2024年6月24日に開催されたTECH+セミナー「セキュリティ専門家とベンダーの対話 運用現場のリアル」では、セキュリティの専門家とベンダーが集結。NTTデータのセッションでは「ゼロトラスト&SASE:NTTデータの取り組みと教訓」と題し、世界56ヵ国でビジネス展開を見せる同社が、グローバル統一でゼロトラスト構築を実現した事例を紹介した。この成功事例で得た知見をもとに展開する同社のゼロトラストセキュリティサービスについてお届けしよう。
顕在化していたセキュリティ課題。国外を含めた全社のITインフラ整備を実行
クラウドサービスやモバイル端末などのテクノロジーがビジネスに浸透したことで、セキュリティ対策も大きな変化を迫られている。セッション前半に登壇したソリューション事業本部 ネットワークソリューション事業部の新田裕介氏は、昨今のビジネスで起きている変化について、次のように説明する。
「コロナ渦で一気に加速した働き方改革やDX推進、さらにグローバル化によるサプライチェーンの多様化といったビジネス環境の変化をフックにセキュリティリスクが顕在化し、規制・規則の変化やサイバー攻撃の変化が起きています」(新田氏)
こうした背景を踏まえ経営層側からは「海外サプライチェーンを含めたリスクの可視化と対応の整理が可能であること」、従業員側からは「場所やデバイスを選ばない働き方が可能であること」がITインフラ環境に求められるようになったと新田氏。Microsoft 365をはじめとしたSaaS型アプリケーションの活用が進んだ結果、これまでの境界防御型のセキュリティ対策だけでは安全性を担保できなくなったと警鐘を鳴らす。
「ビジネス環境が変化したことで、境界防御型のセキュリティ対策の構造的な限界が生じています。従来とは異なるセキュリティ対策として、あらゆるネットワークを信頼せず、常に検証するという『ゼロトラストアーキテクチャ』をベースとしたITインフラ整備が必要になっています」(新田氏)
世界56カ国、社員約19万人のグローバル体制でビジネス展開を見せるNTTデータにおいても同様の課題が顕在化しており、ゼロトラスト環境への移行が急務となっていた。
「NTTデータは『グローバルトップ5のIT企業を目指す』という目標のもと、M&Aによる海外拠点の拡大を進めてきました。2018年からグループ共有ポリシーの策定と、攻撃を受けた際の検知・対応・復旧を迅速に行うセキュリティ基盤の構築、運用監視の強化に着手しました」(新田氏)
まずはグループ全体の現状把握を実施し、セキュリティ対策の基準レベルを設定。NTTデータグループ全体の対策レベルの底上げを図った。 セキュリティポリシーの統一に関しては、NIST(米国立標準技術研究所)の「サイバーセキュリティフレームワーク」といったグローバルスタンダードと国内基準のフィット&ギャップを行い、ベースラインとなるグループポリシーと対策の基準をヘッドクォーター側で策定。これをもとに各拠点のセキュリティポリシーの策定を約5年かけて進めていったという。
また、当初は各拠点でセキュリティ基盤の監視ソリューションをバラバラに導入しており、情報連結や横展開に時間と手間を要していたため、グループ共通のSIEM製品を導入し、セキュリティ基盤や運用監視の統一化を図ったと新田氏。さらに複数のクラウドセキュリティ基盤をグローバル共通で導入することで、さまざまな端末、場所から安全に社内情報にアクセスできる環境を構築していったと説明した。
「このように、まずはグループ共通のセキュリティポリシーの策定から始め、SIEMやUEBAによる監視基盤の統一化、そしてSSE、 IDaaS、 EDRといったソリューションをグループ全体のセキュリティ基盤として各拠点に導入していくことで、全社でのゼロトラスト環境の構築を実現しています」(新田氏)
導入のノウハウが惜しみなく投入された「ゼロトラストセキュリティサービス」
セッション後半では、ソリューション事業本部 デジタルビジネスソリューション事業部の高橋淳氏が登壇。新田氏が解説したゼロトラスト環境構築のノウハウを活かした外部向けソリューションについて話を展開した。
「ゼロトラストを実現するためのサービスとしては、大きく分けて『シングルベンダー型』と『ベストオブブリード型』の2つがあります。前者はMicrosoft 365など、1つのソリューションを導入すればゼロトラストの基盤が一通り構築できるものです。導入しやすい一方、各ベンダーが提供するゼロトラスト製品と比べ機能面で物足りない点もあり、ベンダーロックインも起こりやすいといった課題が挙げられます。後者は各ベンダーが提供する製品の良いところを組み合わせることができ、漏れのないセキュリティ対策を講じられますが、実装が難しい点が挙げられます。どちらが正解ということはなく、お客様の環境や求める機能、予算に合わせて選んでいくことが重要です」(高橋氏)
