はじめに
以下の URL で、Global Secure Access (GSA) の運用ガイド が公開されました。
MICROSOFT ENTRA BLOG : Run Global Secure Access with confidence: Introducing the GSA Operations Guide
https://techcommunity.microsoft.com/blog/microsoft-entra-blog/run-global-secure-access-with-confidence-introducing-the-gsa-operations-guide/4524891
どういうことが書いてあるのかを一言で表すと・・
「導入できた」から「安定運用できる」へ引き上げるガイドとなっています。
従来 GSA のドキュメントは、導入までは整っていたが、運用 (=Day2) については体系化されていなかったことが示されており、
現場では、以下のような課題が発生しがちです:
- 誰が何を監視するのか不明瞭
- ヘルスチェックの頻度がバラバラ
- アラート対応が随時対応
各組織ごとに
独自の監視構成、ルール が必要となってしまう状態
このギャップを埋めるのが 今回のガイド の 位置づけ・目的 となっています。
運用ガイドの位置づけ
- Microsoft Learnで公開された公式の運用ガイド
- 対象:
- IT 管理者
- ネットワークセキュリティ
- プラットフォーム運用
- セキュリティリーダー
- 前提:
- GSA がすでに導入済みであること
GSA 運用ガイドの場所
冒頭で説明した BLOG から、運用ガイドへ通じるリンクが示されています。
以下の記事のタイトルは「操作ガイド」となっていますが、英文では Operations guide となっており、日本人に通じる意味としては、運用ガイド です。
公開情報:Microsoft Entra グローバル セキュリティで保護されたアクセス操作ガイド
https://learn.microsoft.com/ja-jp/entra/global-secure-access/overview-operations?wt.mc_id=MVP_407731
当記事では、上記の運用ガイドの内容を理解するために、整理した内容がベースです。
あくまで、動作検証を実施したものではなく、ネットワークの運用経験があり、GSA の導入技術者 である 私 が 企業環境での運用を想像しつつ、本ガイドに沿った場合には、どう考えれば良いのか? を考察したものになっています。
公式運用ガイド に沿った説明をしていますが、解釈は 私の意見が含まれている点をご承知おきください。
本記事をきっかけに、運用ガイドを参照いただき、各組織で導入すべき GSA の運用とは何か? を検討する切っ掛けとしていただければ幸いです。
※本記事は、GSA を導入済み、または導入予定で「運用設計」に悩んでいる方向けに記載しています。
全体像
下図は、GSA の主な機能(運用の対象)に対して、運用ライフサイクルに沿った実装ステップと、各ステップで必要となる主な成果物を整理し、運用設計から実装、継続的な改善までを一貫して実行できる運用モデルの全体像を示しています。
さらに、運用を支える基盤や補完事項を含めて可視化することで、実務でそのまま活用可能な設計モデルとなっています。
本記事で採用されている図について
図は、生成 AI (Copilot) にて描画させていますが、公式情報を丸投げして一発生成したものではなく、私が公開情報を読み解き、論理を組み立ててから ドラフトを生成し、修正を加えながら完成させたものになっています。
運用ライフサイクルを設計・実装する(運用モデルの確立)
運用ガイドでは、俯瞰図で示した運用モデルを実装するためには、
以下の順序で進めることが重要と説明されています。
- 運用体制を確立する(チーム / RACI)
- アラートを構成する(検知・対応の起点)
- ベースラインを確立する(正常状態の定義)
- 自動化を設定する(運用効率の向上)
- 定期的なヘルスチェックを実施する(維持・予防)
- メトリクスとレポートを開始する(評価・改善)
これらを順番に実装していくことで、属人化しない標準化された運用と、継続的に改善可能な運用サイクルが成立します。
本記事で整理する運用モデルの最終的なゴールは、
- アラートが自動で検知・通知され
- 対応フローが明確で迅速に処理され
- 定期的なレビューと改善が継続される
という状態を実現することです。
つまり、
「属人性に依存せず、継続的に運用品質を向上できる状態」 が、GSA 運用の理想形となります。
1. 運用体制を確立する(チーム / RACI)
GSA の運用では、まず役割(RACI)を定義し、誰がどの責任を持つかを明確化することが肝要です。
RACI については、以下の公開情報で説明されていますが、これを 実際の組織と照らし合わせて、具体的なものとして定義する必要があります。
公開情報:RACIマトリクス
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operations-common?wt.mc_id=MVP_407731#raci-matrix
公開情報に記載されている役割は、あくまでサンプルと捉え、自組織にフィットするように再設計することが必要と考えます。
当記事では、その例として 中規模で具体的な組織を想定して、設計してみました。
1-1. 構成例(中規模組織)
