提供:KDDI

ニューノーマル時代の働き方と企業成長を支えるセキュリティ対策 “自社実践”だからこそたどり着いた、「KDDIのゼロトラストソリューション」

辻 瑞乃

KDDI株式会社
技術統括本部
情報システム本部
スマートオフィスシステム部
オフィスシステム
グループリーダー

相澤 輝喜

KDDI株式会社
ソリューション事業本部
サービス企画開発本部
企画開発戦略部
プロダクトソリューション
グループリーダー

ニューノーマル時代に向けてデジタルトランスフォーメーション(DX)が加速し、クラウドサービスやテレワークが普及するなか、新しいセキュリティモデルとして「ゼロトラスト」が注目されている。そんなゼロトラストをいち早く導入し、使いやすさとセキュリティを両立する業務環境を実現したのがKDDIだ。同社が考えるゼロトラストセキュリティの意味と導入メリット、さらには、その経験を生かした同社が提供するマネージド ゼロトラストについて、導入を担当した情報システム本部スマートオフィスシステム部の辻瑞乃氏、ソリューションの企画開発を担当するサービス企画開発本部 企画開発戦略部の相澤輝喜氏に聞いた。

なぜ、ゼロトラストが注目されるのか

写真:辻 瑞乃氏

KDDI株式会社
技術統括本部 情報システム本部
スマートオフィスシステム部
オフィスシステムグループリーダー
辻 瑞乃

これまで一般的だったのは境界型セキュリティですが、何か課題があるのでしょうか。

 従来の境界型セキュリティは「社員はオフィスで働き、守るべきデータは社内システムにある」を前提に、インターネットと社内ネットワークの境界で防御するというセキュリティ対策の手法です。しかし最近は、働き方改革の推進やコロナ禍の影響によってテレワークが普及するとともに、デジタルトランスフォーメーション(DX)の推進によってクラウドサービスの利用が進み、「社員はオフィスにいない、守るべきデータはクラウド上にある」という状況になりました。そして、クラウド上にある守るべき情報に対して、オフィス外からのアクセスをどのように制御すべきかなど、これまでの守り方では守り切れないのが課題でした。

 もう一つ、セキュリティ以外の別の課題として、「社外のデバイスからVPN(仮想プライベートネットワーク)経由で社内ネットワークに入り、そこからインターネット上のクラウドサービスへ出ていく」という通信の流れを制御しなければなりません。そのためテレワーク勤務者やクラウド利用が増えれば増えるほど、社内ネットワークを流れる通信データ量が何倍にも増えてしまい、遅延が発生するという事態を招いています。

写真:相澤 輝喜氏

KDDI株式会社
ソリューション事業本部 サービス企画開発本部
企画開発戦略部
プロダクトソリューショングループリーダー
相澤 輝喜

そうした課題を解決するセキュリティモデルとしてゼロトラストが注目されています。企業はどのようなメリットがあるとお考えですか。

相澤 ゼロトラストの最大の導入メリットは、生産性の向上にあると言えるでしょう。すべての通信を可視化し検証する仕組みにすることで、従来の境界型セキュリティの課題であった、使いやすさを優先すると安全性が低下し、安全性を高めると使いやすさが損なわれるというトレードオフの関係が解消できるのです。もっと具体的に言えば、ユーザーやデバイス、利用システムごとに細かくアクセスを検証するため、テレワークでもオフィスワークでも同じように使えるという利便性を確保しながら、セキュリティを担保することができます。使用機会が昨今増えているクラウドサービスへは社内を経由せずに接続するため、通信による遅延など業務中の細かいストレスから解放され生産性向上にも寄与すると考えています。また、情報システム部門・情報セキュリティ部門にとっては、すべての通信を検証することでインシデントを早期に発見することや、万一、マルウェアに感染したときに被害を最小限に食い止めるという効果があります。

 NIST(米国立標準技術研究所)が2020年8月に発行したリポート「SP 800-207 Zero Trust Architecture」には、以下のような「ゼロトラストにおける7つの基本原則」が定義されている。

  1. すべてのデータリソースとコンピューティングサービスはリソースと見なす
  2. ネットワークの場所に関係なく、すべての通信を保護する
  3. 企業リソースへのアクセスは、セッション単位で付与する
  4. リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
  5. 企業はすべての資産の総合性とセキュリティ動作を監視し、測定する
  6. すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
  7. 企業は資産やネットワークインフラストラクチャ、通信の現状について、可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する

 KDDIはこの定義に沿いながら、自社および顧客企業が抱える独自の事情を加味し、ゼロトラストの実践とソリューション提供に取り組んでいるという。

KDDI自身が取り組んだ
ゼロトラスト導入の裏側

KDDI自身もゼロトラストの自社実践に取り組んでいますが、どのような経緯からゼロトラストを導入することになったのですか。

 働き方改革の一環として、2005年ごろから段階的に多様な働き方の実現に向けた取り組みを進めています。そうしたなか、在宅勤務/テレワークのデバイスやクラウドサービスの保護を目的に、2019年秋からゼロトラストの導入を検討し始めました。

