コロナ禍への対応に限らず、今後、多様な働き方の下に効率良く、かつセキュリティ高く業務を行う上では、デジタルワークプレイスの整備が必須となっています。本稿では、その際のポイントの1つとなるセキュリティに焦点をあて、野村総合研究所(以下NRI)が実践してきた従来型の境界型防御モデルから脱し、ゼロトラストに適合するデジタルワークプレイスを整備した取り組みをご紹介します。
働き方改革やwithコロナに対応するためには、ゼロトラストに適合したインターネットネイティブなデジタルワークプレイスが必要
NRIでも自社の働き方改革への対応に加え、顧客要請などの外部要因からもSaaS利用のニーズが急激に高まっています。社内では生産性向上のためのSaaS利用が進んでいますし、お客様がパブリッククラウドを利用している場面も増えてきました。たとえば、「クラウドストレージとしてBoxを利用したい」「チャットツールとしてSlackを利用したい」という声もとても多くいただきます。
SaaS利用要望があがった際、社内ルールや利用環境が整備されていない場合は、許可されていないSaaSはすべて利用禁止であると回答するか、もしくは事業部責任ということでセキュリティリスクを抱えながらも、なし崩し的(シャドーIT的)にSaaS利用を許可することになることが多いかと思います。そして、後者の場合、アプリケーションごとにURLの許可をするいわゆる”穴あけ”の運用を実施していくことになり、これがセキュリティリスクを高めてしまうことにもつながります。
また、SaaS利用に関する際の主な課題として、以下がよく見受けられます。
- ID/Passwordの管理がSaaSごとにバラバラになってしまっている
- 漠然としたクラウドセキュリティへの不安がある
- セキュリティを担保するがゆえに高セキュリティ端末を用意しているため、SaaSの利便性が落ちてしまっている
- SaaSが増えすぎてしまい、ユーザからの問い合わせ対応が追い付かない
事実、こういった課題を抱えている情報システム部門の方は多いのではないかと思います。
その解決策として、NRIでは「ゼロトラストに適合した」インターネットネイティブなデジタルワークプレイスの構築を進めています。旧来型の境界防御型ネットワークモデルから脱し、5つのAny(いつでも(Anytime)・どこでも(Anywhere)・だれとでも(Anyone)・どんなデバイスでも(Any Device)・どんなアプリケーションでも(Any Application))を考慮した新しい業務環境の整備を進めています。
統一認証基盤をクラウド環境に構築することが第一歩
デジタルワークプレイスを構築する上では、まずクラウド環境に統一認証基盤(IDM:Identity and Access Management)を整備することから始めます。これにより、ID/Passwordの管理を統一化するだけでなく、無駄な経路を通らずにSaaSへアクセスすることが可能になります。
また、IdMにおける認証を行う上では、多要素認証とデバイス認証を導入し、セキュリティの強化を図ります。
まず、多要素認証においては、知識情報(Id/Password等)・所持情報(デバイス・トークン等)・生体情報(指紋・静脈等)を組み合わせることで認証し、アクセスしているユーザがユーザ本人であるかどうかを確かめます。インターネットに認証基盤を晒している以上、ID/Passwordのみでの認証をOKとはせず、2要素目の確認を加えることで本人確認を行い、なりすましによる不正なアクセスを防いでいます。
そして、デバイス認証においては、アクセス元の端末が登録済みの端末がどうかをチェックすることで、社給端末かどうかを確かめています。社給端末からのみ会社のリソースへのアクセスを許可することで、会社管理外の端末からのアクセスによるリスクや情報漏洩リスクを低減させることが可能となります。
エンタープライズ利用においてはユーザのアクセス制御と不正な動作の検知・封じ込めが重要
エンタープライズでのアプリケーション利用では、ユーザは組織の情報(データやコンテンツ)にアクセスが可能となり、不正利用や情報漏洩が発生した場合は大問題に発展する可能性もあります。そこで、ユーザ本人かどうか・社給の端末かどうかだけではなく、ユーザのアクセス制御や不正な動作の検知・封じ込めを行うことが必要となります。
そこで、ユーザのアクセス制御の仕組みとして経路上にCASB(Cloud Access Security Broker)を、不正な動作の検知・封じ込め機能として端末にEDR(Endpoint Detection and Response)を、それぞれ導入します。
