あらゆるシステムにおいてオンプレミスからのクラウド移行が進み、リモートワークを取り入れたハイブリッドワークが普及するなか、セキュリティにおいては旧来型のゾーントラストではなくゼロトラストモデルの採用が増加してきている。1月17日に開催された「TECH+セミナー セキュリティDay ゼロトラストの実現に向けて」で、電通デジタル 情報システム部 ディレクター 相澤里江氏は、ゼロトラストとゾーントラストの融合型モデルで運用している同社のセキュリティ対策について、具体的な事例を交えて紹介した。

ビジネスの加速に向けたゼロトラストモデルの導入

電通デジタルでは、コロナ禍に先んじてゼロトラストモデルの導入を進めていたという。以前はオフィス内での業務が主流で、会社から提供された標準PCでの業務が前提になるなどオフィス外からの業務遂行には制約があった。システム・セキュリティ要件においては、社内閉鎖ネットワーク網の最低限のウイルス対策のみで、シャドーITの存在もあり、管理体制をより強化する必要があった。ビジネスを加速するためには、時間や場所の制約のない業務環境への移行とセキュリティ要件を両立できる次世代インフラストラクチャへの移行が必要不可欠な状態であったと言える。

そこで同社は、ゼロトラストモデルとして大きく分けて3つのソリューションを導入した。1つ目はEDR(Endpoint Detection and Response)ソリューションだ。従来のウイルス検知システム、ふるまい検知システム、脆弱性情報検知システムからなる。

2つ目は、CASB(Cloud Access Security Broker)ソリューションである。危険サイトへのアクセス制御、従業員が利用するSaaSやクラウドサービスの利用実態把握のために利用している。また、各SaaSに対する安全値のデータベースもあり、従業員への注意喚起や新規SaaS利用時の参考にしているという。

そして3つ目は、IdP(Identify Provider)ソリューションだ。シングルサインオンによるID管理の簡素化/業務効率化、二要素認証によるID認証の強化を実現している。IdPソリューションは、グループ利用のものと自社利用のものの2つが存在しているというが、共通のグループDBが存在し、Active Directoryと連携を行っている。そのため、ユーザーはIdPソリューションの違いを意識することなく、全てのシステムに共通のID・パスワードでログインすることが可能となっている。

  • 電通デジタルのゼロトラスト対策のイメージ図

こうしたゼロトラストモデルの各ソリューションによって、同社のセキュリティレベルは大幅に向上した。また、IdPソリューションによってユーザビリティの向上も実現している。

「全体の運用を通じて、従業員のセキュリティ意識の向上にもつながったのではないかと考えています。結果として、当初の目的であった柔軟で安全な環境によるビジネスの加速にも貢献できました」(相澤氏)

ゼロトラストモデルの運用上の問題点とは

メリットは大きかったが、ゼロトラストの運用に課題がなかったというわけではない。セキュリティレベルおよびユーザビリティの向上とともに、新たなリスクも生まれた。IdPソリューションによる二要素認証へ移行し、VPNを介さずともSaaS群へアクセス可能としたことにより、社用PC以外からのアクセスも可能となった。外部ユーザーによるSaaS利用もあるため、一概に端末固定で社用PCのみアクセス可能とするわけにもいかない。CASBソリューションにおいて端末側でユーザーがアクセス制御の設定をオフにできてしまうという設定上の問題もあった。

この課題を解決するため、CASBとIdPそれぞれの設定を見直すことにしたという。CASBにはもともとVPSで利用されていた重要なSaaSの設定を追加し、それらのSaaSを利用する際にはCASBクライアント経由にしなければならないよう設定。IdPでも重要なSaaSごとに設定を追加し、アクセス元のアドレスがCASBかVPN経由でなければアクセスを禁止するという設定を追加した。これにより、社外PCでは情報資産として重要度の高いSaaSにはアクセスすることができなくなる。

「IdPとCASBの設定を見直したことで、システムが取り扱う情報資産の重要度合いによってアクセス元デバイスをコントロールすることが可能になりました」(相澤氏)