Secure Productive Enterprise(SPE)による守備範囲と管理範囲

皆さんこんにちは。国井です。

このブログでは、ADFSやAzure ADを利用したID管理に関する話をよくさせていただいておりますが、最近はそのセキュリティについても、お話をさせていただく機会がよくあります。ご存知のように、セキュリティ対策を行うときは、全方位に対する対策が必要なわけで、ID管理部分だけを対策すればよい、というものでもありません。そのため、マイクロソフトの場合で言うと、EMS(Enterprise Mobility Suite)と呼ばれる、Azure AD Premiumも含めたセキュリティソリューションを提供していたりしたわけです。

最近では、クラウドを含めたセキュリティがより重要視されるようになったこともあり、そのEMSがEnterprise Mobility + Securityという名称に変更され、さらにEMS、Windows 10 Enterprise、Office 365まで含めたソリューションとして、Secure Productive Enterprise (SPE)と呼ばれるソリューションまで登場するようになりました。SPEは一般的な企業でやりたいことが全部詰まった、わかりやすいパッケージだと思うのですが、「SPEに含まれる個々のソリューションを通じて全方位的なセキュリティ対策を!」なんて話をし始めると、お客さんからは「いっぱいあって、ややこしい」なんて意見を伺ったりするわけです。

私自身もどうやってSPEの中に含まれるソリューションを紹介し、そして理解してもらうのがいいかな?と考える過程で、こんな感じの図を描いてみました。

image

image

見かたを簡単に説明すると、オンプレミスとクラウド、管理対象と管理の、2つの軸に分けてあり、
例えば、BitLockerの暗号化の場合で話をすると、オンプレミスに配置されているクライアントコンピューターの回復キー(暗号化を解除する鍵のことです)をAzure ADに保存する、という運用を行っている場合、

クライアントコンピューター:オンプレミス
回復キー:クラウド

となりますし、

クライアントコンピューター:管理対象
Azure AD(回復キー):管理

となるわけです。
それを上記の図ではプロットしています。

上記の図はSPEのすべてのソリューションを扱っているわけではありませんが、こんな感じで、SPEの中で提供される個々のソリューションをプロットすれば、いい頭の体操になると思いますし、何よりも自分たちの会社の中でセキュリティ対策として、できていること/できていないことを洗い出したりするのに活用できそうですよね?