デバイストラストとは？端末の安全性確認と固定IP制限を併用する考え方

はじめに

ゼロトラスト セキュリティの実装を進める上で、しばしば議論の中心になるのが「デバイストラスト」です。

デバイストラスト とは、ユーザーの認証と同じくらい重要なのが、アクセス元となる端末（デバイス）のセキュリティ状態を検証するという考え方です。

従来のセキュリティでは、企業が支給したノートパソコンやデスクトップパソコンのみがオフィスネットワークにアクセスすることを前提としていました。

しかし、BYODの普及やリモートワークの急速な拡大により、様々な種類の端末が企業システムへアクセスするようになってきました。

これらの多様な端末に対して、セキュリティレベルを統一するのは容易ではありません。

本記事では、デバイストラスト の考え方と、端末の安全性確認と固定IP 制限を組み合わせた実装方法について解説します。

⇒【ロリポップ！固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料！

デバイストラストとは

ユーザー認証からデバイス認証へ

従来のセキュリティでは「ユーザーが誰であるか」が最大の関心事でした。

パスワード、生体認証、ワンタイムパスワードなど、様々な認証手段を用いて、本人であることを確認していました。

一方、デバイストラスト では、「そのデバイスは安全な状態にあるか」という問いに対して、同等かそれ以上の重要性を与えます。

デバイストラスト の基本は、以下のシンプルな問いです。

• そのデバイスは企業のセキュリティ基準を満たしているか
• デバイスはマルウェアに感染していないか
• OSやアプリケーションは最新のセキュリティアップデートが適用されているか
• デバイスのディスク暗号化は有効化されているか
• デバイスは物理的に紛失されていないか

ゼロトラストにおけるデバイストラストの位置付け

ゼロトラスト セキュリティでは、以下のようなアクセス検証要因が組み合わされます。

• ユーザーアイデンティティ：本人であることの確認
• デバイストラスト：端末が安全な状態であることの確認
• ネットワーク環境：アクセス元のIPアドレスやネットワークセグメント
• セッション状態：継続的な信頼性検証

デバイストラスト は、これらの要因の中で特に重要な役割を果たします。

なぜなら、どれだけユーザー認証が強力でも、そのユーザーが使用しているデバイスがマルウェアに感染していれば、セキュリティは無意味になるからです。

端末のセキュリティ状態確認

MDM/EMMの役割

デバイストラスト を実装するには、企業が支給した端末（およびBYOD端末）のセキュリティ状態を一元的に管理する必要があります。

この役割を担うのが、MDM（モバイルデバイス管理）またはEMM（エンタープライズ モビリティ マネジメント）です。

MDM/EMM では、以下のような端末情報を継続的に監視します。

• OSのバージョンとセキュリティアップデート状態
• インストール済みセキュリティソフトの状態と定義ファイル更新状況
• ファイアウォール設定
• ディスク暗号化の有無
• デバイスのロック画面設定
• インストール済みアプリケーションのリスト

これらの情報を定期的に収集・評価することで、デバイストラスト の判定が可能になります。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

デバイス信頼スコアの算出

多くのMDM/EMM ソリューションでは、複数のセキュリティ要因を組み合わせて「デバイス信頼スコア」を算出します。

例えば：

• OSが最新バージョン：20ポイント
• セキュリティアップデートが適用済み：20ポイント
• ウイルス対策ソフトが導入・有効：20ポイント
• ファイアウォールが有効：15ポイント
• ディスク暗号化が有効：15ポイント
• 過去30日以内にセキュリティスキャン実施：10ポイント

合計ポイントが80以上の場合は「高信頼デバイス」、60〜80は「中信頼デバイス」、60未満は「低信頼デバイス」というように分類することが一般的です。

自動検査とポリシー実行

MDM/EMM によるセキュリティ状態の検査は、ユーザーがシステムにアクセスしようとする際に自動的に実行されます。

検査結果に基づいて、以下のようなポリシーが自動実行されます。

• 高信頼デバイスからのアクセス：通常通り許可
• 中信頼デバイスからのアクセス：多要素認証を追加要求
• 低信頼デバイスからのアクセス：アクセス拒否または企業機能の制限

固定IPによるネットワークレベルの制限

デバイストラストとIPアドレス制限の統合

デバイストラスト をより堅牢にするため、IPアドレス制限と組み合わせることが有効です。

例えば、以下のようなポリシーが考えられます。

• オフィスの固定IP からのアクセス＋高信頼デバイス：無制限アクセス許可
• オフィスの固定IP からのアクセス＋低信頼デバイス：読み取り専用
• 自宅の固定IP からのアクセス＋高信頼デバイス：多要素認証で許可
• 不明なIPアドレスからのアクセス：すべてのデバイスで拒否

このように、デバイストラスト とIP制限を多次元的に組み合わせることで、より強力なセキュリティが実現できます。

複数拠点での固定IPアドレス管理

複数の支社や営業所がある企業では、それぞれの拠点から異なるIPアドレスでアクセスします。

これらの拠点ごとの固定IP を許可リストに登録し、管理することで、デバイストラスト と連携させたアクセス制御が可能になります。

VPN経由での統一された固定IP 接続により、リモートアクセスも同じレベルの制御が適用できます。

企業支給端末とBYODの管理

企業支給端末の完全なコントロール

企業が支給したデバイスに対しては、MDM/EMM による完全なコントロールが可能です。

セキュリティ要件を満たさないデバイスに対しては、強制的にセキュリティアップデートを実行したり、非準拠アプリケーションをアンインストールさせたりすることができます。