- サービスオーナー(部長)
- 運用リーダー(課長)
- 運用メンバー:2 名
- SOC:アウトソース利用
- 伴奏支援ベンダー:2名
- 派遣担当者:なし
1-2. 設計ポイント(伴走支援・非常駐モデル)
- 日次運用(監視・一次対応)はSOC主体で実施する
- 運用メンバーが主体となり、作業および意思決定を担う
- 伴走支援ベンダーは、設計・検証・レビューを通じて内製化を支援する
- エスカレーション判断は、SOCの分析結果をもとに内製側で実施する
- 最終責任(Accountable)は必ず自組織に残す
1-3. RACIの考え方(簡易例:中規模組織)
| 役割 | 主な責任 |
|---|---|
| サービスオーナー | 全体方針・承認・最終責任 |
| 運用リーダー(課長) | 日常運用における意思決定・エスカレーション判断・運用統括 |
| 運用メンバー | 運用作業の実行(構成変更・ヘルスチェック・改善施策の実施) |
| SOC(外部委託) | 24時間365日の監視・一次対応・セキュリティアラートの分析 |
| 伴走支援ベンダー | 設計支援・検証・レビュー・ナレッジ移転 |
上記のように、少数精鋭組織であっても、自社内の役職単位、自社とベンダー との間では、明確に 責任と役割を持たせておくことが望ましいと考えます。
1-4. RACI マトリクス例(中規模組織)
以下は、中規模な組織を想定したRACIマトリクスの一例です。
各運用タスクに対して、最終責任(A)、責任(R)、相談(C)、共有(I)を明確化します。
※本表は、Microsoft の運用ガイドで定義されている Activity を基に、実運用で利用しやすい粒度に再構成したものです。
| 運用タスク | サービス オーナー (部長) |
運用リーダー (課長) |
運用メンバー | SOC 外部委託 |
伴奏支援 ベンダー |
|---|---|---|---|---|---|
| アラート監視 | - | I | I | R | - |
| アラート一次対応 | - | I | I | R | - |
| セキュリティアラート分析 | - | I | C | R | C |
| エスカレーション判断 | I | A | R | - | C |
| ヘルスチェック(日次) | - | I | I | R | - |
| ヘルスチェック(週次) | - | A | R | C | - |
| ヘルスチェック(月次) | A | R | R | C | C |
| インシデント対応 | I | A | R | R | C |
| 構成変更(通常) | - | A | R | I | C |
| 構成変更(重大) | A | R | R | I | C |
| ロールバック | A | R | R | I | C |
| 自動化・スクリプト改善 | - | A | R | I | C |
| メトリクス分析・レポート | I | A | R | C | C |
| 改善施策決定 | A | R | R | C | C |
各記号の意味
- R(Responsible):作業の実行責任
- A(Accountable):最終責任(必ず1人)
- C(Consulted):相談・レビュー対象
- I(Informed):情報共有対象
責任分界の明確化(重要)
GSA の運用では、「誰が何をやるか」だけでなく、
「どこまでが責任範囲か」を明確にすることが重要です。
責任の境界が曖昧になると、
対応遅延や判断ミスの原因となります。
そのため、
責任分界(Ownership boundary)を明確に設計すること
が、安定運用の前提となります。
SOC と内製の役割分離(具体例)
本構成では、上記の責任分界の考え方に基づき、
- SOC(外部):監視・一次対応・分析
- 内製(自社):意思決定・実行
という役割分離を行っています。
エスカレーション判断は、SOC の分析結果をもとに運用メンバーが実施し、
最終責任はサービスオーナーが担います。
これにより、
- 即応性(SOC)
- 意思決定(内製)
を明確に分離し、責任分界の曖昧さを防ぎます。
2. アラートを構成する(検知・対応の起点)
アラートは、GSA運用における「検知と初動対応の起点」となる重要な仕組みです。
本章の構成で、運用ガイドが推奨する 重大なアラート を運用者が受け取れるようになります。
まず、ログを保存するための構成を行い、続いて アラートを構成します。
運用設計の前提(重要)
本ガイドでは、ダッシュボードを常時監視する運用ではなく、
アラートを起点とした「Alert-first の運用」が推奨されています。
- ダッシュボード:傾向分析・レポート用
- アラート:検知・対応の起点
という役割分担を明確にしたうえで、運用設計を行うことが重要です。
2-1. ログ保存の構成
(Step1)
まず、アラートを構成・検知できるようにするためには、Azure 環境が必要です。
GSA のログを Azure LogAnalytics というログのデータベースへ保存されるように構成します。
Azure Monitor の機能を使って、事前作成した アラートルールに従って、管理者へのメール通知の実施が可能です。
公開情報:ログをエクスポートするように診断設定を構成する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-view-traffic-logs?wt.mc_id=MVP_407731#configure-diagnostic-settings-to-export-logs
