【自社事例大公開】TISの大規模ゼロトラスト導入から2年経った“事実”
競争力の源泉となる優秀な社員を保持したい企業にとって、多様なライフスタイルを尊重し継続的に働くことのできる環境の提供は、経営戦略上の最重要課題のひとつです。
またDXの観点でも、時間と場所を選ばずにデータ活用や事業創出を可能とする、スピーディー且つ柔軟なビジネス環境が求められています。
奇しくも新型コロナウィルス(COVID-19)のパンデミックによりテレワークの更なる普及が急速に進む中、TISでは2020年の豊洲オフィス新設を契機として、社内のゼロトラスト環境構築に踏み切りました。
本記事では導入から約2年が経った今、弊社がゼロトラスト化を進めてきた背景、当初の構想と導入後のギャップなど、可能な範囲で「リアルをさらけ出す」ことも意識しつつ、プロジェクトを振り返りご紹介したいと思います。
ゼロトラストとは?
そもそもゼロトラストとは、Forrester Research社が2010年に提唱したコンセプトであり、「DMZ(社内ネットワーク)は安全」という前提に、従来の境界型セキュリティでは守れなくなった現状を踏まえ、「全てのトラフィックを信頼しないことを前提とし、検査、ログ取得を行う」というコンセプトモデルです。
ゼロトラストが注目される背景としては
- 企業のクラウドサービス利用が増加
- 働き方改革によるテレワークの増加
- 内部不正による情報漏えいの増加
- 緊急時にビジネスに必要なITシステムの運用を維持し、事業の継続性を確保する「IT-BCP」構築の必要性
などが挙げられ、導入を検討する企業が増えています。
TIS 導入事例概要
弊社では生産性向上や働き方改革に留まらず、最終的なゴールとして「DXを意識したデータの利活用と事業創出」を当初より強く見据えてゼロトラスト環境構築を進めてきました。
即ちクラウド利活用とリモートワークが進展していく中で、「働く場所を選ばず、いつでも自由にデータを活用しながら事業創出に繋げていく」ことを目指すものです。
ただし、ここにパンデミックという別の背景が重なったこともあり、3つのステップで段階的に導入を進めてきました。
STEP1の段階は、コロナ禍初期におけるテレワークへの急激な対応が迫られる中で「ビジネスの維持」を目的として取り組んだコスト、スピード重視の対応です。
ツール導入など現行環境で取り得る最善策を採用し、セキュリティの構成変更も最低限にまで抑えることで一定の効果を得ました。
一方で、システムリソースのひっ迫や、ルール未整備によるセキュリティの懸念といった課題が顕在化しました。
STEP2ではコロナ禍の長期化を受けて「ニューノーマルの社会・価値観に合わせた働き方の抜本的な見直し」をテーマに、「ゼロトラスト」の考え方を採用し、どこからでも安全に社内&社外リソースへのアクセスを可能としました。
併行してテレワークのルールも整備し、利用しやすい環境・ルールづくりを行いました。
そしてSTEP3の現在ですが、本来の目的である将来的なデータ利活用の実現に向けて、構成の変更を行っています。
当初よりデータの分析がしやすいよう、統合的で一貫したデータ収集が可能な環境構築を行ってきました。
得られたデータを分析・フィードバックし、働き方の更なる高度化や事業の創出に向けて環境をブラッシュアップしています。
ゼロトラスト導入の流れ
続いて具体的に導入までの流れをご紹介します。システム概要図は下記の通りです。
クラウドに対する利便性を向上させ、場所を選ばない社内システムへのシームレスな接続、セキュリティを担保したVDI(Virtual Desktop Infrastructure)環境の準備を行いました。
またインターネットへのアクセスを便利にする一方で、不正サイトへのアクセスはCASB(Cloud Access Security Broker)で防御し、エンドポイントのセキュリティはEDR(Endpoint Detection and Response)や認証強化で対策する等、利便性とセキュリティの両立を図っています。
導入までの検討ステップは次の通りです。
1.利用者別の業務パターン整理
まずは「従業員の満足度向上」の観点から、各利用者(企画・事務・開発・営業・運用)にアンケートを取り、テレワークにおいてどのような課題があるのか、ゼロトラスト環境を導入することでどのような生産性の向上を期待するのか、といった点を抽出しました。
これを受け、課題と必要な環境を洗い出していきます。
2.システム課題におけるリスク検討
続いては、テレワークにおけるリスク分析(リスクアセスメント)をリモートアクセス、セキュリティ、情報連携、その他の項目別に実施し、対応策を洗い出します。
ここではゼロトラスト環境の導入により解決できる範囲/できない範囲も明確に定義します。
3.対策ソリューションの選定・評価
上記で洗い出した対応策に合わせてソリューションを選定します。
ここでも各利用者にPoCに参加してもらい、実際に使用できるものか否か評価を行った上で最適化を図り、最終的なソリューション選定・導入を行いました。
