経営者視点でもメリットの大きい
ゼロトラストセキュリティ実践シナリオ

ゼロトラストセキュリティ導入と一口に言っても、数ある技術のうち何から導入すればよいのか分からないといった企業は少なくないだろう。そこで今回は、実際にどのような背景・順序でゼロトラストセキュリティが導入されているのか、これまで我々が受けた相談実績から、ゼロトラストセキュリティの導入が先行しているとみられる製造業を例に説明する。ただし、背景などは企業によって異なるため、あくまでも参考と捉えていただきたい。

企業課題に沿った“ゼロトラスト”を

 本稿では、製造業の従業員規模を1,000人未満、5,000〜9,999人、従業員1万人以上に分類し、規模ごとにゼロトラストセキュリティ導入事例を紹介する。

 まずは、従業員1,000人未満の製造業A社の例を見てみよう。A社のゼロトラストセキュリティ導入の背景には、事業のグローバル展開や新型コロナウイルス感染症の感染拡大防止を目的としたリモートワークの推進を行う中で、IT環境刷新の必要性を実感したことがある。ゼロトラストセキュリティの取り組みの概要とその順序は次の通りだ。


端末セキュリティの確保……業務で中心となるのは端末だと位置付けた上で、対策の見直しを実施。既存のマルウェア対策(EPP※1、EDR※2)はそのまま流用し、追加で端末の管理や運用、セキュリティ対策を一元的に行うためモバイルデバイス管理(MDM※3)を導入した。

アクセス元の正当性確保……クラウドでID管理・認証、シングルサインオン (SSO※4)などを提供するIAM※5を導入し、MDMが管理するデバイス証明書とユーザー認証により厳密なアクセス制御を実現した。

通信の安全性確保……端末からインターネットへのアクセス制御のためSWG※6を導入。さらに、脆弱性攻撃を受けやすい従来のVPN形式とは異なる安全なリモートアクセスとしてSDP※7も導入した。並行して、SaaS(Software as a Service)の利用状況可視化・制御を行うCASB※8によりシャドーIT※対策も実現した。

※シャドーIT:会社で許可していない端末やクラウドサービスを業務に利用すること。情報漏えいやマルウェア感染につながる恐れがあり、リモートワークやSaaS利用の普及に伴い対策が重要視されている。


 次に、従業員5,000〜9,999人の製造業B社の例を紹介する。B社のゼロトラストセキュリティ導入は、事業の海外展開や拠点拡大、業務プロセス改善といった将来を見据えた事業展望と、多様な働き方への対応を目的に、スタートした。取り組みの概要とその順序は次の通り。


端末セキュリティの確保……EPPはそのまま流用し、そこにマルウェア対策が正しく運用されているかを確認する仕組みを追加。多様な働き方への対応は、リモート環境や海外拠点など社外からのアクセスを前提とした保護が重要だ。そのため、OSのパッチ適用状況やマルウェア対策ソフトウェアのアップデート状況など、セキュリティチェックが可能なMDMを導入した。

アクセス元の正当性確保……IAMを導入し、MDMが管理するデバイス証明書とユーザーのセキュリティチェックを実施。セキュリティチェックが合格点に達してない場合はMDMがデバイス証明書を剥奪し、IAMはデバイス証明書が確認できないためユーザー認証を拒否するという流れで、より強固なアクセス制御を実現した。

通信の安全性確保……A社同様、VPN形式ではない安全なリモートアクセスとしてSDPを導入した。


 最後に紹介するのが、従業員1万人以上の製造業C社だ。グローバル拠点が多い企業であり、拠点ごとにセキュリティレベルが統一できていないこと、どこかでマルウェア感染が発生した場合のグローバルでの拡散を課題としていた。

 さらに、リモートワークの推進、事業拡大への柔軟な対応および迅速なセキュリティインシデント対応も課題として挙げていた。この課題を背景として、グローバルでセキュリティ基盤を統一することを目標にゼロトラストネットワークの構築を決定した。同企業が行った取り組みの概要とその順序は以下の通りだ。


通信の安全性確保……全拠点およびリモート環境をクラウド上でセキュアに接続するとともに、各拠点(各セグメント)間の通信を制御することができるSDPを導入。これにより、セキュリティ基盤の統一とマルウェアの拡散抑止に有効となる基礎を築いた。また、インターネットアクセスについても対策を実施。CASBによるSaaS利用状況の可視化とシャドーITの抑止、そして、従来のプロキシやファイアウォール、サンドボックスの代替としてインターネットアクセス制御とマルウェア検知を行うことができるSWGを導入した。

アクセス元の正当性確保……SWGなどの導入と平行して、ゼロトラストネットワークの中心となるID管理および認証の仕組みとしてIAMを導入。同時に、接続端末についてはデバイス証明書を用いたデバイス認証を実施。セキュリティ基盤の統一と共通ポリシーの適用およびメンテナンス性の向上、マルウェア拡散防止、リモートワークの基盤、柔軟なシステムの構築を実現した。

拠点を問わないセキュアな接続環境が要

 ここまでに紹介した3企業の例から、各企業におけるゼロトラストセキュリティ導入の目的ではグローバル対応強化とリモートワーク対応が共通している。

 次に、導入した技術については、下記が共通している。

・IAMとデバイス証明書
ユーザー認証だけでなく、デバイス証明書を用いて接続元を認証することで、個人デバイスや攻撃者のデバイスからのアクセスを排除できる。

・SDP
従来のVPN形式には主に三つの課題がある。それは、リモート接続ユーザーの増減に対する柔軟性、IPアドレスを公開することによる脆弱性攻撃対応、VPN認証を突破されると内部ネットワークを自由に利用できてしまう点だ。VPNに代わりセキュアなリモートアクセスを実現するSDPでは、この3点を解消することができる。

 ゼロトラストセキュリティの導入は、グローバル事業拡大や働き方改革の推進に直結するため経営者視点で見ても有効だ。また、各技術はクラウドでの提供が前提となるため、協業・協創のしやすさ、BCP対応など、メリットは大きい。ぜひ、今回の例を参考に、ゼロトラストセキュリティ導入を検討されたい。

※1 EPP:Endpoint Protection Platform
※2 EDR:Endpoint Detection and Response
※3 MDM:Mobile Device Management
※4 SSO:Single Sign-On
※5 IAM:Identity and Access Management
※6 SWG:Secure Web Gateway
※7 SDP:Software Defined Perimeter
※8 CASB:Cloud Access Security Broker

早稲田大学グローバルエデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
SecurityCoEセンタ長
セキュリティエバンジェリスト
扇 健一 氏