以下の私の記事を参考に 以下の指標を追加します。
Microsoft Entra ID のログを Log Analytics に保存する
https://qiita.com/carol0226/items/ded21f16f67fece2cc65
(指標)
- AuditLogs → 監査ログ
- NetworkAccessTrafficLogs → トラフィックログ・M365 強化ログ
- RemoteNetworkHealthLogs → リモートネットワークヘルスログ
- NetworkAccessConnectionEvents → 接続ログ
- NetworkAccessAlerts → GSAサービスがネイティブ生成するアラート
- NetworkAccessGenerativeAIInsights → 生成AI分析情報ログ・MCPトラフィックログ
(Step2)
さらに SIEM 統合 を実現することも可能です。
以下の公開情報で説明されている GSA と Sentinel との統合を実施します。
Sentinel が持つ アラートルールに従って、管理者へのメール通知の実施が可能です。
公開情報:Microsoft Sentinel でグローバルセキュリティで保護されたアクセスを使用して脅威検出を強化する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-sentinel-integration?wt.mc_id=MVP_407731
(Step3)
プライベートネットワークコネクタ (PNC) は、Windows Server で稼働しています。
このログは、Entra テナント側からは取得できないため、サーバー単位で ログ取得を構成する必要があります。
この構成は重要で、最初にやった方が良いくらいなのですが、技術的なハードルが高いですし、ログの保存先が LogAnalytics なのか Sentinel なのかが定まってからの構成でも良いかと思って Step3 としました。
Entra Private Access を採用している環境では、必ず 構成しましょう。
※別途、オンプレミス用に 監視基盤をお持ちであれば、そちらで監視でも OK です。
公開情報:プライベート ネットワーク コネクタのログを Log Analytics ワークスペースにエクスポートする
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-export-connector-logs?wt.mc_id=MVP_407731
2-2. アラートの構成
ログ保存が構成できたら、各機能ガイドに記載されている 構成すべき重大なアラート を確認して アラート設定を行います。
対象は以下の4つです:
- Private Access
- Internet Access
- Remote Networks
- Microsoft Traffic
公開情報:Private Access / 構成すべき重大なアラート
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-private-access?wt.mc_id=MVP_407731#critical-alerts-to-configure
公開情報:Internet Access / 構成すべき重大なアラート
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#critical-alerts-to-configure
公開情報:Remote Network / 構成すべき重大なアラート
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-remote-networks?wt.mc_id=MVP_407731#critical-alerts-to-configure
公開情報:Microsoft Traffic / 構成すべき重大なアラート
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-microsoft-traffic?wt.mc_id=MVP_407731#critical-alerts-to-configure
これにより、ガイドが推奨する 重大アラート の通知が受け取れるようになりました。
考察
この章で構成するアラートは 重大なアラート です。
セキュリティアラート分析 で、"R" と "C" に割り当てられた担当者へ通知を行い、"R" の担当者が最優先で分析し 初動対応することが求められます。
3. ベースラインを確立する
ベースラインの確立は、「異常に気づける運用」を実現するための重要なステップとなります。
ベースラインとは、普段利用している傾向をつかみ、そこから想定される指標を定めておくことです。
その指標を超えた場合に、アラートを発出します。
重大なアラート と ベースライン との違いですが、
日本のシステム監視に例えると、死活監視 と 閾値監視 に例えられます。
死活監視で検出されたアラートは、何かが いままさに停止していることを示しており、サービス継続のためには いますぐに状況判断と復旧が求められます。
閾値監視は、CPU 使用率や ディスク使用率を計測しておき、閾値を超えた場合に 一旦 状況を確認した上で、閾値を上げるのか、原因を特定してケアするのかを判断するための指標です。
健康診断で、血液検査などを行いますが、通常の範囲から外れていると、医師の受診を求められますよね。アレに似ています。直ちに死ぬわけではないけど、健康を保つための指標となりますので、一般的には 即時対応が必要ではなく、週次レポートや月次レポートで取り上げることにより、GSA 環境の維持に繋げます。
ガイドによると、GSA のベースライン監視は、トラフィック量、待機時間、および使用状況に関する 30 日間のパフォーマンス ベースラインを収集することから始めると良いとされています。
各機能ガイドには、ベースラインの確立のための Kusto クエリ言語 (KQL) クエリが含まれています。
以下は、プライベートアクセス の公開情報で説明されている箇所です。同様に インターネットアクセス、リモートネットワーク の該当箇所を参照します。※Microsoft Traffic だけ 記載のされ方が異なっていますが、
公開情報:プライベート アクセス監視用の KQL クエリ
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-private-access?wt.mc_id=MVP_407731#kql-queries-for-private-access-monitoring
公開情報:インターネット アクセス監視のための KQL クエリ
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#kql-queries-for-internet-access-monitoring
公開情報:リモート ネットワーク監視用の KQL クエリ
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-remote-networks?wt.mc_id=MVP_407731#kql-queries-for-remote-network-monitoring
公開情報:アラートと監視 (Microsoft Traffic)
他のチャネルと記載のされ方が違いますが、以下の赤枠のリンク先に飛んでから、対象の KQL を使ってください。
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-microsoft-traffic?wt.mc_id=MVP_407731#alerting-and-monitoring
4. 自動化を設定する(運用効率の向上)
基本的に、1~3 章までが構成されていれば、最低限の GSA の運用が実現できます。
ですが、自動化することで、運用の効率化(工数削減)が期待できます。
ガイドによると、まず 構成バックアップ から始めることが示されています。
そして、運用しながら時間をかけて、完全な自動化プレイブック運用へ拡張していくことが示されています。
4-1. 構成バックアップの自動化
運用ガイドでは、以下のように示されており、本記事で 記載した章に分けて説明しています。
-
GSA 固有の Graph リソース:(4-1-1 章)
コネクタ グループ、トラフィック転送プロファイル、リモート ネットワーク、フィルター ポリシー。 -
GSA の制御とサポートに関わる Microsoft Entra ID オブジェクト:(4-1-2 章)
条件付きアクセス ポリシー、名前付き場所、サービス プリンシパル、アプリ ロールの割り当て。
公開情報:構成のバックアップ戦略
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operations-common?wt.mc_id=MVP_407731#configuration-backup-strategy
4-1-1. GSA 構成のバックアップ
GSA 独自の構成は、以下の Graph API を使ってバックアップするように示されてます。
なお、ガイドでは エクスポート のコマンドのみが示されていますが、これを 週次で定期実行するように案内されています。※Azure Automation などの機能を利用する必要があります。
公開情報:Graph APIを使用してプライベート アクセス構成をエクスポートする
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-private-access?wt.mc_id=MVP_407731#export-private-access-configuration-via-graph-api
公開情報:Graph API経由でインターネット アクセス構成をエクスポートする
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#export-internet-access-configuration-via-graph-api
公開情報:Graph API経由でリモート ネットワーク構成をエクスポートする
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-remote-networks?wt.mc_id=MVP_407731#export-remote-network-configuration-via-graph-api
公開情報:Graph API経由Microsoftトラフィック プロファイル構成をエクスポートする
