国内・海外のネットワーク・セキュリティレベルのギャップを解消! マクニカネットワークスとのタッグでグローバルに統一されたゼロトラスト化を実現
【ユースケース】ゼロトラスト
製造業J社
大手製造業のJ社は、国内・海外に数多くの拠点(営業所・工場・子会社)を持つグローバル製造企業です。かねてよりJ社では、国内と海外ネットワークのセキュリティレベルのギャップが悩みの種でした。この格差を是正すべく"ゼロトラスト(=場所に関係なく通信元のユーザー・デバイスの動的な状態に基づいてアクセスを許可すること)"をベースに、4つのポイント「①ユーザーの認証・認可」「②デバイスの信頼性の監視」「③ゼロトラストなアクセス許可」「④セキュリティ運用の高度化」について対策を実施。マクニカネットワークスが提案したマルチベンダーなゼロトラストソリューションを包括的に導入・連携することで、ネットワークとセキュリティのレベルを国内・海外問わず均一化し、安心・快適なネットワーク環境を実現しました。
海外拠点のセキュリティ対策は穴だらけ
以前より、J社の本社および国内拠点は、ネットワークとセキュリティ対策がともに高い水準で構築されていました。しかし海外拠点のネットワークは専用線による遅延もさることながら、セキュリティ対策も拠点によってバラバラでセキュリティポリシーも統一されていませんでした。特に、海外の小規模拠点は現地でも調達が容易なUTM装置によって守られており、決してセキュリティレベルが高いとは言えない状況でした。
こうした脆弱な海外拠点を放置すれば、国内ネットワークが強固であっても、脆弱な海外拠点を踏み台に機密データを保存している国内データ基盤へ不正アクセスされるおそれもありました。実際、海外拠点を経由して日本の本社にある秘匿性の高い顧客情報にVPN経由でアクセスを試みようとした形跡・不正なアクセスログが過去に発見されたこともあったといいます。海外拠点経由のVPNを踏み台とした不正アクセスについて、同業他社のセキュリティインシデントも報道されており、長期間に渡って社内ネットワークへのアクセスを許し、発覚に時間がかかることからかねてより問題視していました。
また、J社では2020年のコロナ禍に対応するため、全社で在宅テレワークを導入しました。そのために急遽オンプレミスのリモートアクセス機器の増強を実施したのですが、全社員合わせて5,000名という規模ではそれも追い付かず、特に海外からの帯域が切迫し、生産性の低下を招いていました。アフター・コロナにおいてグローバルでの働き方改革を推進する上で、今後も断続的なテレワークが継続するであろうことを考えると、現状セキュリティ面でもパフォーマンス面でも共に大きな課題を抱えていました。
そこでJ社は、5,000名の全社員が問題なく快適にテレワークを行えるような生産性の高い快適なネットワーク基盤を構築するとともに、国内・海外共通のゼロトラストに準拠した新しいセキュリティポリシーを策定することとしました。
メーカーに縛られないフラットな提案が可能なマクニカネットワークスに相談
J社は新たな情報システム基盤のゼロトラスト化に際し、まずマクニカネットワークスに相談しました。その理由は、すでに他のセキュリティ製品で導入実績があり、海外セキュリティ製品の一次代理店として、その製品技術力とサポート能力を高く評価していたこと、メーカーではなく多数の製品を取り扱う商社であるため単一のメーカーに限定されず自社に最適なベスト・オブ・ブリードなゼロトラスト構成をフラットに提案してくれる点にありました。
「多くの海外メーカーの最先端のセキュリティ商材を国内一次代理店として、メーカーを超えて製品ごとにプロフェッショナルなSEが在籍している点も大きかったですね。これは、ゼロトラストを実現する上で重要となる『①ユーザー認証』『②エンドポイント保護』『③ゼロトラストなアクセス』『④運用の高度化』の4つのカテゴリにおいても同様で、それぞれの要素でキーとなる『①IDaaS』『②EDR』『③SASE』『④SIEM』といった製品を包括的に1社で扱っており技術的な知見も幅広かったという点が非常に心強かったです」(J社)
実際の導入にあたって、まず現状のバラバラなアクセス経路や点在する社内データの棚卸しを実施。この段階では、個人情報や人事情報、機密情報など、企業にとって外部への漏えいを防ぐべき重要なデータを整理し、守るべきデータは何かを共に整理・議論しました。逆に積極的に公開すべきオープンな情報については、ユーザーや端末に縛られずオープンにアクセスを許可するようなポリシーを設定することとしました。次に、「誰が」「どんなデバイスを使って」「どんなツールで」守るべきデータにアクセスしているか、そのバラバラな経路を国内・海外問わず棚卸しをしました。これは出社時の場合とテレワークの場合についてもそれぞれ確認しました。
①アクセス認証・認可をIDaaSへ一元的に統合