まず、ユーザのアクセス制御という観点では、すべての通信をCASB経由としたうえで、コンテンツのアップロード先をBoxに集約し、それ以外のサイト・アプリケーションへのアクセス時にアップロードを禁止するようにポリシーを設定します。
また、EDR導入に合わせて既存のアンチウイルスソフトを置き替え、1つのエージェントで、次世代アンチウイルス機能とEDR機能の双方を持たせます。加えて、EDRにより端末操作のログも詳細に取得することができるようになり、今後攻撃を受けてしまった場合でも、後から追跡調査することが可能となります。
高度なセキュリティを保持しながらオフライン時のデメリットを解消する、より利便性の高いPC(セキュアFAT)を新たにDX-PCとして検討・導入
FAT PCの紛失時のセキュリティリスクを鑑みて、端末にデータを保存しないシンクライアントPCを標準としたり、検討する企業も多いと思います。しかし、ネットワークに接続できないとシンクライアントPCが利用できないうえに、インターネットネイティブなサービスを社内ネットワーク経由で利用しないといけなくなることが課題となり、展開が思うように進んでいない状況があります。
そこで、高度なセキュリティを保持しながらオフライン時のデメリットを解消する、より利便性の高いPC(セキュアFAT)を新たにDX-PCとして検討・導入します。
DX-PCはNRIの独自の用語で、現時点で最適な企業ユーザ端末と考えています。そのコンセプトは以下の3つです。
- 社内接続時はシンクライアント端末として機能し、内から外への通信を遮断。オンプレミス環境の機密情報の漏洩を防止。
- クラウドサービスはインターネットネイティブな環境で利用し、CASB/EDRにより厳重にガード。
- 情報漏洩を防ぐために、公衆Wi-Fiや自宅LAN等への接続を遮断。紛失時にはリモートワイプされる。
また、DX-PCには「情報防衛対策」「マルウェア対策」「システム保護対策」の3つを施すことで、高いセキュリティを保つことが可能となります。
ニューノーマル時代における新しいシステム監視・運用の重要性
ニューノーマル時代において、テレワークが浸透してくると、従業員の業務形態がより多様化していくため、業務実態の把握や健康状態の把握をする必要性が生じてきます。そのために、SIEM(Security Information and Event Management)ツールのSplunkを活用し、周辺システムと連携して、従業員の勤務状況を集計・分析するダッシュボードを作成します。
また、SaaS利用が増えるほど、従来のヘルプデスクだけでは対応できず、個別の問い合わせが増えて運用が複雑化するため、統合的なヘルプデスクが必要になります。また、ニューノーマル時代においてはヘルプデスクもリモートですべて対応する必要がありますし、コールセンターの人員を一か所に集約せず、分散させる必要があります。そこで、質問の内容に応じて、自動応答できるものと人手で答えるべきものに峻別するとともに、適切な回答者への割り振りを行うような仕組みづくりを行います。
[SMART_CONTENT]
終わりに
以上のゼロトラストに適合したデジタルワークプレイス構築のポイントは、NRIが続けてきたチャレンジの結果であり、ベストプラクティスです。しかし、まだまだ終わりではなく、今後も新しいサービスを積極的に利用することで課題を解決し、日々変わるセキュリティ要件に対応し、理想の姿に近づけていきたいと考えています。
読者の皆様や各企業におきましては、すでに導入済みの製品があるうえ、計画済みの施策もあることから、「ベストプラクティスについては理解したが、私たちの会社に置き換えた場合にどこから手を付ければよいのかわからない」というのが本音ではないでしょうか。
本稿で論じたポイントを順に検証してみて、導入済みであれば次のポイントをチェックしてみる、などはいかがでしょうか。たとえば、最初のポイントで、認証基盤でのSSOは実施しているが、MFAをさらに取り入れて利便性とセキュリティレベルを上げたい、といった深堀りした検討項目が見つかるかもしれません。
NRIではそういった企業の皆様への支援を今後も積極的に行っていき、各社におけるゼロトラストに適合したデジタルワークプレイスの整備を共に進めていきたいと考えています。
執筆者紹介
株式会社野村総合研究所
DX生産革新本部
デジタルワークプレイス事業三部
副主任テクニカルエンジニア
大野 剛 氏
- トピックス:
- 働き方改革