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-microsoft-traffic?wt.mc_id=MVP_407731#export-microsoft-traffic-profile-configuration-via-graph-api
4-1-2. Entra ID のバックアップ
Microsoft Entra IDでは、サポートされているディレクトリ オブジェクトの毎日の自動スナップショットを取得し、スコープ指定された復元を許可するネイティブ Backup and Recovery サービス (Preview) が提供されます。この スナップショットには、GSA に直接影響するオブジェクトが含まれています。
公開情報:GSA 関連の Microsoft Entra ID オブジェクト — Microsoft Entra のバックアップと回復
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operations-common?wt.mc_id=MVP_407731#gsa-related-microsoft-entra-id-objects--microsoft-entra-backup-and-recovery
ぐっちさんが、以下の記事で 本機能のレビューをまとめられています。
クラウド環境の破壊型サイバー攻撃に備えるために Microsoft Entra ID のネイティブバックアップを試してみる
https://qiita.com/hirotomotaguchi/items/e92b4c5c5c2c9dfa4c7b
4-2. 自動化プレイブック
自動化プレイブックとは、人が手動で運用している操作を プレイブックという仕組みを使って自動することを指しています。
次章では、定期的なヘルスチェック について説明されていますが、それらは 手動で行う必要がありますが、事前に 自動化 しておくことで、手動で行う手順を減らすことが可能になります。
組織の規模にもよりますが、いきなり全てを初期時に構築することは大変ですが、日々手動で運用しながら その手間を軽減するために 時間をかけて自動化していくと良いと思います。
公開情報:プライベートアクセス / 自動化プレイブック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-private-access?wt.mc_id=MVP_407731#automation-playbooks
公開情報:インターネットアクセス / 自動化プレイブック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#automation-playbooks
公開情報:リモートネットワーク / 自動化プレイブック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-remote-networks?wt.mc_id=MVP_407731#automation-playbooks
公開情報:Microsoft Traffic / 自動化プレイブック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-microsoft-traffic?wt.mc_id=MVP_407731#automation-playbooks
5. 定期的なヘルスチェックを実施する(維持・予防)
運用ガイドで示されているチェックリスト をもとに、日次・週次・月次 で定期的なチェックタスクを実施します。
なお、前章の 4-2. でプレイブックを構成しておくことで、この手動タスクの工数削減に役立ちます。
5-1. 手動チェックリストフォーマット
各機能を横断した 日々のチェックリスト が用意されており、チェックリスト形式で日々の状態を記録できるフォーマットになっています。
公開情報:グローバル セキュア アクセスの毎日の正常性チェック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-daily-health-check?wt.mc_id=MVP_407731
プライベートアクセスについては、組織向けに 正常性チェック テンプレート も用意されています。
公開情報:Private Access の正常性チェックチェックリスト
https://learn.microsoft.com/ja-jp/entra/global-secure-access/reference-private-access-health-check?wt.mc_id=MVP_407731
5-2. 各機能のヘルスチェック観点と 自動化可否
以下の公開情報には、各機能の定期的なヘルスチェックにおいてのチェック観点が示されており、それを自動化するための仕組みがある場合には、それも示されてます。
公開情報:プライベートアクセス / メンテナンスと正常性チェック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-private-access?wt.mc_id=MVP_407731#maintenance-and-health-checks
公開情報:インターネットアクセス / メンテナンスと正常性チェック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#maintenance-and-health-checks
