久々にQiitaを見たのでメモ書き程度に・・
最近のOAシステム導入の潮流
1.コロナ禍で在宅勤務やテレワーク導入必須となり、スマホや自宅PCでの社内システム利用が必要になった。
2.SaaSとそのクライアントアプリのセキュリティがしっかりしてきて、セキュリティに必要な業務データと個人データの分離ができるようになってきた。(一部のSaaSだけですが・・)
この1,2の条件が揃ったので、急速にSaaS利用に傾きだした気がします。
特に2について言えば、対応できているSaaSは少ないですが、特にMicrosoftがかなり頑張って、業務で利用されるOfficeアプリ中心にデバイス管理・データ保護が充実してきたので、Microsoft 365/Intune中心にOAシステムがSaaS化されてます。
MSの囲い込みがますます大きくなるのが懸念点ですが・・
ID系も、ActiveDirectoryでの実績を生かして、Azure ADが猛烈に進化していますよね。
WindowsPCを利用しているところは、結局Azure ADをIDaaSとして利用するのが一番便利で、
あとMicrosoft 365と連携して・・みたいな感じで、IDaaSもAzure ADになりつつあります。
そうすると、OA系はIDaaSがAzure ADになるから、そこに他のシステムもAzure ADにSAML連携でID認証して・・
となっているかなと。
ゼロトラスト
簡単に言えば、どこの誰からアクセス受けるか想定できないので、常に本人と資格確認します。というセキュリティです。確認場所は、デバイス・アプリ(サーバ or クライアント)・ネットワークと、システムの各部分で実施する感じでしょうか。
・デバイスだと、例えばiPhoneならパスコードや生体認証で本人確認、WindowsPCであればWindowsログオンでパスワード、Windows Helloで生体認証、AzureADの条件付きアクセスでデバイス認証 or 二要素認証など、まあビジネス利用であれば普通にやっていると思います。
・クライアントアプリだと、サインイン/ログインでユーザ専用画面に情報表示。サインイン・ログイン中しかデータを保持しない、データの受け渡しも制限、データ暗号化、遠隔ワイプ可(実際にここまでできるアプリはあまりないですが・・)
・ネットワークだと、IDまたは証明書認証で接続制限、通信データ暗号化、トラヒック種類で制限など。まあVPN+トラヒック管理ですね(SaaS中心の利用だと、さらにCASBでテナント制御もできたらいいなくらい)
・サーバアプリだと、ID or 証明書認証・
アクセストークン・IP制限(通常VPNでIP絞って制限)で利用者・資格確認でしょうか。
上記の事は、部分では今までやってきたものの、トータルで管理する視点があまり無かったのをゼロトラストが気づかせてくれた感じですね。