証券以外にもビジネス領域を拡大し、DXやデータ駆動型ビジネスモデルへのシフトにも積極的に取り組んでいる大和証券グループ。

セキュリティもゼロトラストモデルへの転換を推進、そのために採用されているのがゼットスケーラーだ。

まずグループ中核企業である大和証券において、約12,000ユーザーへの展開をわずか4か月で完了。

これを可能にしたのは、大きく3つの取り組みだったと言う。

今後は他のグループ会社への展開も視野に入っており、ビジネスの変化や新たに生じる脅威に対して継続的に適応し続けられる、ゼロトラストセキュリティの実現が目指されている。

均一で高いセキュリティレベル確保のためゼロトラストへと転換

クラウドシフトや提携先との連携が拡大している、昨今のビジネス環境。その一方でサイバー犯罪も、提携先企業を装った攻撃や、提携先企業を足がかりとして攻撃を仕掛けてくるサプライチェーン攻撃が増えている。このような問題を解決するため、ゼロトラストモデルへの転換を推進しているのが、大和証券グループだ。

「大和証券グループでは、ビジネスのハイブリッド戦略として証券ビジネス以外の事業を多岐にわたって展開しており、各事業を担うグループ会社がシナジーを生み出すために、DXによるグループ内の連携を拡大しています」と語るのは、大和総研ビジネスソリューション本部 システムインフラ第二部で次長を務める福原 一樹 氏だ。大和総研は大和証券グループのシンクタンクとして、システムやリサーチ、コンサルティングの機能を担う存在。大和証券グループのセキュリティシステム導入やパブリッククラウド活用でも、重要な役割を果たしている。

「しかし従来のように、グループ会社間の連携ごとにセキュリティシステムを構築しているようでは、セキュリティレベルのばらつきが生じてしまいます。またその都度対策を施しているようでは非効率であり、そのうち運用の限界が来るという懸念もありました。この問題を解決するには、ゼロトラストモデルへとシフトすることで、セキュリティを集約していく必要があります。これによって均一で高いセキュリティレベルを実現すると共に、変化への迅速かつ柔軟な対応を目指したのです」。

そのために大和総研が開始したのが、グループ中核企業である大和証券へのゼットスケーラー導入である。大和証券では2020年3月にユーザーが使用する端末として、SIM搭載の2in1型PCとAndroidスマートフォンを配布しており、ここから直接Webサイトやクラウドサービスにアクセスすることで、ローカルブレイクアウトを実現していた。これによってコロナ禍でも円滑に在宅勤務へと移行できたが、そのセキュリティをゼロトラストモデルへと移行するため、2020年3月に「Zscaler Internet Access(ZIA)」の展開を完了しているのだ。ZIAの展開対象は、約12,000台の2in1型PCと、約7,000台のAndroidスマートフォン。その構築に2か月、移行に2か月と、短期間での全台導入を実現した。

現在はフェーズ2として「Zscaler Private Access(ZPA)」の導入を推進中。IaaSを含む社内システムへの通信を、現行のVPNからZPAへと移行する計画になっている。

「この移行は2023年3月に完了する予定です。将来的には物理的な専用線を廃止し、オールインターネットの環境実現を目指しています」(福原氏)。

  • 大和証券へのゼットスケーラー導入ステップ

    大和証券へのゼットスケーラー導入ステップ。まず第1フェーズとして、安全なインターネットアクセスを可能にする「Zscaler Internet Access(ZIA)」を導入。さらに第2フェーズとして、社内システムへの安全なアクセスを可能にする「Zscaler Private Access(ZPA)」が導入されている。第1フェーズのZIA導入は、約12,000ユーザーという大規模導入であるにも関わらず、わずか4か月で完了している。

セキュリティ機能の統合や複数OSへの対応、インシデント対応などを評価

それではなぜゼロトラストモデルへの転換で、ゼットスケーラーを選定したのか。大きく4つの理由があると福原氏は説明する。

第1は 、Webサイトへの安全なアクセスを可能にする「Secure Web Gateway(SWG)」と、ネットワークの内側と外側の境界線をソフトウェアで制御できる「Software Defined Perimeter(SDP)」の機能が、統合された形で提供されていることだ。

「大和証券では1台のPCから、インターネット通信と社内システム向けの内部通信を行っており、それぞれに対してセキュリティ対策と管理が必要になります。これをシンプルな形で実現するには両者を統合し、共通したポリシーで集約管理できる製品が必要だと考えました」(福原氏)。

第2は複数OSのセキュリティを統合できることだ。大和証券では端末OSとしてWindowsとAndroidを使っているが、セキュリティ製品の中には対応OSが限られているものもあり、その場合にはOSごとに異なる製品を採用しなければならない。これに対してゼットスケーラーはWindowsとAndroidの両方に対応しており、1つの製品で全てをカバーできる。

第3は送信元IPアドレスの固定機能が備わっていること。一部のWebサイトでは、特定の送信元IPアドレスに対してのみアクセス許可することで、セキュリティを担保している。しかしクラウドプロキシ経由でアクセスした場合には、送信元IPアドレスが変わってしまうという問題がある。送信元IPアドレスの固定機能は、この問題を回避する上で必須のものなのだ。

そして第4が、充実したセキュリティインシデント対応である。

「ゼットスケーラーは、プロキシのログや端末EDRのログによるインシデントの兆候監視や、インシデント発生時の端末隔離などを、24時間365日体制で行っています。このようなサポート体制の存在も、重要なポイントだと考えています」(福原氏)。

短期間での導入・展開を可能にした3つのポイント

ここで注目したいのが、前述のようにWindows約12,000台、Android約7,000台への展開を、わずか4か月で完了していることである。これを成功に導いたポイントは、大きく3点あると言う。

