なぜ「境界線防御」では不十分なのか

　ここ数年、企業の社内環境は劇的に変化してきた。多くの企業でクラウドサービスの導入が進んだほか、新型コロナウイルスの感染拡大によってテレワークを採用する企業が一気に増えた。

　そうした状況を反映してか、情報処理推進機構（IPA）が2021年1月に発表した「情報セキュリティ10大脅威 2021」の組織部門の脅威のランキング上位には、「ランサムウェアによる被害」や「標的型攻撃による機密情報の窃取」、「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインした。IPAの調査から分かるように、足元で社会変化にとまどう組織の隙を突くような脅威が増えているのだ。


　auカブコム証券 システム統括役員補佐の石川陽一氏は、「境界防御の考え方は、弱いオンプレミス内部を守るためのものです。テレワークがメインとなる環境では、WEBやメールが脅威の起点となり、内部環境だけを強化する対策には限界があります。そこで当社はクラウドのセキュリティを利用していく、ゼロトラストの考え方へと発想を転換しました。クラウドのソリューションなどを連携して、オンプレミス内部をしっかり守るネットワークを構築するのが、ゼロトラストだと考えています」と語る。

　自社ネットワークの防御を突破されてしまうと、組織全体に被害が拡大する。ランサムウェアや標的型攻撃が恐れられるのもこの理由からだ。そこで、auカブコム証券では、従来の仕組みを徐々に見直しながら、ゼロトラストセキュリティ環境を実現していった。

auカブコム証券のゼロトラスト環境構築

　auカブコム証券は2017年より、デジタル変革を支えるIT主導の働き方改革を開始した。auのクラウド型電話交換機（PBX）に対応したiPhoneを支給して社員のリモートワーク環境を整備し、デジタル活用による生産性の向上を推進してきた。

　2019年にはMicrosoft 365によるクラウドでの社内コミュニケーションも拡充、さらにMicrosoft Teamsを活用し、策定したBCP（Business Continuity Planning、事業継続計画）に基づく訓練も行なってきた。

　そして2020年3月以降のコロナ禍により、さらなるITインフラ改革を求められることになる。ほとんどの社員が一気にテレワークへとシフトしたため、VPNのトラフィックが逼迫し、オンラインミーティングも不安定になるなどの事態に陥ってしまったのだ。

　環境改善に向けて、ローコード（少ないコード記述でアプリケーション開発を実現する仕組み）開発環境やワークフローの自動化、データ分析などが統合されたMicrosoft Power Platformを導入する。時差出勤管理など、社内で必要となるアプリケーションをすぐ作れるように、またデータ分析で社内の状況を可視化するなどの目的のためだ。


　そして、従来は社内のPCにアクセスして業務を開始していたが、VPNの逼迫などの課題からクラウド活用を優先し、一定のセキュリティ機能を備えたMicrosoft 365 E5に直接アクセスする形態に変わった。オンプレミスでのユーザーおよびコンピューターのリソース管理には従来通りActive Directoryを使い、外部のクラウドとの連携にはAzure AD（Azure Active Directory）を利用する。ユーザーIDはいずれも同じで良い。

　Azure ADは、Microsoft 365 E5と連携し、利用者の場所や端末などに応じた細かな権限を設定した上で、外部のクラウドサービスへの条件つきアクセスをサポートする。また、マイクロソフト製品だけでなく、クラウド上のネットワーク境界のセキュリティを高めるためのツール「Zscaler Internet Access（ZIA）」による制御も活用している。


【次ページ】ゼロトラスト移行、注意すべき9の事項とは