ドコモ・システムズは、日立製作所、シスコシステムズと共同で、ゼロトラストネットワーク技術を活用した「次世代テレワーク基盤」を構築した。
ドコモ・システムズでは、管理部門やシステム開発部門など700人規模で7月から利用を開始しており、各自の業務端末からインターネットに接続し、社内システムアプリケーションとクラウド上のSaaSの双方へ安全かつ快適にアクセスすることが可能になった。
ゼロトラストネットワークは、アクセス情報を全て信頼せず(ゼロトラスト)、あらゆる端末や通信のログを取得し、都度認証を行うもので、クラウドシフトが進むデジタルトランスフォーメーション(DX)時代に即したセキュリティモデルといわれる。
ゼロトラストネットワークの概要
次世代テレワーク基盤の構成
今回の基盤構築においては、日立グループのゼロトラストネットワークの導入ノウハウとシスコとのパートナーシップを生かし、先行導入を進めていた「Microsoft 365」とシスコのゼロトラスト関連サービスを適材適所に組み合わせ、テレワーク環境の安全性と利便性の両立を実現した。
ゼロトラストネットワークには、大きく「認証」「アクセス制御」「デバイス保護・管理」のプロセスがあり、数多くの関連商材を適切に組み合わせて、設計・構築することが必要となる。今回開発した基盤は、ユーザーの利便性を損なうことなく、強固なアカウント管理や高度なセキュリティサービスを容易に実現することをポイントにした。
アカウント管理・認証では、「Azure Active Directory」と「Cisco Secure Access by Duo」を組み合わせ、ID管理と多要素認証の管理を分けた上で連携して取り入れた。アカウントのふるまいからリスクを検知した場合、早急にアカウントを凍結し、不正なアクセスを防ぐ。また異なるベンダー間のシングルサインオン連携により、ユーザーは1回認証を行えば、自社システムやMicrosoft 365など必要な業務アプリケーションにシームレスにアクセスすることが可能だ。
インターネットアクセス制御と社内システムアプリケーションへのアクセス制御では、危険サイトや利用禁止サイトへのアクセスを防ぐセキュアインターネットゲートウェイ(SIG)である「Cisco Umbrella」を導入した。これにより全通信を対象に高度なセキュリティを確保できる。
Cisco Umbrellaはセキュアウェブゲートウェイ(SWG)としても機能し、クラウドアプリケーション制御機能(CASB)によって利用状況を可視化し、社員が勝手に使用するリスクの高いアプリケーション(シャドーIT)を個別にブロックするなどの高度なセキュリティサービスを容易に導入することができる。
さらに、Cisco Secure Access by Duoにより、アカウント認証後もOSのサポート切れなどデバイスの状態やアクセス場所およびデバイスとネットワークとの整合性などのセキュリティポリシーをチェックし、問題があった場合は社内システムアプリケーションへのアクセスをブロックすることが可能となった。
デバイス保護・管理では、「Microsoft Intune」と「Microsoft Defender for Endpoint」を導入。ログ情報を常時取得・分析処理し、サイバー攻撃のマルウェアやウイルスをリアルタイムに検知、管理者に迅速な通知を行う。また、「Azure Information Protection」により、端末に保存されている機密データを保護することができ、万一の端末紛失やウイルス感染にも対応することが可能だ。
今後、今回の基盤構築のノウハウを各社の立場で生かし、ゼロトラストネットワークの普及に努めていく。
