ゼロトラスト時代の第一歩:認可端末だけが社内システムにアクセスできる仕組みづくり
さくBiz管理者「社内ネットワーク内だから安全」「VPN接続後はフルアクセスできる」といった考え方は、近年のクラウド活用やリモートワーク環境下ではもはや通用しません。攻撃者が社外から侵入する、従業員が持ち歩く端末が盗難・紛失するなど、どこに脆弱性があるかを前提とした設計が求められます。
このような背景下で、ゼロトラストセキュリティモデルが注目を集めています。ゼロトラストでは「信頼できるものは何もない」「常に検証する」アプローチが基本となりますが、その第一歩は「どの端末がアクセスしているかを把握し、制御すること」です。つまり、企業が認めた、管理・登録済みの端末からのみ社内システムにアクセスを許可する仕組みを導入することが、安全性の基盤となります。
以下では、認可端末制御の考え方、Microsoft 365/Google Workspaceでの実現方法、サードパーティー活用例、そして段階的な導入ステップを詳細に解説します。
認可端末制御の基本構成と考え方
「認可された端末からのみアクセスを許可する」とは、端末が企業管理下に登録されていることを条件に、システムへの接続を許可するルールを設けることを指します。この制御によって、未登録の私物端末や不正な機器からのアクセスをブロックできます。実装には以下の要素が関係します。
- 端末登録・証明書の発行
管理対象端末には証明書を発行したり、デバイスIDを登録したりして、管理システムがその端末を「信頼済み」と認知できるようにします。 - デバイスコンプライアンスチェック
登録済み端末であっても、OSパッチ適用状況、アンチウイルス状態、暗号化設定状態などを確認し、基準を満たしていない場合はアクセスを制限するポリシーを設けることが望ましいです。 - 条件付きアクセスルール
アクセス時に「この端末が登録済みか?」「ネットワーク場所は信頼できるか?」「多要素認証は通っているか?」など複数の条件をチェックし、条件に合致しなければ拒否または制限(ステップアップ認証、限定アクセスなど)を行います。 - ネットワーク信号・場所制約
VPN使用時、IPレンジ制限、ネームドロケーション(国・地域限定など)の設定を併用することで、より厳密なアクセス制御が可能です。 - 運用と例外対応
時には例外アクセスが必要になることもあります。たとえば出張先でのアクセス、緊急対応端末など、事前申請・一時例外付与機能も運用上不可欠です。
認可端末制御を実現する際は、セキュリティ性と利便性のバランスを取りながら、段階的に運用の幅を広げていくのが現実的なアプローチです。
Microsoft 365環境での実現方法
Microsoft 365をお使いの企業であれば、特に Microsoft Intune や Entra IDを組み合わせて認可端末制御を構築することが可能です。
Intune と条件付きアクセスによる端末制御
- 条件付きアクセス
Entra IDには「条件付きアクセス(Conditional Access)」という仕組みがあり、アクセスを試みる際に複数の条件を評価してポリシーを適用できます。
この中には「デバイスが登録済みであること」「デバイスがコンプライアンス状態であること」などの条件を含めることが可能です。
たとえば、Microsoft 365 や Exchange Online などへのアクセス時に、登録済み端末からでなければログインを拒否するポリシーを設定できます。 - Intune による端末管理とコンプライアンス制御
Intune は、Windows、iOS、Android、macOS などの各プラットフォームを一元管理し、構成プロファイルやセキュリティポリシー(暗号化、パスワード要求、アプリ制御など)を適用できます。
条件付きアクセスを用いたアクセス制御と併用することで、登録済端末で、かつポリシー準拠した端末だけアクセスを許す強固な環境を構築できます。 - 段階的導入のポイント
1. まずは会社貸与の端末を Intune 管理対象とし、条件付きアクセスを限定的に適用
2. パイロットユーザーを選び、運用負荷や不都合を確認
3. 社内展開時には例外申請プロセスやサポート体制も整備
4. BYOD(個人端末持ち込み)対応を段階的に検討(ただし、BYOD端末に対しては制限付きアクセスやアプリ単位制御を併用することが多い) - 注意点・制限
- すべてのデバイスを Intune に登録できない環境も存在します。未登録端末への対応は難しいとする技術的制約も指摘されています。
- 条件付きアクセスではあくまで「クラウドサービスへのアクセス制御」が前提であり、デスクトップアプリケーションそのものの利用制御には限界があります。
- ネームドロケーション(例:日本国内アクセスのみ許可)や IP 制限を併用してセキュリティ性を強化することも可能です。
このように、Microsoft 365 環境では Intune + 条件付きアクセスを用いることで、比較的システムとして一体運用できる認可端末制御が実現可能です。ただし導入時には運用負荷・例外対応なども含めた計画が不可欠です。
Google Workspace環境での実現方法
Google Workspace を導入している企業でも、端末管理・アクセス制御機能が提供されており、認可端末制御の実装が可能です。
Google Workspace のエンドポイント管理(Endpoint Management)
- 基本管理と高度管理
Google Workspace には、エンドポイント管理機能(Endpoint Management)が標準で備わっており、モバイルデバイスやPC端末に対して最低限の制御を行うことができます。
基本管理では、画面ロック強制、パスコード要求、アカウントワイプなどが可能です。高度管理モードを有効化すると、より強い制御(アプリ配布、証明書設定、リモートワイプなど)も可能になります。
ただし、利用できる制御機能はいくつかの Workspace エディションに依存します。 - デバイス登録とアクセス制御