第1のポイントは、セキュリティ設計の内容である。ゼロトラストモデルへの転換のためにセキュリティ機能をゼットスケーラーに集約しているが、その際の設計内容を「統合」と「分離」という2つの領域に分けることで、ビジネスに合わせて柔軟に拡張できるようにしているのだ。

「まず、ゼットスケーラーを通過する全通信をチェックするセキュリティポリシーを、グループ共通で統合的に再定義し、セキュリティレベルのベースラインを確保しました。その上で、大和証券のビジネスに合わせたPACファイル(プロキシ自動設定ファイル)やWebルールを定義することで、大和証券向けのセキュリティシステムを構築しています。このようにすることで、他のグループ会社がゼロトラストモデルに転換する際にも、会社ごとに最適化されたセキュリティシステムを短期間で実現できます」。

第2のポイントは、設計段階からユーザー部門が参画するプロジェクト体制だ。まずセキュリティポリシーの設計構築段階で、大和証券グループのセキュリティ全体を統括する「大和CSIRT」が参画し、ポリシーのレビューなどを適宜実施。これによって設計や構築の手戻りをなくすことで、構築期間の短縮が可能になった。

また、検証や導入をユーザー部門主体で実施していることも、見逃せないポイントだと言えるだろう。大和証券には、ITリテラシーの底上げや新技術の利用促進を行う「インフルエンサー」と呼ばれる若手社員が約500名いるが、彼らに先行してゼットスケーラーを業務利用してもらうことで、問題点や活用に関する気付きなどをフィードバックしてもらったのである。さらにインフルエンサーは、導入前の周知活動や、使い方の指導、部内での問い合わせ対応も担当。このような協力を得られたことも、全端末へのスムーズな導入に貢献している。

そして第3のポイントが、ゼットスケーラーが提供する管理機能の積極的な活用だ。

「今回のような大規模導入では、ビジネスの変化に応じて様々なWeb閲覧要望が出てきます。ビジネスを阻害しないためには、迅速で確実なWebルールの設定が求められるのです。そこで着目したのがゼットスケーラーのAPIです。このAPI経由でゼットスケーラーの設定を行うツールを事前開発したことで、展開後も円滑な運用が実現できました。さらに、ゼットスケーラーが提供するリアルタイムなアクセスログも活用することで、よりリアルタイムに近い形でのインシデント分析や、ユーザーからの問い合わせへの迅速な対応も可能になりました」(福原氏)。

セキュリティ対策にゴールなし、変化への継続的な適用が重要

大和証券へのゼットスケーラー導入はあくまでもスタートラインであり、セキュリティ対策にゴールはないと福原氏。ビジネスの変化や新たに生じる脅威に対し、継続的に適応し続けることが重要なのだと語る。

「技術的にはマイクロセグメンテーションのようなよりきめ細かい対策が求められるようになり、その一方でセキュリティ対策の複雑化に伴う運用の複雑化にも対応しなければなりません。そのためには、これまで静的なルールで運用してきたセキュリティ制御を動的にし、AI活用などによる自動化への取り組みも重要になるでしょう。またシステムの高度化だけではなく、利用者のITリテラシー向上など、セキュリティを自分ごととして捉えるマインドセットの醸成のため、人材育成や教育、組織としての体制構築も不可欠です。このように、システムと人的なレベルアップを継続していくことが、セキュリティ戦略の2本柱になると考えています」。

■事例先企業情報
企業:大和証券株式会社
URL:https://www.daiwa.jp/
本社所在地:東京都千代田区丸の内一丁目9番1号 グラントウキョウ ノースタワー
ユーザー数:約12,000ユーザー
業種:証券、投資信託等

■導入ソリューション
・Zscaler Zero Trust Exchange™
・Zscaler Internet Access™
・Zscaler Private Access™

■事例先企業情報
企業:株式会社大和総研
URL:https://www.dir.co.jp/

■ストーリーハイライト
主な課題
・グループ会社のシナジーを発揮するため、セキュリティを集約したゼロトラストモデルへの転換が求められた
効果
・セキュリティ機能を集約することでセキュリティのベースラインを確保できた
・ビジネス要望に合わせた柔軟性の高いセキュリティシステムの構築が可能になった
・ゼットスケーラーのAPIを活用することで運用を効率化できた
・リアルタイムなアクセスログによって、よりリアルタイムに近い形でのインシデント分析や、ユーザーからの問い合わせへの迅速な対応も可能になった

Zscaler について

Zscaler (NASDAQ: ZS) は、より効率的で、俊敏性や回復性に優れたセキュアなデジタルトランスフォーメーションを加速しています。Zscaler ZeroTrust Exchangeは、ユーザ、デバイス、アプリケーションをどこからでも安全に接続させることで、何千人ものお客様をサイバー攻撃や情報漏洩から保護しています。世界150拠点以上のデータセンタで動作するSASEベースのZero Trust Exchangeは、世界最大のインライン型クラウドセキュリティプラットフォームです。詳細は、zscaler.jpをご覧いただくか、Twitterで@zscalerをフォローしてください。

© 2023 Zscaler, Inc. All rights reserved. Zscaler™、Zscaler Zero Trust Exchange™、ZscalerInternet Access™、ZIA™、Zscaler Private Access™、ZPA™、zscaler.jp/legal/trademarksに記載されたその他の商標は、米国および/または各国のscaler, Inc.における (i) 登録商標またはサービスマーク、(ii) 商標またはサービスマークです。その他の商標はすべて、それぞれの所有者に帰属します。

※本記事はゼットスケーラー株式会社から提供を受けております。著作権は同社に帰属します。

[PR]提供:ゼットスケーラー