導入後の声
ここからは、実際にゼロトラスト環境を導入後に寄せられた声の中から、良かった点、悪かった点を利用者目線、運用者目線でご紹介すると共に、弊社がお客様へ自社事例をもとにヒアリングを行う中で得られた声をご紹介します。
企画・導入に関わる者としては深く反省・・・という部分も含め皆様へお伝えできればと思います。
利用者視点
良かった点
- 利便性の向上(時間や場所に捉われない働き方の実現)
- セキュリティレベルの向上(生体認証導入により、安心感を持ってテレワークが可能に)
- コミュニケーションレベルの向上(ネットワークの安定性が増し、商談やWeb会議のレスポンスが飛躍的に向上)
悪かった点
- 利用準備の大変さ(PCセットアップを利用者本人が行う必要があった)
- ファイルサーバーのアクセス(インターネット経由のためアクセススピードが遅くなった)
- マルウェア感染時の対応(導入や障害時の運用設計が十分でなく、自動隔離~隔離解除まで約3週間程度の時間を要した)
マルウェア感染や紛失・故障によりPC操作ができない状態になった際には、利用者が業務継続不可能となる事態が発生してしまいました。
要因はデータ/PCのバックアップ方法が明確に定義されていなかったことにあります。
現在では代替PCを用意する、クラウドストレージ(Box,OneDrive等)を活用したデータのバックアップを行うといった形で対策を講じています。
運用者視点
良かった点
- ネットワーク管理の負荷が軽減された(SD-WANのネットワーク一元管理により運用負荷が低減、既存ネットワークのローカルブレイクアウトにも寄与)
- インシデント対応の精度改善(収集対象のログが増えたが、SIEMで統合的に収集・分析を行うことで、より詳細且つ適格なインシデント対応が可能に)
- サポート対応効率の向上(ネットワークとセキュリティの窓口を一本化したことで対応効率が向上)
悪かった点(課題点)
- 利用準備+業務遂行への影響(利用者の「悪かった点」で述べた通りです)
- ネットワークの利便性の確立(インターネットアクセスの自由度を向上できた一方で、アクセスポリシーを明確にできておらず、ユーザーからの問い合わせが増加し運用負荷増大)
- インシデントレスポンスへの対応増(収集対象のログが増える一方で、誤検知判断や端末特定~駆除~隔離については対応速度の向上が求められ運用負荷が増大)
- サポート対応件数の増大(特にセキュリティはインシデント対応も包含するため運用負荷が増大)
インシデント発生時の運用負荷軽減については、SOAR(Security Orchestration Automation and Response)による対応の自動化・効率化で対策を行いました。
インシデント発生時の対応手順を予めプレイブックとして定義し、自動化することが可能であるため、セキュリティ担当者の負荷を軽減することができます。
なるべく人が介在しない運用の仕組みを構築することで、ノンコア業務からコア業務へ注力できるよう準備することが重要です。
お客様視点 ※弊社事例をもとにヒアリングした際の反応
- ゼロトラスト導入を検討している企業は増えている(三カ年計画で検討する企業も)
- ただし、TISのように大規模導入を検討しているのは大手企業が大半
- 導入形態の複雑さ、効果判断(生産性向上)の難しさから、ひとまずは回線増強やネットワーク/インターネットブレイクアウトに限定するお客様も多い
- これまで以上のセキュリティ投資となるため、コスト見合いで検討が進められないという声も聞かれる
- SWG、認証統合、EDRなど、お客様のご事情に合わせて必要な対策を導入する企業も多い
- サーバ等がオンプレで残さざるを得ないケースも多く、二重管理は敬遠される
テレワーク実現構成の比較
テレワークの実現構成について「回線増強」「インターネットブレイクアウト」「ゼロトラスト導入」を比較すると、ゼロトラストのコストが最も高くなるため「効果は認めるが踏み切れない」といった声も多く聞かれます。
3パターンの比較は以下の通りです。
単純にコストに目を向けると、ゼロトラストが最も高くなることはご覧の通りです。
ただしご検討に際しては、目的をどこに置くのか、重視するポイントはどこなのかという点を念頭に入れていただくことが重要です。
コストを重視するのか、それともセキュリティ重視なのか、更には将来的な競争力強化を見据えたDXの一環として捉えるのか、目的によって構築すべき環境は異なります。
ぜひ自社の目標に沿った導入計画をご検討いただければと思います。
弊社ではゼロトラスト環境において検討すべきプロセスに対し、すべてのSTEPでサービスをご用意し、ゼロトラスト環境導入を強力にご支援しております。
「導入を検討している」もしくは「構想はしているものの、どこから手をつければよいか分からない」といったお悩みをお持ちの方がおられましたらお気軽にご相談ください。
ダウンロード資料
Platform Square特設サイトにて、ゼロトラストをはじめとしたホワイトペーパーや事例など各種コンテンツをダウンロードできます。