PC(Windows/macOS)なども、管理コンソールから登録・管理できます。未登録端末、あるいは準拠要件を満たさない端末からのアクセスをブロックする設定も可能です。
さらに、Context-Aware Access(コンテキスト認証)を活用すれば、アクセス元のデバイス属性や場所、ネットワーク条件を加味した制御が可能になります(Workspace Enterprise などで提供) - サードパーティ MDM との連携
より高度な制御を求める場合、Google Workspace と MDM の統合が有効です。たとえば、ManageEngine MDM などを Google Workspace と連携させ、条件ベースで端末制御を強化する構成も可能です。
こうした構成では、MDM 側で端末登録・制御を行い、Google Workspace のアクセス制御設定と組み合わせて運用することが多いです。 - 導入上の留意点
- すべての端末制御機能が低価格契約では提供されないこともあるため、ライセンスプランをよく確認すること(エディション差異に注意)
- BYOD 端末へのアクセス制御は、アプリ単体制御やコンテキスト制御を併用することが現実的
- MDM 連携構成を選ぶ際は認証方式・API連携・証明書管理の整備も検討が必要
Google Workspace 環境でも、もともとのエンドポイント管理機能+(必要に応じて MDM 連携)を組み合わせることで、認可端末制御の基盤を構築できます。
サードパーティー製品・サービスを使った構成例
中小~中堅企業では、Microsoft や Google の純正機能だけでは不十分と感じるケースもあります。そこで、サードパーティー製品を併用して認可端末制御を強化する構成例を紹介します。
代表的な製品/サービス例
- MDM/UEM製品
LanScope(日本国内ベンダー)など、国内企業で導入実績のある MDM 製品は、OS やアプリ制御、証明書配布、遠隔ワイプ、USB制御など細かい制御が可能です。
また、Miradore(GoTo 傘下)など、クラウド型 UEM 製品も Google Workspace 対応例として紹介されています。
こうした製品を Microsoft 365 や Google Workspace と連携し、端末登録・証明書配布・アクセス制御を統合的に運用する構成が一般的です。 - CASB(Cloud Access Security Broker)系製品
CASB 製品を併用することで、認可端末制御とアクセス制御をクラウドアプリ層でも強化できます。たとえば、未知の端末からのアクセスを検出し、追加認証を求めたり制限アクセスをかけたりする運用が可能です。 - SIEM/認証ゲートウェイとの連携
認可端末制御のポリシー適用結果をログとして収集し、SIEM を通じて異常アクセスを検知する構成も考えられます。これにより、制御だけでなく運用フェーズでも安心感が高まります。
構成例パターン
| パターン | 構成概要 | 特長・メリット | 留意点 |
| 純正+MDM併用型 | Intune または Google エンドポイント管理を主軸に、MDM 製品を補強 | 各機能を最適に補い合う、柔軟性が高い | 設定の整合性管理がやや煩雑 |
| CASB併用型 | 認可端末制御+CASB でクラウドアクセスポリシーを強化 | クラウド利用時の追加制御、細かなルール実行が可能 | CASB の導入コストと運用負荷を見極める必要あり |
| 統合運用型 | MDM・CASB・SIEM 等を連携させた総合運用体制 | 制御・可視化・ログ分析を一元化できる | 導入段階が最も複雑。初期設計・運用体制の整備が必須 |
中小企業においては、最初から統合運用型に踏み切ることはハードルが高いため、まずは純正機能+MDM補強の構成から始め、運用負荷や効果を見ながら拡張していくことが現実的です。
導入ステップと運用設計のポイント
認可端末制御を効果的に導入するには、段階的かつ綿密な運用設計が不可欠です。以下は導入の進め方と現場対応の視点です。
- 現状調査・アセスメント
- 社内で使われている端末(貸与/持込み含む)の実数・機種を把握する
- OSバージョン、パッチ適用状況、セキュリティソフト導入状況などを確認
- アクセス先システム、業務フローを整理し、制御ポリシーを分割可能な単位に分類 - パイロット導入フェーズ
- まずは管理可能な社員(IT部門、営業部門など)で試験運用
- 制御ポリシーを限定的に適用し、アクセス拒否による業務停止リスクを洗い出す
- 例外アクセス手順(申請・承認・一時解除など)を整備 - 段階的拡張・本番展開
- 制御対象を段階的に広げる(部門 → 全社)
- ポリシーの効果と運用負荷をレビューし、改善を繰り返す
- 端末申請・登録プロセス、運用マニュアル整備、社内教育を同時に実施 - 例外管理と監視体制
- 緊急対応用例外アクセス機能の整備
- 制御ポリシー違反やアクセス拒否ログを定期チェック
- アラート通知や報告フローを構築 - 継続的評価・改善
- 新端末・OS登場時のポリシー見直し
- セキュリティ要件(暗号化、脅威防御など)強化との整合性確保
- 利便性とセキュリティのバランスを定期的に再評価 - 運用体制設計
- 権限分離(ポリシー設定者/運用者/監査者)
- ログ管理とレビュー頻度設計
- 利用者サポート窓口(端末登録、アクセス拒否時対応)体制整備
まとめ:認可端末制御はゼロトラストの“入口”であり継続力が鍵
認可端末制御は、ゼロトラスト導入の最初のステップとして非常に重要です。「この端末からアクセスが来ているのか」を確実に把握できることは、あとのアクセス制御・データ保護・ログ監視などすべての基盤になります。
ただし、最初から「すべてを厳格に制御する」アプローチは運用が破綻するリスクも伴います。中小企業においては、まずは管理可能な範囲で制御を始め、利用実態と運用負荷を見ながら拡張していくことが現実的です。
これらのサポートをご希望の方はこちらからご連絡ください!
