「ゼロトラスト導入はゴールではない」――こう語るのは、大和総研 システムインフラ第二部 副部長 福原一樹氏だ。大和証券グループのシステムやシンクタンク機能などを担う大和総研は、同グループのゼロトラストソリューション導入を主導してきた。

3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」で、同氏がゼロトラスト導入を成功させるためのポイントについて紹介した。

「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら

利便性向上を目指してSWGやSDPの導入を完了

大和証券は、2022年3月にSWG(Secure Web Gateway)を導入。PC1万2000台・スマートフォン7000台という規模に対して、構築2カ月・移行2カ月という短期間で完了した。従来スマートフォンはWebサイトの閲覧制限があり自由なアクセスができない利便性の低い状態だったが、これを機に全てのWebサイトが閲覧可能となった。

2023年3月には、110以上の社内システムに対する外部からのアクセスをVPNからSDP(Software Defined Perimeter)に切り替えた。福原氏は「SDPはVPNにはない制約事項がいくつかあるため、社内システムのアプリケーション改修を行いながらの切り替えとなったが、検証3カ月・移行2カ月という短期間で導入できた」と振り返る。

5W1Hで考えるゼロトラスト導入のポイント

この事例を基に福原氏は、ゼロトラストソリューションを導入するにあたって重要なポイントを、目的(Why)・範囲(Where)・製品(What)・タイミング(When)・体制(Who)・方式(How)という5W1Hの観点から紹介した。

  • 大和証券がゼロトラスト導入にあたって重視した5W1Hの考え方

1. 導入目的(Why)

福原氏は「セキュリティ強化のためにとりあえずゼロトラストを導入するのではなく、会社のビジネス戦略やコンセプトに沿って導入することが大事」だと、導入目的を明確化することの重要性を強調する。

大和証券グループは、外部サービスとの連携拡大や営業所の出店加速を目指す「クライアントファースト」、証券以外の収益源の多様化を図る「ハイブリッド戦略」、AIツールなどを活用してデータ駆動型ビジネスモデルへの変革を進める「デジタルとリアルのベストミックスの追求」という基本方針を掲げている。

この方針を推し進めるにあたっては、外部やグループ連携、クラウドサービス利用が必須となる。その環境を叶えるためには従来型の境界防御では限界があり、ゼロトラストモデルへの転換は不可欠だった。

「ゼロトラストモデルであれば、ビジネス環境が変化するスピードに柔軟かつ迅速に対応できるうえ、高度化するサイバー犯罪に対して効率的に均一なレベルで防御力を保ち続けられます。大和証券の取り組みを柔軟かつ強力にサポートできると考えました」(福原氏)

  • 大和総研がゼロトラストを導入した目的

2. 導入範囲(Where)

業務スタイルや扱う情報レベルに対するリスクを考慮したうえで、必要な強化領域を策定することがポイントとなる。大和証券では、「Webアクセスの利便性向上を狙ったインターネット領域」、「オンプレミス経由でインターネットに接続していた固定端末」、「オフィス外や、提携先における社内ネットワークのアクセスを見越したVPN領域」という3つの強化領域を設定した。

  • ゼロトラストの導入範囲

3. 導入製品(What)

ゼロトラストにおける製品選定時には、将来のビジネスを見据えておくことが肝要だ。大和証券では4つの要件があったという。

1つ目はSWGとSDPの統合だ。1つの端末からWeb通信と社内システム向けの内部通信を行うため、それぞれにセキュリティ対策と管理が必要となっていたが、これらのセキュリティ対策の統合を図った。2つ目は、WindowsPCとAndroid端末でのセキュリティ対策の統合である。3つ目は、送信元IPアドレスの固定だ。4つ目は、24時間365日の高度セキュリティインシデント対応である。ゼロトラスト型のセキュリティを導入したとしても、インシデント発生を完全に防ぐことはできないため、インシデント発生時のレジリエンス向上を図る体制構築を目指した。

選定時には見落としがちだが、この他にパラメータの上限値や業務通信との親和性、エージェント管理なども運用時には重要なポイントとなる。福原氏は「自社のセキュリティポリシーとの適合性、運用性を選定時にきちんと落とし込んでおくことが大切」とのアドバイスを送った。

4. 導入タイミング(When)

大和証券では、東京オリンピックによる交通混雑を見据え、2020年に全社員テレワーク制度を導入、スマートフォン・固定端末のセキュリティ基盤の統合、業務提携に向けたSDP機能の有効化という3つのマイルストーンに沿ってゼロトラスト導入を進めてきた。福原氏は「システムの保守切れや契約更改など、システムサイドのマイルストーンと、働き方改革なども含めたビジネスサイドのマイルストーンを融合させながら導入タイミングを計ることが大事」だと語る。

※大和証券では、2020年のオリンピック開催を想定してプロジェクトを進めたものの、実際の東京オリンピックは2021年に延期になった

5. 導入体制(Who)

製品選定/設計工程時には、大和証券グループのCSIRTに参画してもらい、ポリシーとの適合性評価を実施したことで、品質の高いセキュリティ設計ができたという。また、検証/導入工程にはユーザー部門が参画。部門ごとに1~2名配置されているインフルエンサーと呼ばれる500名がトライアルで業務利用し、検証を行った。

「大和総研が構築したシステムに加え、ユーザー側でつくったシステムも存在するので、大和総研だけでは検証内容を追いきれませんでした。ユーザー部門の早期参画と先行した業務利用が大きな成功要因であったと考えています」(福原氏)

  • 導入の体制

6. 導入方式(How)

ゼロトラストモデルへの転向にあたってセキュリティシステムを集約すると、障害等で通信不可となるリスクが増大する。対策としては、製品を複数拠点に配置して障害時に自動で切り替わるような構成にすること、一部のセキュリティ機能をオンプレミスで整備しておくことなどが挙げられる。

福原氏は設計のポイントとして「集約に対する影響をしっかりと把握し、レジリエンスを検討することが重要。製品選定時から考慮していくとより有効」だと説明する。

オールインターネットの業務環境を目指す

現在、大和総研は、大和証券とともにオールインターネットの業務環境を推進している。全国に配置された営業店では専用線の利用を継続しているというが、このゼロトラスト化を進めていきたい考えだ。大和総研ではすでにゼロトラスト型端末でのオールインターネット環境を実現済みであり、次世代のオフィスインフラの環境に向けたノウハウを蓄積している。

「ゼロトラストという強固で柔軟なセキュリティ基盤を導入することにより、ビジネス戦略を強力にサポートし、ビジネス拡大につながっていくと確信しています。ゼロトラストソリューションは成長領域であるため、日々動向にアンテナを張り巡らし最新機能にチャレンジしていくことが重要です。ビジネスや進歩する脅威に対して適応し続ける継続力も求められるでしょう」(福原氏)

「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら