マイクロソフトのセキュリティを開発者の目で見ると【4/3 更新】


(この記事は 2017  年 2 月 20  日にMicrosoft Partner Network blog に掲載された記事 Looking at Microsoft Security from a Developer’s Perspective の翻訳です。最新情報についてはリンク元のページをご参照ください。)

 

simon-s-author-block

 

今をさかのぼる 2011 年に Office 365 が初めて世の中に登場したとき、私はこんなふうに思いました。自社製品を販売する独立系ソフトウェア ベンダー (ISV) やマイクロソフト パートナーは、ソリューションの統合に苦労することになるだろうと。これは、Office 365 が構造的、技術的にまったく新しいアプローチを採用していたからというだけでなく、クラウドにおけるセキュリティ実装の観点からもそう感じたのです。しかし、ふたを開けてみれば、それは杞憂にすぎませんでした。

今日、Azure と Office 365 によって、ISV にさまざまなツールが提供され、可能性が広がっています。開発者は、強力なクラウド インフラストラクチャを簡単に構築してアプリケーションをホストし、マイクロソフトのクラウド ソリューションとシームレスに統合できます。しかも、高度なセキュリティの維持と両立できるのです。Application Development の Gold コンピテンシーと Small and Midmarket Cloud Solutions の Silver コンピテンシーを持つ当社では、マイクロソフト パートナーとして Office 365 および Exchange 向けのソリューションを世界各国 57,000 を超える企業やパートナーに提供しており、上記のようなメリットを強く実感しています。

マイクロソフト パートナーがどのようなセキュリティ ツールや開発ツールを利用できるか、以下に簡単にご紹介します。

 

Azure と Office 365 で開発作業が容易に

ほんの数年前であれば、クライアント向けのソリューションをホストしたいと考えた場合、多大な費用を投じて独自のオンプレミス インフラストラクチャを構築し、アプリケーションやデータベース用に複数のサーバーを配置する必要がありました。セキュリティ、メンテナンス、ネットワーク インフラストラクチャ、高可用性の提供といったものは、完全に自社で対処するほかありません。さらに、複数の外部プロバイダーのシステムを組み合わせなければならず、非互換性に伴う問題に常に悪戦苦闘を強いられました。しかし、Microsoft Azure と Office 365 の登場により、こうした問題はすべて解消されました。

Azure は、最新のクラウド アプリケーション開発に必要なものがすべて統合されている唯一のエコシステムです。また、プログラムを自動的にテストして、クライアントやパートナーに即座に配信できます。Azure は、他のマイクロソフトの開発ツールや Office 365 と完全に統合されており、ネットワーク層からデータ層やユーザー インターフェイスに至るまで、さまざまなものを開発するチャンスを私たちベンダーにもたらしてくれます。また、1 つのコントロール パネルからあらゆるものを管理できるため、複数の外部システムを用いる必要がありません。

さらに重要なのは、Azure と Office 365 が提供する最新の API です。これを使用して他のアプリケーションでマイクロソフトのクラウド ソリューションとやり取りし、連携することで、追加機能を提供したり、プロセスの一部を自動化したりできるようになるだけでなく、トークン ベースの認証 (OAuth 2.0) で高度なセキュリティも実現できます。OAuth 2.0 を使用すると、マイクロソフト パートナーが開発したサード パーティ アプリケーションで Office 365 ユーザーの情報を安全に利用でき、ユーザーの資格情報やその他の機密情報の流出が防げます。

私たちベンダーが、オンプレミス アプリケーションをクラウドに移行したり Azure や Office 365 を利用しようとしたりする理由は、このような点にあります。開発者向けチャット エクスペリエンスもそうしたメリットの 1 つです。これを利用すると、パートナーは Azure や Office 365 ソリューションの開発や展開について、マイクロソフトのエンジニアに問い合わせることができます。

 

安全で高速な認証

使い始めてすぐにわかったのは、OAuth 2.0 を強力な Microsoft Graph API と組み合わせることで、マイクロソフト自身が Azure や Office 365 で使用しているものと同じ安全性の高い認証機構を用いて、ほぼそのままクライアントやパートナー向けの認証インフラストラクチャを構築できるということでした。

それ以外のやり方では、ユーザーは利用したいサービスやクラウド アプリケーションごとに個別のアカウントを作成しなければなりません。マイクロソフトのユーザー管理インフラストラクチャを利用すれば、時間を短縮できるうえ、ユーザー アカウントやパスワードの保護管理面で安全性を高めることもできます。

