「Microsoft Entra Private Access / Microsoft Internet Access」社内/外へのセキュアなアクセスを実現
目次
- 1 「Microsoft Entra Private Access / Microsoft Internet Access」が必要な背景
- 2 「Microsoft Entra Private Access」とは
- 3 「Microsoft Internet Access」とは
- 4 「Microsoft Entra Private Access / Microsoft Internet Access」を導入する主なメリット
- 5 「Microsoft Entra Private Access / Microsoft Internet Access」想定ユースケース
- 6 「Microsoft Entra Private Access / Microsoft Internet Access」ライセンス要件と価格
「Microsoft Entra Private Access / Microsoft Internet Access」が必要な背景
長年、社内システムへのアクセス手段として利用されてきたVPN環境は便利な一方で、近年の「クラウド移行」と「在宅勤務の拡大」に伴い、セキュリティ面・運用面で以下のような課題が顕在化しています。
- VPNゲートウェイはインターネット上に公開されるため攻撃対象となりやすい。
- 利用者は毎回VPN接続が必要で、利便性に欠ける。
- 利用者の急増によりVPN装置の処理能力を超えると通信遅延が発生し、業務に支障をきたす。
- 各拠点でのVPN機器の設置・管理には運用負荷が高く、設定変更やパッチ適用にも手間がかかる。
- 脆弱性を突かれると社内システム全体が侵害される恐れが発生する。
- 一度認証されると広範囲な社内ネットワークにアクセス可能となるため、不正侵入時の被害範囲が大きくなる。
こうした背景から、VPNに依存しない「脱VPN」のトレンドが進み、ユーザーや端末を常時検証し、必要なアプリケーションへの接続のみを許可するゼロトラストネットワークアクセス (ZTNA) が注目されています。同時に、ネットワーク越しのクラウド/SaaS利用にも高度なセキュリティを適用するセキュアアクセスサービスエッジ (SASE)の概念が広がり、その分野を担うクラウドサービスも登場してきました。
「Microsoft Entra Private Access」と「Microsoft Internet Access」はマイクロソフトが提供する最新のSASE/SSEソリューションです。この2つのサービスによって、「社内システムへのリモートアクセス」と「インターネット/SaaS利用」の両面をゼロトラストで保護することが可能になります。
「Microsoft Entra Private Access」とは
ユーザーの属性や認証情報をベースに、ゼロトラストの考え方で安全にネットワークへアクセスさせる仕組み(ZTNA)を提供します。従来のVPNが抱える欠点を解消しつつ、ユーザーがどこからでも社内リソースに安全かつ快適にアクセスできるよう設計されています。
Microsoft Entra Private Access(イメージ図)
「Microsoft Entra Private Access」の主な特長
- 従来型リモートVPNからの置き換え
オンプレミス側に配置するコネクタサーバーがクラウド経由で通信を中継し、受信ポートを開放せずに社内ネットワークと外部を接続します。外部から直接社内への入口を作らないため攻撃対象を減らせます。VPNクライアントの代わりにエンドユーザー端末へ専用クライアントを導入し、自動で安全なトンネル接続を確立できます。 - ゼロトラスト認証と細かなアクセス制御
ユーザーのEntra ID (旧Azure AD)による認証とデバイスのコンプライアンスチェックを行い、条件付きアクセスポリシーで許可された場合のみ社内アプリに接続させます。アクセス許可もネットワーク全体ではなく特定のアプリ単位で行います。例えば「営業チームは販売管理システムのみアクセス可」等の細かな制御が可能で、権限外のリソースにはたとえ内部であっても接触できません。 - あらゆるアプリケーションに対応
Webアプリだけでなくデータベース、ファイル共有などTCP/UDPベースの様々なプロトコルをサポートします。従来VPNで利用していた社内サービスをほぼそのまま利用でき、オンプレミスのレガシーアプリも包含してゼロトラスト化できます。 - 統合管理と可視化
Azureポータル上で社内外すべてのアクセスポリシーを一元管理でき、監査ログも取得できます。誰がどのアプリにアクセスしたか可視化されるため、不要なサービスの洗い出しやアクセス傾向の分析が容易です。
「Microsoft Internet Access」とは
クラウド型のSecure Web Gatewayとして、インターネットアクセス時のセキュリティを提供します。
Microsoft Internet Access(イメージ図)
「Microsoft Internet Access」の主な特長
- ID連携型のWebフィルタ
Entra IDの条件付きアクセスと統合されており、ユーザーやグループ、場所、デバイス状態に応じてWebアクセスを許可・禁止できます。数百のURLカテゴリ(例:ニュース、SNS、アダルト等)によるサイトフィルタリングや、特定ドメインのブロック/許可ポリシーを設定可能です。社内ポリシーに沿わないサイトや危険なサイトへのアクセスをクラウド側で遮断します。 - マルウェア・脅威防御
クラウド上でのURLスキャンやマルウェア検知、TLS/SSL通信の復号検査に対応し、悪意あるスクリプトやダウンロードをリアルタイムでブロックします。フィッシングサイトやC&Cサーバーへの通信も検出して遮断するため、ゼロデイ攻撃や情報漏洩のリスクを低減します。 - ユニバーサルテナント制限
Microsoft 365 などクラウドサービス利用時に、自社テナント以外へのアクセスを制御できます。例えば社用端末から他社のMicrosoft 365 テナントにログインさせないようにする設定が可能で、社外へのデータ持ち出しを防止し、セキュリティを強化します。 - コンプライアントネットワーク
ネットワーク経由のトークン利用制限など高度な条件付きアクセスが可能です。安全なネットワーク経由以外ではクラウドアプリのセッションを許可しない等、ネットワーク面からのゼロトラストを実施できます。