公開情報:リモートネットワーク / メンテナンスと正常性チェック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-remote-networks?wt.mc_id=MVP_407731#maintenance-and-health-checks
公開情報:Microsoft Traffic / メンテナンスと正常性チェック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-microsoft-traffic?wt.mc_id=MVP_407731#maintenance-and-health-checks
6. メトリクスとレポートを開始する(評価・改善)
運用の成熟度を高めるためには、状態を可視化し、定量的に評価することが重要です。
レポートを通じて現状を把握し、改善サイクルへと繋げていきます。
6-1. レポートの報告頻度
レポートは、週次・月次など適切な頻度で継続的に実施することが重要です。
運用チームと管理層で必要な粒度が異なるため、それぞれに応じた報告サイクルを設計します。
公開情報:レポートの報告頻度
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operations-common?wt.mc_id=MVP_407731#reporting-cadence
6-2. レポートツール
レポート作成には、Log Analytics やダッシュボードなど、適切なツールの活用が重要です。
運用状況を効率的に把握できる仕組みを整備します。
6-3. レポートの指標
レポートでは、トラフィック量やエラー率など、運用状況を把握するための指標を定義します。
継続的な改善に繋げるためには、これらの指標を定期的に評価していくことが重要です。
公開情報:横断的な / メトリックとレポート
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operations-common?wt.mc_id=MVP_407731#metrics-and-reporting
公開情報:プライベートアクセス / 運用メトリック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-private-access?wt.mc_id=MVP_407731#operational-metrics
公開情報:インターネットアクセス / 運用メトリック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#operational-metrics
公開情報:リモートネットワーク / 運用メトリック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-remote-networks?wt.mc_id=MVP_407731#operational-metrics
公開情報:Microsoft Traffic / 運用メトリック
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-microsoft-traffic?wt.mc_id=MVP_407731#operational-metrics
7. 運用の補完事項(重要)
本章では、日々の運用では見落とされがちですが、運用品質と安定性に大きく影響する設計観点を整理します。
7-1. 自動姿勢評価(Zero Trust Assessment)
運用ガイドでは、手動のヘルスチェックや構成レビューに加えて、
Zero Trust Assessment による構成状態の自動評価が推奨されています。
これは、GSA の構成がベストプラクティスに沿っているかを継続的に評価する仕組みであり、
- 設定の不備
- セキュリティ上のリスク
- 推奨構成との差分
などを検出することが可能です。
従来の運用では、
「ログを見る」「アラートに対応する」ことが中心になりがちですが、
Zero Trust Assessment を活用することで、
「そもそも問題が起きない構成になっているか」
を事前に確認できるようになります。
なお、この評価はリアルタイムの障害検知ではなく、構成状態のチェックであるため、アラートとは役割が異なる点に注意が必要です。
公開情報:プライベートアクセス / 自動姿勢評価
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-private-access?wt.mc_id=MVP_407731#automated-posture-assessment
公開情報:インターネットアクセス / 自動姿勢評価
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#automated-posture-assessment
GSA の運用は、以下の 3 つの観点で捉えることができます:
- 構成状態:Zero Trust Assessment
- 動作状態:アラート
- 傾向分析:ベースライン
これらを組み合わせることで、
「問題を検知する運用」から「問題を予防する運用」へと発展させることが可能になります。
7-2. TLS 検査証明書の更新
TLS 検査証明書は、有効期限切れによって通信影響が発生するリスクがあるため、計画的な更新が重要です。
運用ガイドでも、有効期限の十分前から更新を実施することが推奨されています。