たとえばクラウド型のID管理サービスであるIDaaSの場合、Microsoft 365のサービスを利用しており、企業とドメインが単一の環境ならばMicrosoft Entra IDを選んでシングルベンダー型で構築、一方複数の子会社やドメインが混在する環境ならば、Oktaなど中立的なIDaaSを選んでベストオブブリード型で構築といったアプローチが有効と高橋氏。 「NTTデータではさまざまな製品のベンダーとアライアンスを組んでおり、特定のベンダーではなく、お客様の環境や要望を踏まえ最適な製品の組み合わせを提案できます」と、自社のソリューションが持つ強みを説明した。
高橋氏はゼロトラストのシステム構成遷移についても言及。「まずは段階的にオンプレ/閉域網への依存をなくして、インターネット/クラウドを活用できる構成に移行し、安全で利便性の高いIT基盤の構築を目材していくことが重要になります」と語り、理想の姿として閉域網やVPNを完全廃止、もしくは極小化した「完全ゼロトラスト構成」を紹介した。
さらに、ゼロトラスト製品導入の優先順位として「IDaaS」→「MDM」→「EDR/SASE」→「SIEM/SOAR/UEBA」という順番を推奨。最初にID管理の整備を行ったうえで端末の制御(MDM)やエンドポイント/クラウドセキュリティ(EDR/SASE)の強化を進めていくことがベストプラクティスだという。ただし、これはあくまで理想であり、既存の導入製品やお客様が置かれている状況によって大きく順序が変わる点を強調した。 「最終的にはSIEMなどを導入してログ収集・分析を行い、ゼロトラストセキュリティ基盤全体の継続的かつ包括的な監視、チェックを進めていくことが大切です」(高橋氏)
また、ゼロトラストへの移行方法は2つあるとし、1つはオンプレミス環境の更改タイミングで徐々にゼロトラスト環境に移行するという方法と、もう1つは既存環境と併行して新規のゼロトラスト環境を構築・移行する方法を紹介。前者は長期のプロジェクトとなるが、ある程度コストを抑えられる。後者は短期間かつ低難易度で移行できるが、二重投資でコストが増大する。ただ、こちらもどちらが良いというわけではなく、お客様の環境や要望によって柔軟に提案できることを強調した。
セキュリティ専門家による質疑応答
セッション終了後、セキュリティの専門家である株式会社インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏と、SBテクノロジー株式会社 プリンシパルセキュリティリサーチャーの辻伸弘氏による質疑応答が行われた。
根岸氏:自社での大規模なゼロトラスト導入にあたって、苦労した点がありましたらお聞かせください。
新田氏:テクニカル的な話では、テストケースが端末によってバリエーションが出てきてしまうのに苦労しました。エージェントに対応していない端末もあり、そこのテストケースを網羅するのはなかなか厳しく、実際にテストしていない端末で接続できないといったトラブルも出たりしました。
根岸氏:それは、事前に想定していなかった端末が社内で使われていたということでしょうか。
新田氏:海外拠点も含めるとさまざまなレベル感の担当者がいるため、ヒアリングをかけて端末一覧を入手しても、網羅されているかというと必ずしもそうではありません。大規模なゼロトラスト環境構築の難しさを身をもって実感しました。こうした経験や対策はサービスに活かされていると思います。
辻氏:ゼロトラスト製品を導入するうえでの理想の優先順位をお話しされていましたが、EDRやSASE、SIEMなどを先に導入している企業もあるかと思います。そういったお客様にもやはりIDaaSからスタートしていくほうがよいのでしょうか。
高橋氏:先に導入されている場合は、それに準じて構成していく必要がありますが、やはりIDaaSの導入から始めていくほうがスムーズだと思います。IDaaSを後から導入する場合、エージェントのアカウントの切り替えや認証基盤連携の切り替えといった作業の発生により、3カ月から半年ほど移行プロジェクトが走るケースもあります。
辻氏:昨今、「ゼロトラスト」を多くのベンダーが掲げており、セキュリティ対策のトレンドとなっています。他社と比較したNTTデータの優位性はどこにあるのでしょう。
高橋氏:ゼロトラスト製品を実装するにあたってさまざまな課題が懸念されますが、当社は実際に検証して、自社で使用している製品を提供できることが強みです。お客様の環境に合わせて最適なものを提案できることに加え、導入のコンサルから設計、検証、運用までワンストップで提供可能な総合力も他社と比較した優位点だと考えます。
最後に、高橋氏はゼロトラスト環境構築にハードルを感じる企業に向け、さまざまな手段やサービスを知ることが導入の足掛かりになると呼びかけた。 「NTTデータでは自社導入や外部提供で蓄積した知見を踏まえて、ゼロトラスト導入に向けた解決策を用意しております。どのようなアプローチでどの製品を採用するのかはお客様によって異なりますが、当社では第三者目線で最新製品を検証し、各ベンダーと強力なアライアンスを組んでお客様に提供できる強みがあります。まずはぜひご相談ください」(高橋氏)
[PR]提供:NTTデータ