デバイストラスト の観点では、企業支給端末は相対的に高い信頼レベルが付与されます。

ただし、定期的な監査を通じて、この信頼レベルが維持されていることを確認する必要があります。

BYODのセキュリティ課題

個人所有のデバイス（BYOD）から企業システムにアクセスする場合、デバイストラスト の実装はより複雑になります。

個人デバイスの所有者は、デバイスのセキュリティ状態の管理について、企業の指示に完全には従わない可能性があります。

この課題に対する対応としては、以下のアプローチが考えられます。

• BYOD専用アプリケーション（MDM クライアント）の導入を義務化
• BYOD からのアクセスは社内システムのサブセットのみに限定
• BYOD からのアクセスは常に多要素認証を要求
• セキュリティスコアが一定値以下のBYOD からのアクセスを拒否

デバイス監視と検出

エンドポイント検出対応（EDR）

デバイストラスト の実装には、単なるセキュリティ設定の確認だけでなく、実際のデバイスの振る舞いを監視する必要があります。

この役割を担うのがエンドポイント検出対応（EDR）です。

EDR では、以下のような悪意ある振る舞いを検出します。

• ファイルレス攻撃
• 疑わしいプロセスの起動
• 異常なネットワーク通信
• ランサムウェアの兆候

EDR によるマルウェア検出は、MDM/EMM のデバイス信頼スコア計算に組み込まれるため、検出されたマルウェアのあるデバイスのスコアは自動的に低下し、アクセスが制限されます。

脅威インテリジェンスとの統合

外部の脅威インテリジェンスサービスから、既知のマルウェアやセキュリティ脆弱性の情報を取得し、それをMDM/EMM に統合することで、より高度なデバイストラスト 判定が可能になります。

例えば、特定のデバイス機種の深刻な脆弱性が新たに発見された場合、その機種からのアクセスを一時的に制限することができます。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

デバイストラスト実装のプロセス

ステップ1：デバイスインベントリの作成

最初のステップは、組織内で実際に使用されているすべてのデバイスの一覧を作成することです。

企業支給デバイスだけでなく、BYODも含めて把握する必要があります。

• 企業支給PC（Windows、Mac）
• 企業支給スマートフォン・タブレット（iOS、Android）
• BYOD端末
• IoT デバイス
• プリンタやスキャナなどの周辺機器

ステップ2：セキュリティ基準の定義

デバイストラスト を判定するための、セキュリティ基準を明確に定義します。

この基準は、事業部門とセキュリティ部門の連携で設定する必要があります。

例えば、営業スタッフと開発エンジニアでは、要求されるセキュリティレベルが異なる場合があります。

ステップ3：MDM/EMM の導入

MDM/EMM ソリューション（Azure AD、Intune、Jamf、MobileIron など）を選定・導入します。

既存のID管理システムとの統合を考慮して、ツール選定を行う必要があります。

ステップ4：デバイス登録と評価

すべてのデバイスをMDM/EMM に登録し、セキュリティ状態を評価します。

この段階では、多くのデバイスが セキュリティ基準を満たさない可能性があります。

段階的にセキュリティアップデートを施して、基準を満たすようにします。

ステップ5：ポリシーの段階的適用

デバイストラスト に基づくアクセス制御ポリシーを、段階的に適用します。

最初は重要度の低いシステムから始めて、段階的に対象を拡大します。

デバイストラスト運用上の課題

ユーザーへの周知と教育

デバイストラスト を導入する際、ユーザーの理解と協力が不可欠です。

セキュリティアップデートが強制されたり、アプリケーションのインストールが制限されたりすることに対して、ユーザーから抵抗が生じる可能性があります。

事前の十分な説明と教育を通じて、デバイストラスト の必要性を理解してもらう必要があります。

脆弱性対応の迅速性

セキュリティアップデートが次々と公開される中、すべてのデバイスに迅速に適用することは課題です。

MDM/EMM の自動更新機能を活用し、更新プロセスを効率化する必要があります。

レガシーデバイスの対応

古いOSやデバイスの中には、最新のセキュリティアップデートが利用できない場合があります。

こうしたレガシーデバイスに対しては、アクセス制限や多要素認証の強化など、代替手段を講じる必要があります。

監視負荷の管理

大規模組織では、数千から数万のデバイスを監視する必要があります。

MDM/EMM の適切なスケーリングと、セキュリティ監視チームの体制整備が重要です。

ロリポップ！固定IPアクセスでデバイストラストを強化

デバイストラスト をより効果的に機能させるには、アクセス元のネットワーク環境も安定して管理されている必要があります。

複数拠点やリモートアクセスから、統一された固定IP を使用することで、デバイストラスト と IP制限を効果的に組み合わせることができます。

ロリポップ！固定IPアクセスは、GMOペパボ株式会社が提供する固定IPアドレス対応のVPNサービスです。

月額490円（税込539円）〜という国内最安級の価格で、VPN経由でどこからでも常に同じ固定IPアドレスを使ってインターネットにアクセスできます。

高速かつ安全なVPNプロトコル「WireGuard」を採用しており、オンライン申し込み後すぐに利用を開始できます。

最大2ヶ月間の無料お試し期間も用意されているため、まずは気軽に導入テストが可能です。

複数拠点やリモートアクセスを統一された固定IP で管理することで、デバイストラスト とIPアドレス制限を多次元的に組み合わせたセキュリティが実現できます。

ロリポップ！固定IPアクセスは、ゼロトラスト セキュリティにおけるデバイストラスト 実装の重要な基盤となります。

⇒【ロリポップ！固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料！