OAuth 2.0 と Graph API を利用することで、クライアントやパートナーは各自の Microsoft アカウントを使用してマイクロソフトのサービスだけでなく、私たちベンダーが開発したアプリケーションにもログインすることができます。

 

オープンな認証方式で顧客の信頼を得る

OAuth 2.0 はユーザーにとって便利なだけでなく、きわめて安全な方式でもあります。すべてのユーザーはアプリケーションがどのリソースにアクセスを要求しているか把握でき、そのアクセスをいつでも取り消すことができます。

picture1

さらに、アプリケーション側でユーザー資格情報を読み取ったりどこかへ格納したりする必要がありません。使用するのは、信頼できるマイクロソフトの OAuth サーバーが生成した、デジタル署名された不透明なアクセス トークンだけです。このトークン自体は単なる文字列にすぎず、マイクロソフト以外の者が内容を理解したり復号化したりすることはできません。

ユーザーが自身の Microsoft アカウントの資格情報を用いてログインすると、ID の確認やアクセス トークンの提供はマイクロソフトが行います。このように、トークン ベースの認証では、高度な安全性とシンプルさが同時に実現されています。

 

役割ベースのアクセス制御でアプリケーションを保護

ここで、こんな疑問をお持ちになるかもしれません。データはだれがどのように保護するのだろうと。アプリケーションはクラウドでホストされるので、不正アクセスを確実に排除し、チームの選ばれたメンバーのみにアクセスを制限できるようにする必要があります。Microsoft Azure では、役割ベースのアクセス制御、もしくは役割ベースのセキュリティ アプローチと呼ばれるものを利用して、アプリケーションへのアクセスを簡単に制御、制限できます。

Azure インフラストラクチャ内のすべてのリソースは、既定の設定により、Microsoft Azure Active Directory (Azure AD) アカウントと統合されたこの強制アクセス制御メカニズムによって保護されます。したがって、小さいユーザー (従業員) グループを作成して、これにアプリケーションへのアクセスを許可することができます。さらに、このグループをサブグループに分けて、アプリケーションの特定の部分だけについてアクセス、閲覧、編集を許可することもできます。こうすれば、チームのメンバーそれぞれが、アプリケーション内の自身が担当する部分だけを監視、管理できるようになります。

 

多要素認証の台頭

忘れてはならないのが、多要素認証 (MFA) です。インターネット ユーザーであればほぼ全員が少なくとも一度は、自身の ID 証明に 2 つ以上の証拠を求められたことがあるはずです。たとえば、アカウント資格情報に加えて、モバイル デバイスに送信されたコードを入力するなどのケースがあります。これが、MFA です。

マイクロソフトのクラウド ソリューションは、ユーザーと開発者の双方に向けて MFA を提供しています。そのため、私たちベンダーもこのテクノロジを内部で利用して最高レベルのセキュリティを整備し、仮にアカウントのパスワードが盗まれてもリソースにアクセスされないようにしています。

 

Azure と同等の SLA を提供

サービス レベル アグリーメント (SLA) は、ユーザーに提供するサービスについて一定レベルの稼働率を保証するものです。Microsoft Azure では、約 99.9% の SLA を提供しています。つまり、Azure でホストされているアプリケーションなら、同等の稼働率を保証できるということです。たとえば、当社の Office 365 向けメール署名管理ソリューションでは、現在 99.93% の SLA を提供しています。

 

まとめ

マイクロソフトのテクノロジなら必要なあらゆる機能が揃っているため、大規模な ISV 企業であれ、屋根裏で 1 人で作業している開発者であれ、強力で安全なクラウド アプリケーションを作成、配信し、世界中に展開できます。マイクロソフト製品に組み込まれたセキュリティを利用することで、確実な保護が可能になります。

 

 

マイクロソフトでは、マイクロソフトの製品やプラットフォームに関して取り組んでくださる皆様に、何らかの形で還元するべきだと考えています。その一環として、マイクロソフト テクノロジの利用状況に応じてパートナーの皆様のビジネスを手厚くサポートする Microsoft Go-To-Market (GTM) サービスをご提供しています。詳細は GTM サービスのページ (英語) をご覧ください。

マイクロソフト製品上でアプリケーションを構築されている ISV の皆様にとって、マイクロソフトとのパートナーシップは、顧客の信頼獲得にどのように役立っていますか。皆様のご意見をぜひお聞かせください。

 

 

 

Skip to main content