具体的なライフサイクルや更新タイミングについては、以下の公開情報を参照してください。
公開情報:TLS 検査証明書のライフサイクル
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#tls-inspection-certificate-lifecycle
7-3. Microsoft 365 ネットワーク接続テストの実施
Microsoft 365 サービスとの接続品質は、ユーザー体験やパフォーマンスに大きく影響するため、定期的に状態を確認することが重要です。
GSA 導入後においても、接続経路が最適化されているかを継続的に検証することが推奨されます。
具体的な確認方法や考え方については、以下の公開情報を参照してください。
Microsoft 365 接続テスト URL
https://connectivity.office.com/
公開情報:Microsoft 365 サービス統合
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-microsoft-traffic?wt.mc_id=MVP_407731#microsoft-365-service-integration
7-4. 変更管理
運用ガイドには、変更管理 についての説明が記載されていますが、基本的には 一般的な ITIL の考え方を踏襲すればよく、既に 組織内に 変更管理の運用が存在していれば、そこへ組み込むことを考えるのが良さそうです。
以下のガイドには、組織で ServiceNow などを利用していた場合、アラートから チケットを発行させる方法について言及されています(Logic Apps 用 ServiceNow コネクタの例)
運用ガイドでは、4つのカテゴリーに分類して、それぞれの変更時に 承認 や メンテナンス期間の考慮が必要かどうかを定義しておくことが示されています。GSA に関する操作の例示 を参考に、組織の変更管理として組み込んでください。
| カテゴリ | 定義 | 例示 | 承認が必要 | メンテナンス期間 |
|---|---|---|---|---|
| 標準 Standard |
- 事前に承認された手順に従う - リスクの低い定期的な変更 |
- 既存のポリシーグループへのユーザーの追加 - 許可リスト内のURLの更新 |
事前承認済み(変更ごとの承認なし) | 不要 |
| 通常 Normal |
- サービスの動作に影響する可能性があり、レビューが必要な変更 | - Webフィルタリングポリシーの変更 - アプリケーションセグメントの追加 - トラフィック転送ルールの変更 |
サービスオーナー または 変更諮問委員会 | 推奨 |
| 緊急 Emergency |
- アクティブな脅威または停止に対処するための緊急の変更 | - 悪意のあるURLカテゴリのブロック - 侵害されたコネクタの無効化 |
直ちに実行し、後からドキュメント化およびレビューを実施 | 不要(ただし変更後レビューが必要) |
| 主要 Major |
- 多くのユーザーまたはコアアーキテクチャに影響を与える大規模な変更 | - 新しいトラフィックプロファイルの有効化 - コネクタグループの再構築 - 大規模サイトのオンボード |
変更諮問委員会 | 必須 |
7-5. フェールオーバーの検証
GSA を安定的に運用するためには、障害発生時にサービスが継続できるかどうかの検証が重要となります。
フェールオーバーが正しく動作することを事前に確認しておくことで、実障害時の影響を最小化することが可能です。
具体的な検証手順や考慮点については、以下の公開情報を参照してください。
公開情報:フェールオーバーの検証
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-private-access?wt.mc_id=MVP_407731#failover-validation
7-6. プロンプトインジェクション保護の検証
生成 AI の活用が広がる中で、プロンプトインジェクション対策は重要な観点となります。
GSA では、このようなリスクに対する保護機能と、その検証方法が提供されています。
具体的な検証手順や考慮点については、以下の公開情報を参照してください。
公開情報:プロンプトインジェクション保護を検証する
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-operate-internet-access?wt.mc_id=MVP_407731#validate-prompt-injection-protection
7-7. 継続的改善
GSA の運用は、一度構築して終わりではなく、継続的に見直し・改善していくことが重要です。
定期的なレビューや新機能の評価を通じて、運用の成熟度を高めていく必要があります。
- 四半期ごとの運用レビュー
- 新機能と機能のレビュー
- トレーニングと知識の共有
- 組織の変更への適応
具体的な実施内容や考え方については、以下の公開情報を参照してください。
8. まとめ
GSAは「導入」よりも「運用」で価値が決まるサービスです。
本ガイドは、
- 属人化しがちな運用を構造化し
- SOCと内製の役割を明確にし
- 継続的改善を前提とした運用モデル
を提示しています。
つまり、
「つながる」から「安定して使い続けられる」への進化です。
本記事を起点として、自組織に最適な GSA 運用モデルの設計・実装を進めていただければ幸いです。