製造業、金融業で多くの成功例が登場

事例にみるゼロトラスト実現の“How”

製造業、金融業で多くの成功例が登場

事例にみるゼロトラスト実現の“How”

製造業、金融業で多くの成功例が登場

事例にみるゼロトラスト実現の“How”

　テレワークの急速な普及に伴い、クラウドアプリケーションの活用が加速している。この状況のもと、指摘されているのが、従来の境界型セキュリティの限界だ。端末やアプリケーションがどこにあっても高いレベルの安全性を確保するには、「あらゆるアクセス対象を疑い、検証する」ゼロトラストセキュリティが求められるのは必然といえる。

　「既にゼロトラストセキュリティは、それがどのような技術なのか、どのような問題を解決するのかという“What”ではなく、実際にどう使うかの“How”を考えるフェーズに入っています」と、アカマイ・テクノロジーズの金子 春信氏は語る。

　ゼロトラスト・アーキテクチャーの基本コンポーネントはNIST（米国国立標準技術研究所）が公開したSP800-207「Zero Trust Architecture」に定められている（図1）。例えば、アクセスの許可・拒否を決定するポリシーエンジンとその管理機能で構成されるのが「ポリシー決定ポイント（PDP）」。このPDPで決定されたポリシーに基づき、接続元と接続先との間でアクセスを制御するのが「ポリシー実施ポイント（PEP）」だ。ここが「信頼しない」と判断したユーザーやデバイスは、接続先のリソースにアクセスすることができない。 　「現実の環境では、アプリケーションがクラウドやオンプレミスなどいろいろな所に分散し、またユーザーもテレワークによって分散しているため、PEPも分散してしまいます。ただし、企業・組織としては統一されたポリシーを適用する必要があるでしょう。そこで当社は、ゼロトラストセキュリティの核ともいえるPDP／PEPの部分をクラウド化し、超分散型エッジプラットフォーム上で提供するエンタープライズセキュリティソリューションを用意しています」と、金子氏は説明する。

　それが、「EAA（Enterprise Application Access）」と、「ETP（Enterprise Threat Protector）」だ。

　まずEAAは、社内アプリケーションやクラウドアプリケーションへの安全なアクセスと柔軟なID管理を実現する「ID認識型プロキシ」（図2）。どのようなネットワークを利用するユーザーでも利用でき、アクセス対象のアプリケーションもオンプレミス、SaaS、IaaSなどの形態を問わない。これにより、セキュアなテレワーク／アウトソーシング環境を容易に実現できるという。 　もう1つのETPは、DNS&クラウド型Webプロキシによる「セキュアWebゲートウェイ」だ。URL検査やインラインファイル検査に加え、DNSを検査することで情報流出を防ぐことが可能になる。「複数の防御層によって、フィッシングやマルウエア、コマンド＆コントロール（C&C）通信などの脅威を検知しブロックします」と金子氏は述べる。

　既に多くの企業・組織が同社のソリューションを活用してビジネスの安全性を高めている。特にEAAは、厳しいセキュリティ要件を掲げる国内の製造業・金融業において多数の事例が登場しているという。

　その一例が、建築資材や住宅設備を製造・販売しているLIXILである。DX推進と働き方改革を加速させるため、早くからゼロトラストセキュリティの導入を進めてきた。一方、従来のITシステムは個別最適で構築されており、合併・買収などでIT基盤も複雑化。グローバル拠点の認証基盤やID管理基盤もそれぞれ独立したものだったという。

　「このような異なるシステムの存在によって生じるセキュリティリスクや複雑さ、コストの問題を解決しつつ、DXや働き方改革に向けたIT基盤のモダン化を図るには、サーバー側とクライアント側、両方を効果的に保護できるゼロトラストセキュリティのアプローチが効果的だと判断したのです」（金子氏）。導入が容易でシンプルなEAAによって、どこからでもセキュアに自社アプリケーションにアクセスできる環境を実現した。

　なお、このプロジェクトは2019年にスタートしたが、その翌年にコロナ禍に直面。それでもEAAのインフラが既にあったため、グループ2万人以上のテレワーク移行も余裕を持って対応できたという。

　もう1つの例は荏原製作所である。高信頼なポンプ製品のメーカーとして知られる同社は、ポンプを含む風水力事業、環境プラント事業、精密・電子事業をグローバルに展開している。国内の社員、海外赴任者、海外拠点のローカルスタッフ、メンテナンス担当のベンダーや提携代理店など、多様な利用者のシステム接続に対応するため、従来は社外からのアクセスはVPNを利用していた。ところが、接続の不安定化をはじめとするトラブルやインフラ運用工数の増大がネックとなり、ほかの手段を模索していたという。

　「折しも、経営スピードの迅速化に向け、国内外に散在していたシステムをクラウドに移行するプロジェクトも進行していました。そこで荏原製作所様は、両方のネットワークインフラの認証基盤を併せてEAAに集約することにしたのです」と金子氏は語る。

　EAAの導入により、荏原製作所は国内外約8500人が使う約500の業務アプリケーションへの認証基盤を構築。高度なセキュリティを維持したリモートアクセス環境を実現した。その後のコロナ禍で在宅勤務が増加し、当初想定していたアクセス人数が10倍になっても、変わらず安定して稼働しているという。

　さらに、金融業界における事例で特徴的なのがPayPay銀行である。日本初のインターネット専業銀行として2000年に営業を開始した同行は、早くからBCPの観点や業務の効率化を目的としたリモートアクセスシステムの実現を目指していた。

　そして2019年4月、働き方改革や世界的スポーツイベントの開催を視野に入れたテレワークの本格的な推進に着手。セキュリティリスクや構築コストの観点で複数の方法を検討した結果、最終的にEAAを選択した。

　理由は大きく3つだ。1つ目は、社内のEAAコネクターとクラウド上のエッジの通信を確立すれば、すぐに利用開始できる「導入の簡単さ」。2つ目はVPNのように外部から内部の方向で通信を許可する必要がなく、外部からの不正アクセスを防げる「強固なセキュリティ」。そして3つ目は、APIでログを取得できる「データ利活用の付加価値」である。

　これにより、セキュアなリモートアクセス環境を実現した同社。さらに、EAAが収集したアクセスログをSIEM（Security Information and Event Management）と連携することで、社員の業務実態の把握、労務管理に生かしているという。またコロナ禍におけるテレワーク推進にも、EAAは大きく寄与しているという。

　「ほか、auカブコム証券様も、EAAを活用されている金融業界の1社です。サイバー攻撃の高度化と巧妙化により、既存の境界型防御が通用しなくなったことを課題とされていました。そこでVPNに代わる環境としてEAAを採用。ほかにも複数のソリューションを併用しながら、ゼロトラストセキュリティを具現化されています」と金子氏は付け加える。

　このように、アカマイ・テクノロジーズのEAAは、ビジネスを取り巻く環境が大きく変わったこれからの時代において、重要な意味を持つソリューションといえる。その活用方法、“How”については、取り上げた事例が参考になるだろう。多くの企業が認めるその実力を、その目で確かめてみてほしい。