「Microsoft Entra Private Access / Microsoft Internet Access」を導入する主なメリット
- セキュリティの強化
常にユーザー認証&端末検証&ポリシーチェックを行うことで、不正アクセスや内部からの情報漏洩リスクを最小化します。VPNのように社内網全体を開放しないため、仮に侵入を許しても攻撃の横展開が抑えられます。インターネットアクセスもリアルタイムで悪意ある通信をブロックするので、マルウェア感染やフィッシング被害を防ぎます。 - ユーザーの利便性向上
リモートユーザーでも煩わしいVPN接続作業が不要になり、ネットワークの切替を意識せず社内リソースやWebを利用できます。Azure経由の最適ルートで通信できるため、特に海外や遠隔地からの接続で体感速度が向上します。また、シングルサインオンによりパスワード入力回数が減り、業務効率が向上します。 - 運用負荷の軽減
物理VPN装置やオンプレプロキシの管理が不要となり、クラウドサービス側で自動でスケール・アップデートされます。ポリシー設定はEntra IDの延長で行えるため、新たな管理コンソールを覚える手間も少なく済みます。拠点追加やユーザー増にもソフトウェア的に対応でき、拡張時の工事も不要です。 - ゼロトラスト戦略の推進
Microsoft Entraスイートの一部として、ID保護(Entra ID Protection)や権限管理(Entra ID Governance)とも連携する基盤が得られます。また、統合されたログで一貫監視ができ、Microsoft SentinelなどSIEMによる分析も容易です。全社的なゼロトラストアーキテクチャの実現に向けた礎となります。
「Microsoft Entra 管理センター」の画面
条件付きアクセス機能により、任意の宛先ネットワークへのアクセスを常に検証します。
「Microsoft Entra Private Access / Microsoft Internet Access」想定ユースケース
在宅勤務・出先からの社内システム利用
例えば自宅から社内のERPやファイルサーバにアクセスする場合、従来VPNを使っていたところを Private Access クライアント経由に切り替えます。多要素認証や端末要件付きで常に安全に接続でき、ユーザーはVPN接続の待ち時間なしでスムーズに業務を開始できます。
取引先・委託先への限定アクセス提供
外部の協力会社に対し、自社の特定システムだけ使わせたい場合に Private Access を適用します。対象アプリ以外はアクセス不可能とすることで、リモートVPNより厳格なコントロールが可能です。期間限定のアクセス権付与やオン/オフボーディングもライセンスの割当てで簡単に管理できます。
ハイブリッド環境の一元管理
オンプレとAzure/AWSなどマルチクラウドにまたがる社内アプリへのアクセスを一括してPrivate Accessで保護します。ユーザーは場所や接続先を意識せず単一の手段でアクセスでき、管理者はEntraポータルで全てのリソースのアクセス状況を把握できます。
オフィスのローカルブレイクアウト
支店・店舗ネットワークから直接インターネット接続する際、Entra Internet Access を導入すれば、各拠点にファイアウォールを設置することなくクラウドでWebセキュリティを確保できます。これにより本社集中型のトラフィックから脱却しつつ、全拠点共通のポリシーを適用できます。SD-WAN環境との親和性も高く、ネットワーク構成をシンプルにします。
従業員のWeb利用モニタリングと制御
社用PCからのWebアクセスに対して、不適切サイト閲覧の防止や業務中のSNS利用制限などを一律で実施できます。さらに個人用クラウドへのアップロード禁止など情報漏洩経路のシャットアウトにも使えます。リモートワーク中でもITガバナンスを効かせられるため、内部統制上の安心感が高まります。
クラウドサービス利用の安全性確保
Microsoft365 などの業務SaaS利用において、Entra Internet Access の条件付きルールで「社内管理された端末からのみ利用可」等を実現できます。シャドーITの検知や、他社テナントへの機密データ誤共有をテナント制限で防ぐなど、クラウド活用とセキュリティの両立に寄与します。
「Microsoft Entra Private Access / Microsoft Internet Access」ライセンス要件と価格
「Microsoft Entra Private Access / Microsoft Internet Access」の利用には、Microsoft Entra ID P1以上のライセンスが必要です。その上で、サービス利用権を以下のいずれかの形で取得します。
「Microsoft Entra Suite」を契約する
「Microsoft Private Access」、「Microsoft Internet Access」に加え、Entra ID Protection やVerified ID 等をまとめた包括スイートプランです。「Microsoft Entra Suite」を契約すると、両サービスが利用可能になります。
- 価格:約¥1,799.-/月(1ユーザーあたり、年契約年払いの場合、税別)
「Microsoft Private Access」および「Microsoft Internet Access」個別アドオン
「Microsoft Private Access」、「Microsoft Internet Access」を単体で追加購入することもできます。必要なサービスだけ選択することでコスト調整も可能です。
- 価格:約¥749.-/月(1ユーザーあたり、年契約年払いの場合、税別)
ディーアイエスサービス&ソリューションでは、Microsoftクラウドセキュリティ製品の導入支援サービスを提供しています。「Microsoft Entra Private」、「Microsoft Internet Access」の要件ヒアリングから設計、PoC(概念実証)構築、本番展開、既存VPNからの切替までトータルでサポート可能です。本サービスの詳細につきましては、下記リンク先よりご覧ください。
「Microsoft Entra Private Access / Microsoft Internet Access」につきましては、ディーアイエスサービス&ソリューションまでお問い合わせください。
「Microsoft Entra Private Access / Microsoft Internet Access」導入サービス
