IT業界の巨人も日本企業も取り組み始めた境界型防御からの脱却

テレワークの大規模導入をきっかけに、VPNや境界型防御の限界に気付いた企業は少なくありません。そこで今回は、今後の指針として、課題を先取りして新たなアーキテクチャ構築に取り組み始めた企業の事例を紹介します。

過去2回を通して、クラウドサービスの普及やデバイスの多様化、内部に潜む脅威の高度化といったIT環境の変化に伴って徐々に浮上していた境界型防御の限界が、新型コロナウイルス対策の一環としてのテレワーク拡大に伴って一気に露呈し、パフォーマンスの問題があちこちで発生したことを説明しました。

さらに、それに代わる新たなアプローチとして、クラウドネイティブ、クラウドベースでセキュリティを担保したり、ネットワークを制御したりする「Secure Access Secure Edge」（SASE）というセキュリティモデルに注目が集まっていることを紹介しました。

SASEは、「誰も信頼しない」という前提に立って常に認証・認可を行い、適切なリソースのみにアクセスを許可する「Zero Trust Network Access」（ZTNA）をはじめ、さまざまな要素で構成されます。このため、何か1つソリューションを導入したからといって、すぐ実現できるものではありません。企業全体としてどのようにIT戦略を立て、その中でセキュリティやユーザーエクスペリエンスをどう実現していくかを検討し、それに沿った製品やサービスを導入していく必要があります。

最終回となる今回は、VPNを含む境界型防御から脱却し、SASEやゼロトラストに取り組んでいる企業の実践例を紹介します。

数年前からゼロトラストセキュリティに取り組んできたIT業界の巨人

時代を先取りしてゼロトラストの実践を進めてきた企業の代表例が、米Googleでしょう。同社は2011年ごろから、「安全な社内にトンネルを張る」という境界型防御を前提としたVPNを使用しなくても、全従業員やパートナーが「信頼できないネットワーク」を介して業務をできるようにする取り組みを「Beyond Corp」という名称で推進してきました。

Beyond Corpでは、ユーザー認証、デバイス認証を行ってアクセスしてきたユーザーの属性や端末の状態を確認し、それに基づいて、クラウドベースのプロキシでアクセス制御を行います。この時、必要に応じて2要素認証を実施してセキュリティを厳密に保つとともに、シングルサインオンによって必要なアプリケーションにアクセスできるようにして、ユーザーアクセスをシンプルで使いやすいものにしています。

これは同時に、本人の権限では許可されていないデータや業務に関係ないアプリケーションにはアクセスできないようにして、セキュリティを保つ役割も果たしています。

もう1つの代表例が米Microsoftです。同社もモバイル環境の拡大を背景に「ゼロトラスト」セキュリティモデルの実装を進めてきました。

以前は、ファイアウォールやVPNが境界としての役割を果たしていましたが、Microsoftのゼロトラストセキュリティモデルでは、IDやデータそのものが境界となります。強固な認証とデバイスの健全性確認・管理、アクセス権限最小化の原則を通して、未知のデバイス、管理されていないデバイスからリソースを保護します。

同社はこれを、Azure Active DirectoryやMicrosoft InTune、そして強固で簡単な認証を可能にするAzure AuthenticatorやWindows Helloといった同社のクラウドベースのサービス群を活用して実現しています。この取り組みは今なお進行中で、今後はサービスやアプリケーションの健全性確認も実現していく方針だそうです。

• 

  米マイクロソフトが推進するゼロトラストアーキテクチャ 出典：https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft

「うちは無縁」は誤解 - 国内企業でも始まったSASEへの取り組み

GoogleとMicrosoftの例を出してしまうと、「ゼロトラストやSASEを推進できるのは海外の大手IT企業だけ。うちには無縁の話だろう」と誤解を招いてしまうかもしれません。しかし実際には、日本でもVPNから脱却した新しいIT環境作りに取り組んでいる企業が複数登場しています。

その1つが、物流サービス・請負サービスを提供する鴻池運輸です。約1万5000人の従業員を抱える同社は、2018年に策定した中期IT戦略の中で、デジタルトランスフォーメーションの推進に向け、すべてのICT基盤のクラウド化を掲げていました。これにより、オンプレミスで構築していた物流システムのクラウド移行やSaaS型コミュニケーションツール採用など、さまざまな側面でクラウドファーストを推進してきました。

しかし、クラウドサービスの利用拡大、VPN利用の増加に伴い、VPNゲートウェイや回線のボトルネックが明らかになってきたそうです。2020年3月以降に多くの企業が直面したVPNの逼迫という課題を、一足先に経験してきたわけです。

鴻池運輸はこの解決策として、利用者が国内外のどこにいても、VPN以外の安全ではない回線を経由していてもセキュリティを担保しながら業務ができる環境を模索した結果、ゼットスケーラーがクラウド環境で提供するWebセキュリティゲートウェイ「Zscaler Internet Access」（ZIA）とリモートアクセスソリューション「Zscaler Private Access」（ZPA）を採用し、SASEへの一歩を踏み出しました。

現在、鴻池運輸では、ZIAでインターネットアクセスのセキュリティを担保し、ZPAで社内システムへのシームレスなリモートアクセスを実現しています。いずれもオンプレミスの環境ではなく、ゼットスケーラーのクラウド基盤を活用することで拡張性を確保しており、ボトルネックを気にすることはなくなりました。また、エンドポイントの環境に大幅に手を加える必要もなく、PCを開くだけですぐに利用できることも評価しているそうです。

DXを見据えたクラウド移行という大きな青写真の一部として、ZIA/ZPAを利用してゼロトラストやSASEを実現した鴻池運輸でしたが、新型コロナウイルスの拡大を踏まえて緊急事態宣言が出された時も、いち早く在宅テレワークを実施し、業務を継続しているそうです。本社や支店、営業所など合わせて約650ユーザーから運用を開始した環境を、今後、国内全拠点と国内外60社ほどの子会社にも展開していく方針を立てています。

• 

  ZIA/ZPAを活用してSASEに向けた取り組みを進める鴻池運輸

以上、国内外でゼロトラストやSASEに取り組む3社の例を紹介しました。いずれも、「境界型防御からの脱却と、継続的な認証・認可によるアクセス制御」「クラウドサービスの活用拡大を前提にし、基盤自体もクラウドで展開」といった共通点があります。何より、安易にアプライアンスを追加してすませるのではなく、クラウドを軸とした中長期的なIT戦略を下敷きに、少しずつ取り組みを進めていることが印象的です。

こうした例を参考に、VPNや境界型防御の限界に気づいた企業の間で、ゼロトラストセキュリティやSASEに取り組むケースは今後、さらに広がっていくことでしょう。

著者プロフィール

ゼットスケーラー株式会社 エリアディレクター（北アジア地域担当） ダレン・マッケレン氏

シカゴのノースパーク大学で経営学およびスウェーデン語の学士号を取得。 過去にオラクルにてネットスイート事業部門のGMとしてセールスチームを牽引したほか、Verizon、Vodafone 等において数々の営業実績を達成。アジア地域における豊富な営業・マーケティングの経験を持ち、現在はゼットスケーラーの北アジアにおけるエリアディレクターとして営業部門を率いる傍ら、在日米国商工会議所（ACCJ）の情報通信技術委員会の共同委員長を務めている。