートフォンからのアクセスを自動でブロックできます。
Microsoft Purview——データへのアクセスを記録し、外部への持ち出しを検知・ブロックします。「誰が何を持ち出したか」のログが残ります。
これらはMicrosoft 365 Business Premiumに含まれており、4〜15名規模の事務所であれば月数万円の範囲内で実現できます。
「完璧なゼロトラスト」は目標でなく方向性
ゼロトラストは、一度設定すれば完成するものではなく、継続的に整備・改善していく方向性です。まずは多要素認証の全員設定と条件付きアクセスの基本設定から始め、段階的に整えていくことをお勧めします。
ゼロトラストに向けたIT整備の現状確認と無料診断を実施しています。
▶ 士業向けIT・セキュリティ整備サービス
行政書士事務所みまもり
セキュリティ研究者・デジタルフォレンジックエンジニア
成田 浩志