 当社も長年にわたって境界型セキュリティを採用しており、当時はテレワークに使用する社外のデバイスやクラウドサービスの通信量の増加に合わせ、ネットワーク回線を増強することで対応していました。しかし社外で使用するデバイスはセキュリティリスクが高く、しかもネットワークトラフィックのひっ迫は根本的に解決できないことから、社内で議論を重ねたうえでゼロトラストの導入を検討し、2020年3月から400台規模のトライアルを実施しました。

 ところが、コロナ渦によって在宅勤務・テレワークを実施する社員が4倍となり、ビデオ会議の開催数は70倍以上と急激に増えたため、境界型のセキュリティでは業務に支障を来たすようになりました。そこで計画を前倒しにして、ゼロトラストを全社展開することにしました。

写真:辻氏

具体的に、どのようにゼロトラストの導入を進めたのでしょうか。

 2019年秋にゼロトラストの導入を検討した当初は、「どこで」「何」を守るかというセキュリティ対策についての議論を重ね、各部門間で認識のすり合わせを行いました。KDDIにはもともと社内のデバイスを社外に持ち出すことを禁止するルールがありましたが、このルールを見直すとともに、社有のデバイスを配布する施策から開始しました。

 一方でゼロトラストを実現する技術として、セキュアゲートウェイ、認証基盤、EDR(エンドポイントでの検出・対応)、マルウェア対策、ストレージ暗号化、不正通信の監視といったコアになるクラウドソリューションの選定作業を進めました。ソリューションはKDDIが従来使用していたセキュリティ製品との相性や親和性、コストなどを考慮しながら選定しています。2020年11月からは全社合計1万3800台に及ぶデバイスの導入・配布を開始し、2021年2月までにゼロトラストの導入を終えています。クラウドソリューションを組み合わせることで迅速に導入ができ、テレワーク/オフィスワークを問わず、ストレスなく利用できるという効果が得られています。

ゼロトラストのポイント

  • これからの働き方や企業成長において、
    これまでの「境界型セキュリティ」は課題が多い
  • 「生産性」と「セキュリティ」を両立したIT環境 → ゼロトラスト
  • DXを円滑に進めるために、
    「どのレイヤー」で「どう防御するのか」、の議論を始める

 KDDIの情報システム部門でゼロトラストの自社導入を担当した辻氏は「着手可能な領域から導入を進め、既存の業務に影響を与えないスケジュールを設定したほうがよい」と話す。また企業によって業務もインフラも異なるため、自社の既存システムとの組み合わせを考慮しながら最適なソリューションを選定することにも留意すべきとアドバイスする。

 「ゼロトラストは働き方の変化に対応するとともに、DX推進に必要不可欠なセキュリティモデルです。導入上の課題を解決するためにも、ゼロトラストに取り組むことをおすすめします」(辻氏)

自社実践の経験にもとづいた
KDDIのソリューション

KDDIはゼロトラストの自社事例で培った経験・知見にもとづき、どのようなソリューションをお客さまに提供していますか。

相澤 お客さまの働き方や既存のIT環境に合わせたゼロトラストのソリューションを提供しています。デバイス・ネットワーク・ID・セキュリティ・クラウド・オペレーションの6つのコンポーネントをワンストップで提供し、トータル運用で支援する「マネージド ゼロトラスト」ソリューションです。KDDIが推奨するサービスを組み合わせた「セキュアPCモデル」や、いまのVPN環境を残して徐々にゼロトラストに移行するための「リモートアクセス強化モデル」など、法人のお客さまのニーズが高い組み合わせを用意しています。

写真:相澤氏

他社に比べてどのような強みがありますか。

相澤 KDDI自らが実践した経験や各サービスに関する知見をもとに、特定のセキュリティベンダーに縛られず、お客さまにとって最適なソリューションを適材適所に組み合わせて提供できるマルチベンダー対応であることが強みです。

 また、ゼロトラスト導入前のコンサルティングから運用開始後の稼働監視、万一の際のインシデント対応まで一貫して提供できることもKDDIならではの特長です。ゼロトラストの導入後には、ヘルプデスクへの問い合わせが増えて情報システム部門の運用負荷が増大することが想定されますが、当社はそれらもトータルに支援していることが大きな強みだと考えています。

 ゼロトラストに興味を持っているものの、導入に至っていない企業は少なくない。KDDIでゼロトラストソリューションの開発に取り組む相澤氏は、「導入には課題が多いのも事実であり、単に新しい製品/サービスを導入するのではなく、次世代のITインフラを見据えたロードマップを描くことが重要」と指摘する。

 「ゼロトラストを導入するには、現状の課題を洗い出し、構想を描き、実現に向けた施策を具現化していくという手順を踏む必要があります。KDDIはゼロトラストの導入だけでなく、新しいビジネス共創に取り組むお客さまのパートナーとして総合的に支援、提供していきます。ゼロトラスト導入を検討中のお客さまはぜひKDDIにご相談ください」(相澤氏)

関連リンク

バナー:インデックスページへ

こちらもおすすめ 

こちらもおすすめ

お客さまと共創するKDDI

ページTOPへ