現状のデータやアクセス経路の把握が完了したところで、J社とマクニカネットワークスは大きく4つのステップを踏んでいきます。まずファーストステップとして「①ユーザーの認証・認可」の、IDaaS(Identity as a Service)を導入しました。ゼロトラストの本質は、静的なネットワークの信頼性に基づいたアクセス制御から、動的なユーザーの信頼性に基づいたアイデンティティに基づいたアクセス制御への変革といえます。IDaaSは、複数のクラウドサービスのシングルサインオンを実現することはもちろん、既存のオンプレミスシステムへのログイン時のフロントドアとしても機能します。このため、企業内のリソース全てのアクセス認証・認可をIDaaSへ一元的に統合することで、IDを新たなアクセス境界として設計することが可能となりました。
「具体的には、ID・アクセス管理を従来のActive DirectoryからOktaのIDaaSに変更しました。これにより、指紋認証を含む多要素認証に基づいたユーザー単位の認証ができるようになりました。また、国内・海外でバラバラだった複数のActive DirectoryもIDaaSに同期・統合することでグローバルに点在する認証運用の負荷も軽減できました。ライフサイクル管理による自動的なオンボーディングも可能になり、グローバルに点在する社員の入社・退職にも対応できます。さらに、オンプレミスアプリとSaaS等のクラウドサービスへのハイブリッドなシングルサインオンも実現し、バラバラだったログイン認証も統合することで、グローバル全体でユーザーの利便性を共通化することができました」(J社)
②エンドポイントのリスク監視もEDRで強化
次の「②デバイスの信頼性の監視」は、主にエンドポイントのリスク監視です。IDaaSが「誰からのアクセスであるか」を明確にするものであるのに対し、ここでは「信頼できるデバイスでアクセスしているか」を明確にします。特にテレワーク化に伴い、端末が社外で利用されることが増えていますので、エンドポイントデバイスも常に侵害されているという前提に立って端末レベルで脅威検知が可能なEDR(Endpoint Detection & Response)を導入しました。
「EDRにはグローバルでも採用実績の多いEDRリーダーのCrowdStrikeを採用しました。未知の脅威を含む最新の脅威を迅速に検知し、USB経由の操作も含めて危険な端末を迅速に遮断できるようになりました。また、IDaaSと連携して危険な端末と紐づいたユーザーの認証を自動降格することも可能となりました」(J社)
③SASEの導入で国内・海外で共通なアクセスポリシーを実現
「③場所を問わないゼロトラストなアクセス許可」の実現については、喫緊で生産性低下を課題視していたので迅速に展開が可能なクラウド提供型のSASE(Secure Access Service Edge)アーキテクチャーを採用しました。具体的にはCato Networks社が提供するCATO CloudのSASEを採用しました。ゼロトラストアクセスを実現するSASEソリューションは多数存在し、マクニカと共に複数比較検討しましたが、海外に点在する多数の拠点を一元的にサポート可能なグローバル対応に強い点を高く評価し選定しました。
「一般的な他社のSASEソリューションと異なりSD-WAN機能や、海外50か所以上のPoPで提供されるグローバルバックボーンによって、拠点間の通信についてもクラウド上で一元的に統合できる点を高く評価しました。リモートアクセスやWEBアクセスだけでなく、WAN通信についても例外なくSASE上で集中制御することで、例外通信のないゼロトラストなアクセス制御を実現できる点でもゼロトラストに則していると考えました。また弊社では、海外に点在する拠点との通信に高価な専用線を海外WANとして整備していましたが、海外専用線コストの維持が課題となっていました。CATOはインターネットベースでありながら遅延の大きい大陸間のミドルマイルの部分は高速なバックボーンサービスを敷設しているので、専用線相当の回線品質を安価にインターネットライクに利用できる点も大きなメリットでした」(J社)
このようにJ社は、マクニカネットワークスとタッグを組むことでグローバルに一元化されたマルチベンダーな真のゼロトラストを実現しました。今後はさらにゼロトラスト化に則した運用の効率化・自動化も推進するとしています。マクニカネットワークスでは手厚いサポートのもと、現実的なロードマップを描き、着実にステップを踏んでいくことでお客様のゼロトラスト化を強く支援いたします。ご興味のある方は、是非一度マクニカネットワークスに相談してみてはいかがでしょうか。
▼ゼロトラスト
▼Okta
▼CrowdStrike
▼MobileIron
▼Cato
- ▼セミナー案内・ブログ更新情報 配信登録
